Les CISO d’entreprise se concentrent sur l’intégration de l’IA pour améliorer les opérations tout en respectant les normes éthiques, la protection de la propriété intellectuelle et le bien-être des employés et de l’entreprise.
En 2024, l’intelligence artificielle (IA) s’impose rapidement dans les entreprises, transformant les méthodes de travail et influençant les employés à travers divers secteurs. Les CTO et CISO d’entreprise reconnaissent l’importance d’intégrer les technologies d’IA pour optimiser les opérations, accélérer la prise de décision et améliorer la productivité. Cependant, ils sont également conscients des répercussions de l’IA sur les personnes, les politiques et les processus au sein de leurs organisations. L’établissement de normes éthiques appropriées, la protection de la propriété intellectuelle et le bien-être des employés et de l’entreprise figurent parmi les principaux défis auxquels sont confrontés les dirigeants cette année.
Gestion de l’IA générative en milieu professionnel
Il y a huit mois, Pat Brans a publié un article sur CIO.com intitulé « Les CIOs peinent encore à comprendre ce que l’IA générative peut apporter à l’entreprise ». Pat a constaté que certains dirigeants d’entreprise étaient indécis quant à la manière d’avancer avec les pratiques d’IA générative. Devront-ils collaborer avec des fournisseurs tiers ou développer des modèles en interne ? Et si des modèles internes sont créés, l’expertise en IA au sein de l’entreprise est-elle suffisante pour les gérer ? Depuis, beaucoup de choses ont évolué.
Avec le lancement de ChatGPT, Copilot, Gemini et d’autres modèles de langage, les CISO ont dû mettre en place (ou mettre à jour) des mesures concernant l’utilisation de l’IA par les employés ainsi que la sécurité et la confidentialité des données, tout en améliorant les politiques et les processus de leurs organisations. Dans de nombreux cas, ces changements ont dépassé les normes préexistantes de l’organisation.
Pour mieux comprendre l’utilisation de l’IA dans les entreprises et son impact sur les personnes, les politiques et les processus, j’ai réalisé un sondage informel en juin auprès de plusieurs CISO et CTO. Ce que j’ai appris devrait apporter un éclairage utile et soutenir ou valider vos efforts organisationnels concernant l’IA. [REMARQUE : Dans la prochaine édition, je mettrai en avant comment l’IA modifie les méthodes de sélection et d’utilisation des technologies d’entreprise.]
Personnes, politiques et processus
Lorsque j’ai interrogé un CISO sur les changements apportés à son organisation en matière de personnel, de politique et de processus en raison de l’utilisation de l’IA, il a répondu : « Oui, nous avons apporté plusieurs modifications au niveau de la gouvernance pour établir des attentes, des règles de fonctionnement, ainsi que des mécanismes de suivi et de reporting. Nous avons jugé essentiel de définir et d’appliquer des modèles et des usages standards. »
Cette réponse était similaire à d’autres retours que j’ai reçus. L’établissement de lignes directrices et de principes de gouvernance semble être une étape commune pour gérer l’utilisation de l’IA dans les grandes entreprises.
Un CISO d’une entreprise nationale de santé a déclaré que son organisation avait élaboré des politiques et des procédures concernant l’utilisation des modèles de langage et de leurs données. Actuellement, l’équipe s’efforce de réexaminer rapidement les questions de sécurité et de confidentialité, surtout à mesure que les réglementations évoluent. Les changements « sont mis en œuvre et communiqués en temps réel, sachant que nous devrons être agiles pour nous adapter chaque mois, à mesure que les réglementations sont publiées et que d’autres exigences de conformité et de sécurité deviennent des meilleures pratiques. »
Le CISO d’une grande marque de consommation en ligne m’a informé de démarches similaires. L’équipe de ce CISO a créé une nouvelle politique concernant l’utilisation de l’IA, liée à la politique d’utilisation acceptable de l’entreprise. Le CISO a souligné : « Nous voulons vraiment que les gens réfléchissent à la manière dont ils prévoient d’utiliser l’IA. Dans certains cas, nous réaliserons une évaluation des risques et une évaluation d’impact sur la vie privée (PIA) si des informations sensibles sont utilisées. »
Un autre CISO a partagé que son organisation avait apporté des modifications pour renforcer les mesures d’IA au sein de leur cadre de contrôle CSP, y compris la journalisation, le suivi et le reporting aux dirigeants clés supervisant et gouvernant le déploiement et l’utilisation. Cela était crucial pour l’organisation afin de protéger les données (propriété intellectuelle, informations confidentielles, données clients, etc.) et de comprendre l’utilisation et la demande pour les fonctions et segments d’affaires.
Tous les dirigeants avec qui j’ai échangé ont souligné l’importance de communiquer ces changements au sein de l’organisation. Un CISO dans le secteur de la santé a partagé que son équipe avait récemment modifié des politiques. Ces changements ont été délégués par un comité central responsable de l’évaluation et de l’approbation de l’utilisation de l’IA. Le CISO a ajouté que les communications internes passaient par les canaux de communication clinique standard pour être transparentes concernant les changements et apaiser les préoccupations liées aux nouvelles applications d’IA.
Comités consultatifs
Un autre domaine important que plusieurs CISO ont souligné concernant l’utilisation de l’IA dans les entreprises est la nécessité de créer des lignes directrices claires, des règles bien pensées et des principes éthiques pour le développement et l’utilisation de l’IA. En conséquence, des conseils consultatifs sur l’IA émergent partout. Un exemple récent est que l’entreprise d’IA C3 a recruté l’ancien président de la Chambre des représentants des États-Unis, Kevin McCarthy, pour son conseil consultatif afin de guider ses efforts à travers les niveaux labyrinthiques du gouvernement américain et ceux des pays alliés.
Les organismes gouvernementaux prennent également des mesures similaires pour clarifier l’utilisation éthique de l’IA. Le gouvernement américain dispose de son propre Comité consultatif national sur l’IA. D’autres organisations ont été créées pour fournir des conseils sur l’IA, y compris l’Institut pour l’IA expérientielle de l’Université Northeastern et le Centre pour l’intelligence artificielle, un groupe de réflexion lancé par le Future of Privacy Forum.
Un CISO et directeur des données d’une entreprise de services financiers a partagé qu’ils avaient constitué une équipe de pilotage de l’IA composée de cadres supérieurs (juridique, technique, etc.) pour approuver l’utilisation de l’IA, surtout si cela présente un « risque inacceptable et une exposition illimitée de la propriété intellectuelle » pour le travail de l’entreprise. Avoir un tel comité de gouvernance central peut également aider à répondre à d’éventuels incidents de cybersécurité parmi ses employés et fournisseurs.
La mentalité du CISO face à l’IA : conseils pratiques
La plupart des CISO et CTO ont noté qu’ils consacraient du temps et des ressources pour suivre l’évolution de l’IA au sein de leur organisation. Les conseils allaient d’une directive simple comme « prêter attention aux détails » à des recommandations plus prudentes concernant l’intégration de l’IA avec les employés. Par exemple :
« Pour votre entreprise et votre secteur, trouvez des moyens de permettre aux modèles de langage de vous aider. Éduquez-vous sur l’impact commercial des hallucinations, des biais et de tous les défauts inattendus mais prévisibles qui pourraient représenter un risque pour la réputation, la marque, la vie privée, les réglementations et les opérations. Commencez à prêter attention à ces domaines et continuez à rechercher la valeur commerciale par rapport à l’appétit pour le risque. » Un autre conseil plus prudent était : « Les technologies émergentes qui créent de la valeur commerciale peuvent également introduire des menaces et des vulnérabilités. Soyez conscient que ces menaces nécessiteront probablement de nouveaux investissements dans des contrôles et une résilience. »
Un CISO qui a partagé son point de vue optimiste et tourné vers l’avenir préconise que les entreprises « adoptent l’innovation et l’utilisation de l’IA, et créent un espace sûr pour que les gens expérimentent, comme un bac à sable au sein de votre entreprise ou service cloud de confiance. J’ai entendu trop de CISO bloquer l’utilisation de l’IA dans l’entreprise. Cela ne fera que créer une stigmatisation qui poussera les personnes curieuses ou désireuses d’utiliser l’IA pour améliorer leur vie ou leur efficacité à se tourner vers l’extérieur. Vous serez beaucoup plus satisfait des cas d’utilisation et de l’innovation que vous pourrez apprendre de vos utilisateurs. Établissez quelques garde-fous pour que les gens innovent, et vous pourrez devenir le héros ! »
Je ne pourrais pas l’exprimer mieux !
Dans la deuxième partie, je me concentrerai sur la manière dont les entreprises gèrent les technologies existantes impactées par l’IA, l’utilisation de nouvelles technologies d’IA et comment ces éléments de changement influencent l’entreprise. À la prochaine fois…
