Risque de fuite d’information
Le développement des outils d’IA s’accompagne de nombreux avantages pour les entreprises qui s’en saisissent : gains de compétitivité, automatisation des tâches, optimisation des compétences. Dans ce cas de figure, l’usage est souvent réglementé par l’entreprise, avec des outils dédiés et payants, mais ce n’est pas toujours le cas, les salariés peuvent aussi être amenés à utiliser des outils gratuits, grand public, sans que l’employeur ne soit au courant. « Le versement d’informations internes aux entreprises dans un outil d’IA générative, particulièrement si elles revêtent un caractère sensible, constitue un risque important de réutilisation de ces informations pour les entreprises concernées. Les versions grand public des principaux outils d’IA générative, gratuites et standards, utilisent souvent les données entrées par l’utilisateur pour entraîner leurs modèles », expliquent les experts de la DGSI.
La confiance n’exclut pas le contrôle
La DGSI présente un deuxième exemple de limite d’usage de l’outil d’intelligence artificielle : la confiance aveugle dans l’outil, qui peut conduire à des erreurs graves entrainant la responsabilité de l’entreprise. Bien que cette recommandation puisse sembler logique, la facilité d’utilisation des outils, le manque de temps des dirigeants ou des responsables de l’entreprise, peuvent engendrer une confiance excessive dans l’outil et un manque de lucidité quant aux biais de l’outil utilisé. C’est le cas de l’entreprise prise comme exemple par les experts de la DGSI : « par manque de temps et par méconnaissance des biais potentiels de l’outil, la société ne procède à aucune vérification complémentaire et oriente systématiquement ses décisions en fonction du retour fait par l’outil », soulignent-ils. Il est recommandé que l’usage de l’intelligence artificielle intervienne en parallèle d’un avis et d’un contrôle humain afin de contenir les effets potentiels des biais car les conséquences juridiques, financières et portant sur la réputation, peuvent être graves pour les entreprises.
Arnaque au faux président, version 2.0
Le Flash ingérence de la DGSI évoque l’exemple d’un responsable d’un site industriel qui s’est vu demandé le versement d’une somme importante. On pourrait aisément flairer l’arnaque si cette demande ne provenait pas directement de l’un des dirigeants de la société, apparu en visioconférence, avec la même voix et la même apparence. Il s’agit du résultat de technologie hypertrucage (deepfake), qui rendent les échanges très réalistes. « L’IA peut être vecteur d’actes d’ingérence élaborés, aux méthodes inédites, commis par des acteurs malveillants », prévient la DGSI.
Les recommandations de la DGSI
Pour éviter que ces cas ne se répètent, les agents de la sécurité économique de la DGSI rappellent aux dirigeants d’entreprises l’importance d’agir en amont, en définissant les conditions d’usage des outils d’IA, de favoriser le recours aux solutions tricolores, en privilégiant les usages d’outil en local et de former régulièrement les équipes à ces nouveaux usages.
D’autre part, il convient de signaler tout usage de l’IA dans le cadre du travail, en interne, au sein de l’entreprise, mais également en externes, aux partenaires et aux clients. Il convient de rendre anonyme, en masquant toute donnée personnelle, tout document utilisé avec un outil d’IA ; de faire preuve de vigilance et d’esprit critique et de recouper l’information avec un expert en science des données si nécessaire. Enfin, les agents de la DGSI proposent de les contacter en cas d’événement suspect en lien avec l’usage de l’intelligence artificielle : securite-economique@interieur.gouv.fr.
Comme toutes les innovations, la technologie « intelligence artificielle » comporte ses zones d’ombre, ses limites, ses acteurs mal-intentionnés, éléments qu’il faut absolument prendre en compte pour maintenir la sécurité des organisations en général et des entreprises en particulier.
