Entreprises US : L'IA détournée, même par la direction
Une étude récente du fournisseur de sécurité IA CalypsoAI révèle une tendance omniprésente et croissante d’utilisation abusive des outils d’IA au sein des organisations américaines, s’étendant du personnel débutant aux plus hauts échelons de la direction (C-suite). Les conclusions, détaillées dans le « Rapport sur les menaces internes de l’IA » de l’entreprise, dépeignent une « réalité cachée » où les employés à tous les niveaux exploitent les outils d’IA « souvent sans culpabilité, hésitation ou supervision ».
Les révélations concernant la haute direction sont peut-être les plus frappantes. La moitié des cadres interrogés ont indiqué une préférence pour les managers IA plutôt que les humains, pourtant 34 % ont admis ne pas pouvoir distinguer de manière fiable un agent IA d’un véritable employé. Pour aggraver les choses, plus d’un tiers des dirigeants d’entreprise, 38 %, ont avoué ne même pas savoir ce qu’est un agent IA. De manière alarmante, 35 % des cadres de la C-suite ont reconnu avoir soumis des informations propriétaires de l’entreprise à des outils d’IA pour accomplir des tâches.
Cette volonté de contourner ou d’enfreindre les règles pour la commodité de l’IA ne se limite pas à la direction. L’enquête, qui a interrogé en juin plus de 1 000 employés de bureau américains à temps plein âgés de 25 à 65 ans, a révélé que 45 % de tous les employés font plus confiance à l’IA qu’à leurs collègues humains. Plus de la moitié, 52 %, ont déclaré qu’ils utiliseraient l’IA pour simplifier leur travail, même si cela violait la politique de l’entreprise. Parmi les cadres, ce chiffre a grimpé à 67 %, indiquant un mépris généralisé des protocoles établis.
Le problème est particulièrement aigu dans les secteurs fortement réglementés. Dans l’industrie financière, 60 % des répondants ont admis avoir violé les règles de l’IA, et un tiers supplémentaire a utilisé l’IA pour accéder à des données restreintes. Au sein de l’industrie de la sécurité, 42 % des employés ont sciemment utilisé l’IA contrairement à la politique, et 58 % ont exprimé une plus grande confiance en l’IA qu’en leurs collègues. Même dans le secteur de la santé, seulement 55 % des travailleurs ont systématiquement suivi la politique d’IA de leur organisation, et 27 % ont exprimé une préférence pour rapporter à un superviseur IA plutôt qu’à un humain.
Donnchadh Casey, PDG de CalypsoAI, a souligné l’urgence de ces découvertes. « Les menaces externes attirent souvent l’attention, » a-t-il expliqué, « mais le risque immédiat et à croissance rapide se trouve à l’intérieur du bâtiment, avec des employés à tous les niveaux utilisant l’IA sans supervision. » Il a noté sa surprise de voir à quelle vitesse les dirigeants de la C-suite contournent leurs propres règles. « Les dirigeants seniors devraient donner l’exemple, pourtant beaucoup sont à l’origine de comportements risqués, » a observé Casey, soulignant que les cadres adoptent parfois les outils d’IA plus rapidement que les équipes chargées de les sécuriser ne peuvent réagir. Il a conclu que cela représente autant un défi de leadership qu’un défi de gouvernance.
Justin St-Maurice, conseiller technique chez Info-Tech Research Group, a fait écho à ce sentiment, comparant le phénomène à l’« IA fantôme » devenant la « nouvelle informatique fantôme ». Les employés ont recours à des outils non autorisés car l’IA offre des avantages tangibles : une « décharge cognitive » en assumant des tâches routinières, et une « augmentation cognitive » en accélérant la réflexion, l’écriture et l’analyse. St-Maurice a souligné le puissant attrait de ces avantages, notant que plus de la moitié des travailleurs utiliseraient l’IA même si elle était interdite, un tiers l’a utilisée sur des documents sensibles, et près de la moitié des équipes de sécurité interrogées ont admis avoir copié du matériel propriétaire dans des outils publics. Il a suggéré que ce n’est pas nécessairement de la déloyauté, mais plutôt un symptôme d’une gouvernance et d’une habilitation en retard par rapport aux pratiques de travail contemporaines.
Les risques sont indéniables. Chaque invite d’IA non surveillée porte le potentiel de fuite de propriété intellectuelle, de stratégies d’entreprise, de contrats sensibles ou de données clients dans le domaine public. St-Maurice a averti que le simple blocage des services d’IA serait contre-productif, poussant les utilisateurs à chercher des accès alternatifs clandestinement. Au lieu de cela, il préconise une approche plus pragmatique : l’habilitation structurée. Cela implique de fournir une passerelle IA approuvée, de l’intégrer à la gestion des identités, d’enregistrer les invites et les sorties, d’appliquer la rédaction pour les champs sensibles et de publier des règles claires et concises. De telles mesures devraient être associées à une formation brève et basée sur les rôles, ainsi qu’à un catalogue de modèles et de cas d’utilisation approuvés, offrant aux employés un chemin sécurisé vers les avantages de l’IA.
Casey a acquiescé, soulignant que toute solution efficace doit englober à la fois les personnes et la technologie. Il a averti qu’une réaction initiale de blocage total de l’IA est souvent contre-productive, car les employés contourneront généralement ces règles pour obtenir des avantages de productivité. Une stratégie supérieure, a-t-il soutenu, implique de fournir un accès organisationnel à l’IA tout en surveillant et en contrôlant simultanément son utilisation, en intervenant lorsque le comportement s’écarte de la politique. Cela nécessite des politiques claires et applicables combinées à des contrôles en temps réel qui sécurisent l’activité de l’IA partout où elle se produit, y compris la supervision des agents IA qui opèrent à grande échelle avec des données sensibles. En sécurisant l’IA à ses points de déploiement et là où elle effectue un travail critique, les entreprises peuvent en permettre l’utilisation sans sacrifier la visibilité ni le contrôle.