Il est désormais largement admis que l’intelligence artificielle imprégnera presque tous les aspects de nos vies. Cela présente de nouveaux défis liés aux menaces liées à l’IA, à la gestion de l’IA en entreprise et à l’adaptation des programmes de sécurité à un monde de plus en plus axé sur l’IA.
Ce qui compte le plus dans l’évaluation de votre exposition aux risques, c’est de comprendre quel type d’IA est utilisé. Il existe une corrélation directe : une IA générative et agentique plus moderne peut nous exposer à de plus grandes menaces. Le manque de transparence des applications gen AI rend plus difficile pour les équipes de sécurité d’obtenir la visibilité nécessaire sur la destination des données potentiellement sensibles.
La commodité et l’accessibilité des outils d’IA l’emportent souvent sur les risques de sécurité perçus par les utilisateurs, créant ainsi un cycle d’adoption et d’exposition potentielle. Pour contrer efficacement ces menaces évolutives, les organisations doivent adapter leurs programmes de sécurité. Gardant cela à l’esprit, explorons des stratégies permettant d’éviter que ces défis ne se manifestent dans divers domaines organisationnels.
Favoriser la flexibilité
Un domaine clé de transformation consiste à repenser les flux de travail d’approbation pour l’utilisation de l’IA. Les modèles de sécurité traditionnels, souvent caractérisés par des décisions binaires oui/non ou autoriser/bloquer, sont trop rigides pour la nature dynamique de l’IA. Au lieu de cela, les équipes de sécurité doivent adopter des approches plus flexibles, incluant potentiellement des modèles d'adhésion/désinscription pour certaines fonctions d'IA, en particulier lorsque des données client ou réglementées sont impliquées.
Une stratégie que je mets en œuvre avec mon équipe consiste à définir des paramètres clairs pour ce que les utilisateurs peuvent et ne peuvent pas utiliser. L’objectif est de faire passer la sécurité d’un goulot d’étranglement qui entrave l’innovation à un catalyseur de l’adoption sécurisée de l’IA, avec des lignes claires d’activités à l’intérieur et à l’extérieur des limites.
Oui, il y aura toujours une couche d'IA fantôme et d'IA agentique à surveiller à mesure que celles-ci élargissent votre surface d'attaque, mais il est également nécessaire de répondre aux demandes légitimes des unités commerciales. Il est important de disposer d'un système qui réduit les frictions liées au traitement et à l'audit des demandes de nouveaux outils provenant d'autres équipes de l'organisation.
J'ai commencé par rechercher des plateformes et des partenaires de confiance, et trouver des moyens de traiter et d'approuver les demandes pour ces outils plus rapidement. J’appelle cela un processus de « feu jaune », dans lequel vous avez la décision d’accélérer ou de freiner. Cela signifie trouver les deux questions auxquelles il faut absolument répondre sur un outil pour faire approuver cette plateforme ou ce partenaire de confiance. Par exemple, nous pouvons demander : « Est-ce que vous apprenez de mes données ? » » et « Quels contrôles avez-vous mis en place pour que nous puissions activer ou désactiver cet outil si nous en avons besoin ? »
Cela nous permet d’accélérer un examen qui prenait autrefois des jours en seulement 15 minutes. Désormais, les équipes disposent d'un niveau de flexibilité leur permettant d'utiliser les outils de leur choix sans sacrifier les couches de sécurité nécessaires.
Le pouvoir des ambassadeurs de l’IA
Beaucoup d’entre nous connaissent le concept de « champions de la sécurité » au sein d’une organisation, mais je suis également un fervent partisan des « ambassadeurs de l’IA ». Ces programmes visent à impliquer et à donner aux unités commerciales les moyens d'assumer une plus grande part des responsabilités en matière de gouvernance de l'IA.
Les ambassadeurs de l'IA sont des personnes issues de différentes équipes et départements, qui connaissent les règles relatives aux outils d'IA et peuvent encourager leurs équipes à les suivre. Essentiellement, ils fonctionnent comme une extension de l’équipe de sécurité, apportant un niveau de responsabilité qui garantit que leurs collègues suivent les bonnes procédures dans le choix et l’utilisation des outils d’IA. Ils peuvent inventorier les applications de leur équipe et demander des examens du processus d'approbation, ce qui leur permet d'investir davantage pour s'assurer que la manière dont leur propre équipe utilise l'IA est sécurisée et conforme aux politiques de sécurité plus larges.
En formant et en équipant les ambassadeurs de l’IA au sein de différents départements, les organisations peuvent décentraliser certains des processus initiaux d’examen de sécurité. Les ambassadeurs sont chargés de comprendre et d’adhérer aux politiques de gouvernance de l’IA, en veillant à ce que les considérations de sécurité soient intégrées dès le départ à tout nouvel outil introduit dans l’organisation.
Les champions de la sécurité et les ambassadeurs de l’IA ne sont pas les mêmes. Garder les équipes distinctes les unes des autres favorise une culture de responsabilité partagée, permettant un déploiement plus rapide des solutions d'IA tout en maintenant une gouvernance centrée sur le client et une posture de sécurité solide.
En fin de compte, l'IA ne nécessite pas de changements majeurs, mais de petits ajustements stratégiques aux stratégies existantes pour atténuer certaines frictions pour les utilisateurs finaux et favoriser une meilleure culture de sécurité.
En comprenant la véritable nature des menaces basées sur l'IA, en abordant la nature unique de la gestion de l'IA et en favorisant une culture de responsabilité partagée en matière de sécurité, les organisations non seulement atténuent les risques, mais exploitent également tout le potentiel de la technologie.
James Robinson est le responsable de la sécurité de l'information chez Netskope Inc. Il a écrit cet article pour SiliconANGLE.
