L’essor rapide des outils d’IA sur le lieu de travail, associé à la pression croissante exercée sur les employés pour qu’ils fournissent plus, plus rapidement, signifie que les organisations sont confrontées à un angle mort de sécurité croissant : l’utilisation d’agents d’IA.
Rédigé par notre vice-président produit, Mark Hamill, cet article jette un regard pratique sur la manière dont l’IA est déployée dans les organisations aujourd’hui, explore les risques de l' »IA de l’ombre » et souligne pourquoi des politiques claires, une formation et des outils approuvés accessibles sont essentiels pour protéger les données sensibles.
Il lui restait trois jours avant que l’affaire ne soit portée devant le tribunal.
Les documents s’accumulaient - déclarations de témoins, précédents, notes de préparation de six mois. Les heures manquaient. Une collègue avait mentionné, en passant, qu’elle utilisait ChatGPT pour résumer de longs documents. Cela semblait utile. Il a supposé que si elle l’utilisait ouvertement, c’est qu’il devait être bon, que quelqu’un devait l’avoir approuvé. Il a ouvert un onglet de navigateur, a collé ses notes de cas et a obtenu un résumé clair en quelques minutes. Cela a fonctionné. Il a donc recommencé, encore et encore.
Il ne savait pas que la version gratuite de ChatGPT n’offrait pas de protection des données d’entreprise. Il ne savait pas que le contenu soumis par l’intermédiaire d’un outil d’intelligence artificielle destiné aux consommateurs pouvait, selon les paramètres, être utilisé pour améliorer le modèle. Il ne savait pas que son entreprise avait une politique à ce sujet parce que personne ne lui avait dit qu’il y en avait une. C’était un avocat confronté à une échéance judiciaire, qui a fait ce que tout professionnel compétent fait sous la pression : il a utilisé le meilleur outil disponible et a accompli son travail.
Voilà à quoi ressemble l’IA fantôme. Il ne s’agit pas d’un employé malhonnête. Pas une personne indifférente au risque. Il s’agit simplement d’un professionnel compétent qui comble un vide et s’efforce de faire son travail.
Personne ne leur a dit de ne pas le faire
Des recherches récentes suggèrent que environ la moitié des travailleurs intellectuels utilisent des outils d’IA que leur employeur n’a pas approuvés. La moitié. Cela signifie que la politique de votre organisation - si elle en a une - est déjà dépassée par le comportement qu’elle est censée régir.
La raison n’en est pas la défiance. La plupart des personnes qui utilisent des outils d’IA non approuvés ne le font pas pour contourner les contrôles de sécurité. Ils le font parce qu’ils ne savaient pas qu’il existait une règle, ou parce qu’un collègue utilisait le même outil, ce qu’ils ont raisonnablement considéré comme une approbation institutionnelle. Si le manager de mon supérieur utilise ouvertement ChatGPT en réunion, c’est qu’il a été autorisé. Et la version gratuite fait la même chose que la version payante, n’est-ce pas ? Alors pourquoi faire une demande d’achat alors que l’outil se trouve juste là, dans un onglet du navigateur ?
Il s’agit là de conclusions tout à fait logiques tirées d’informations incomplètes. Ce n’est pas le jugement de vos employés qui est en cause. Il se situe au niveau de votre communication.
L’autre moitié du problème
À l’extérieur du bureau, le message que reçoivent vos employés est fort et sans ambiguïté : adoptez l’IA ou prenez du retard. Utilisez ces outils ou regardez votre carrière devenir sans intérêt. Chaque gros titre, chaque conférence sur le leadership, chaque article haletant sur la suppression d’emplois par l’IA leur dit d’aller plus vite, d’expérimenter davantage, de rester à l’avant-garde. Puis ils arrivent au travail et découvrent que la voie approuvée implique un formulaire d’achat, un examen informatique et six semaines d’attente pour obtenir une licence.
Le message interne est le silence. Le message externe est l’urgence existentielle. C’est de cette collision que naît l’IA de l’ombre.
Ce qui sort réellement de la porte
Le risque n’est pas l’outil. C’est ce qui est introduit dans l’outil.
Les produits d’IA grand public offrant des niveaux gratuits et des comptes personnels ne sont pas liés par les mêmes accords sur les données que les logiciels d’entreprise. Lorsqu’un employé colle un document dans un outil d’IA gratuit, ces données peuvent échapper entièrement au contrôle de l’organisation. En fonction de la plateforme et de ses paramètres, elles peuvent être stockées, examinées ou utilisées pour entraîner le modèle. La plupart des employés ne savent pas qu’il existe une distinction significative entre la version gratuite et la version entreprise. Pour eux, il s’agit du même produit.
Cet aspect est plus important dans certaines fonctions que dans d’autres. Un avocat collant des documents privilégiés de ses clients. Une équipe financière résumant des discussions sur une fusion. Un responsable des ressources humaines rédigeant une note disciplinaire. Il ne s’agit pas de risques hypothétiques. En 2023, des ingénieurs de Samsung ont collé un code source propriétaire dans le ChatGPT à trois reprises, au sein de trois équipes distinctes, sans que personne ne s’en aperçoive. Le code était déjà sorti avant que quiconque ne lève la main.
L’invisibilité est ce qui rend l’IA difficile à gérer. L’informatique fantôme - les employés qui utilisent des logiciels non autorisés - a au moins laissé des traces sur le réseau et les terminaux. Une interaction d’IA fantôme n’est qu’un onglet de navigateur. Il n’y a pas d’installateur pour la bloquer. Le temps que quelqu’un s’en aperçoive, les données sont déjà sorties.
Ce qu’il faut faire
L’instinct pousse à bloquer l’IA. Verrouillez les outils, détruisez le routeur du bureau et laissez une note menaçante dans la cuisine, près du grille-pain.
Mais si vous pouvez bloquer les outils, vous ne pouvez pas bloquer l’intention. Si vous supprimez l’outil et laissez la pression - les délais, la charge de travail, le message ambiant selon lequel l’adoption de l’IA n’est pas négociable - les gens trouvent un autre outil. C’est exactement ce qui s’est passé avec Dropbox il y a dix ans. Les organisations l’ont bloqué. Les employés sont passés à leur messagerie personnelle. Le comportement ne s’est pas arrêté, il est juste devenu plus difficile à voir.
Les organisations qui ont résolu le problème de l’informatique parallèle n’étaient pas celles qui avaient les contrôles les plus stricts. Ce sont celles qui ont proposé une alternative crédible et accessible - plus rapidement. La même logique s’applique ici.
Si vous essayez de gérer la façon dont vos employés utilisent l’IA, commencez par rendre votre position visible et claire. Elle ne doit pas être enfouie dans une politique d’utilisation acceptable qui se trouve sur l’intranet et que personne ne lit, mais doit être publiée et reconnue par tous. Abordez la question dans le cadre de vos réunions à bâtons rompus. Nommez les outils que les gens utilisent. Expliquez la différence entre la version gratuite et la version entreprise dans un langage qui a un sens pour un professionnel non technique. Expliquez clairement ce qui est approuvé, ce qui ne l’est pas et pourquoi. Pas comme une menace. Comme une information de sécurité.
Informez vos responsables. L’hypothèse selon laquelle « mon collègue l’utilise, donc ça doit être bon » circule dans les équipes parce que les managers utilisent souvent eux-mêmes ces outils sans en comprendre les implications. Si vos responsables ne peuvent pas expliquer votre politique en matière d’IA, vos employés ne la suivront pas.
Organisez des formations qui traitent des idées fausses spécifiques - pas de messages génériques du type « faites attention aux données », mais des conseils ciblés sur les scénarios exacts auxquels les gens sont confrontés - échéances imminentes, grands ensembles de données, nombreux documents qui ont juste besoin d’un résumé rapide. Faites en sorte que ce soit suffisamment concret pour que l’on s’en souvienne lorsque quelqu’un est à trois heures d’une échéance.
Et faites en sorte que la voie approuvée soit réellement facile à utiliser. Si l’obtention d’une licence d’IA légitime prend six semaines, les gens n’attendront pas. Ils utiliseront ce qu’ils ont. Les obstacles à l’obtention d’une licence ne sont pas des éléments de sécurité, mais des générateurs d’intelligence artificielle. C’est un générateur d’IA fantôme.
-
L’avocat a gagné son affaire. Les documents ont été manipulés, l’argumentation était claire, le client était satisfait. Quelque part dans la trace des données, si quelqu’un avait regardé, ces notes de cas avaient fait un voyage non autorisé.
Personne ne regardait.
Quelque part dans votre organisation, la même chose s’est produite aujourd’hui. Vos employés ne contournent pas votre politique de sécurité. Ils prennent une décision en matière de risque que vous n’avez pas prise pour eux. La question est de savoir si vous allez continuer à laisser faire ou si vous allez faire en sorte qu’il soit plus facile de faire ce qu’il faut que de deviner.
Faciliter la prise de décision
L’IA fantôme n’est pas un problème technologique, c’est un problème de visibilité et de comportement. Si les employés ne connaissent pas les règles, ne peuvent pas accéder rapidement aux outils approuvés ou ne comprennent pas le risque, ils combleront eux-mêmes cette lacune.
MetaCompliance aide les organisations à combler ce fossé grâce à une sensibilisation à la sécurité ciblée et axée sur le comportement. De la communication d’une politique claire à la formation basée sur des scénarios réels, nous vous aidons à rendre le risque visible, l’orientation actionnable et le comportement sécurisé le plus facile à adopter.
Découvrez comment MetaCompliance peut vous aider à prendre le contrôle du risque humain.