Pour mettre en conformité l'intelligence artificielle, la connaissance n'est que le début

Pour faciliter leur application de la législation, les entreprises doivent pouvoir maîtriser les possibilités qu'offre cette technologie et les différents cas dans lesquels elle peut servir.

D’après une nouvelle étude publiée par la CISAC (Confédération Internationale des Sociétés d’Auteurs et Compositeurs) et le cabinet PMP Strategy sur l’impact de l’intelligence artificielle (IA) générative dans les secteurs musicaux et audiovisuels, celle-ci représente une potentielle perte de 24 % des revenus des créateurs de musique et 21 % de ceux des créateurs audiovisuels d’ici à 2028. L’étude montre en quoi l’IA générative constitue un outil au potentiel colossal, en termes d’avancée dans différents domaines (informatique, art, médecine, etc.), mais aussi en termes de nuisance.

L’AI Act de l’Union européenne classe les solutions d’intelligence artificielle (IA) en fonction de leur niveau de risque, qui sont au nombre de quatre : risque minimal, usage commun, risque élevé et interdit. Les entreprises doivent se conformer aux impératifs de la loi par rapport aux solutions interdites d’usage avant la date butoir du 2 février 2025. À l’approche de cette échéance, leurs dirigeants doivent notamment maîtriser les huit cas dans lesquels une entreprise ne peut recourir à l’IA. Ceux-ci incluent l’utilisation de solutions de techniques de manipulation ou d’exploitation, de classement social, de prévision policière, de création de bases de données de reconnaissance faciale, de détection des ressentis d’employés ou d’étudiants, d’utilisation de données biométriques pour recueillir des informations personnelles sensibles (telles que définies par le RGPD), et d’identification biométrique en temps réel dans les lieux publics à des fins d’application de la loi.

S’il est important de savoir quels systèmes d’IA sont interdits, et ceux qui ne peuvent être considérés qu’à haut risque, la première étape pour toute entreprise consiste à comprendre comment elle peut utiliser l’IA dans ses opérations quotidiennes.

A la découverte de l’IA de l’ombre

Le bon fonctionnement d’une entreprise s’appuie beaucoup sur sa capacité à faire l’inventaire de ses ressources informatiques et à les gérer. Or, au-delà du grand nombre d’applications et de services cloud approuvés en entreprise, les employés utilisent de plus en plus d’applications et de services non managées – appelés « IT de l’ombre » - et ces ressources intègrent souvent de l’intelligence artificielle.

Un CASB (Cloud Access Security Broker) efficace peut identifier les applications managées et non managées dans l’écosystème IT d’une entreprise et les classer selon divers critères, y compris leur usage de l’IA. Une fois tous les systèmes d’IA identifiés, une cartographie des flux de données dans toute l’entreprise permet de voir les applications d’IA qui ingèrent des données. Ces informations fournissent aux CISO et aux administrateurs IT les éléments nécessaires pour prendre des décisions plus avisées sur l’impact probable de l’adoption ou du dé-provisionnement de diverses applications.

Dans le cadre de ce processus, les politiques de prévention des pertes de données (DLP) peuvent aider les entreprises à repérer les données sensibles et à suivre ou empêcher leur ingestion par les systèmes d’IA, ainsi qu’à identifier les contenus que celle-ci génère. Elles peuvent également exploiter des solutions de gestion de la posture de sécurité du cloud (Cloud Security Posture Management, CSPM) et de gestion de la posture de sécurité SaaS (SaaS Security Posture Management, SSPM) pour surveiller les ressources utilisant l’IA et éviter les « dérives de configuration », garantissant ainsi que l’utilisation des applications et services s’appuyant sur l’IA suive les paramètres définis par l’entreprise.

Protéger les collaborateurs, les clients et le public

L’interdiction de certaines utilisations de l’IA trouvent un sens tout particulier pour les employeurs, notamment la détection des émotions, les notations sociales, et la collecte des données personnelles sensibles grâce à la biométrie. Là encore, les politiques DLP peuvent servir à identifier les données sensibles selon le RGPD, même lorsque ces données proviennent d’une solution d’IA. En ce qui concerne la détection des émotions, il faut faire la distinction entre cette dernière et les outils ordinaires d’analyse des sentiments, utilisés depuis de nombreuses années pour évaluer le moral du personnel et la manière dont il réagit aux évolutions d’une entreprise. Certes, ces termes ne présentent aucune différence, mais l’analyse des sentiments se limite généralement à l’obtention d’une réponse positive ou négative. À l’inverse, la détection des émotions affine beaucoup le processus, couvre une gamme plus large de ressentis spécifiques et peut, par conséquent, plus facilement servir à des fins de manipulation ou d’exploitation.

Les outils de surveillance des équipes, comme l’analyse du comportement des utilisateurs et des entités (User and Entity Behavior Analytics, UEBA), intègrent souvent des fonctionnalités d’IA pour créer des modèles de référence d’un comportement utilisateur dit normal. Ces analyses permettent entre autres de détecter ceux qui s’écartent de la norme – possible indicateur de compromission. Certaines solutions UEBA avancées attribuent également aux utilisateurs un score de risque en fonction de leur exploitation des ressources informatiques. Utilisé en temps réel, ce score de risque permet d’ajuster les privilèges d’accès, voire d’orienter les utilisateurs vers une formation complémentaire sur les politiques de l’entreprise.

Si la loi interdit la notation sociale, elle ne vise probablement pas ce type de solutions UEBA, et ce pour plusieurs raisons. Tout d’abord, la loi n’interdit la notation sociale que si elle porte préjudice à une personne dans un contexte autre que celui dans lequel les données ont été collectées, ou si elle génère un tort disproportionné par rapport au comportement de la personne concernée. Or, dans le cas de l’UEBA, les scores de risque n’entrent en jeu que dans le contexte de l’écosystème IT de l’entreprise, et se limitent à la mise en œuvre de mesures de précaution ou de discipline normales liées à l’utilisation des ressources informationnelles de l’entreprise.

Les entreprises doivent envisager de miser sur un outil UEBA avancé pour appuyer leur conformité IA. En analysant les interactions des utilisateurs avec les systèmes d’IA, elles pourront mieux détecter et prévenir les activités non autorisées et nuisibles.

En revanche, la notation sociale risque plus d’impacter négativement les clients, en particulier dans des secteurs comme la finance, ou lorsque les entreprises partagent les données générées par l’IA avec des entités affiliées. Ce risque renforce la nécessité de mettre en place des politiques DLP qui permettent d’identifier les données générées par l’IA, et de cartographier la circulation des données client vers ou depuis des applications fonctionnant grâce à l’IA.

Enfin, les entreprises doivent veiller à ce que leur utilisation de l’IA ne crée pas de contenus – ni ne conduise à des choix de conception de sites web ou d’applications – pouvant laisser penser qu’elles cherchent à manipuler ou à exploiter. Par exemple, si les plateformes de réseaux sociaux ne sont généralement pas responsables du contenu que leurs utilisateurs humains téléchargent, en vertu des lois européennes et américaines, elles peuvent néanmoins l’être de concevoir des algorithmes d’IA qui favorisent des contenus dangereux, surtout lorsqu’ils ciblent des populations vulnérables comme les enfants.

Ainsi, en plus de former leurs collaborateurs à une utilisation éthique de l’IA, les entreprises doivent être conscientes des nouvelles techniques, comme l’injection rapide, que les acteurs malveillants utilisent pour amener les systèmes d’IA à réaliser des actions ou à divulguer des informations en violation des réglementations ou des politiques de l’entreprise. En déployant des logiciels de protection avancés capables de détecter et de neutraliser les menaces qui pèsent sur les systèmes d’IA, les entreprises assureront une utilisation sécurisée de l’IA dans le respect de la loi.