IA générative : créer un écosystème plus sûr et conforme à la protection des données

Pourriez-vous présenter Finegan ?

Finegan est un cabinet de conseil indépendant français, qui accompagne ses clients dans leurs projets de transformation métier, réglementaire et digitale. Le groupe est présent en France mais également sur d’autres marchés en Europe (Belgique, Luxembourg) et en Asie (Singapour).

Historiquement dédié aux métiers de la finance, Finegan accompagne aujourd’hui sur l’ensemble de leurs problématiques d’innovation, de transformation et de mise en conformité réglementaire les décideurs de multiples secteurs (assurance, banque, cybersécurité, énergies et utilities, luxe and retail…).

Le cabinet s’organise autour de 3 métiers aux fortes synergies :

• Finegan Advisory, pour accompagner les décideurs dans leurs projets de transformation métier, règlementaire et digitale
• Finegan Expertises, pour une approche sur mesure en matière d’audit, contrôle interne et conformité réglementaire
• Finegan Solutions, pour assister les clients dans la mise en œuvre opérationnelle de leurs projets informatiques, digitaux, gestion de la donnée et trésorerie.

L’IA générative devient une opportunité en entreprise. Selon vous, « elle n’apporte pas sur le plan cyber de nouvelles menaces mais une évolution de celles-ci », pourriez-vous préciser ?

De mon point de vue, nous assistons aujourd’hui plus à une utilisation audacieuse de l’IA par des acteurs mal intentionnés, plutôt qu’à de réelles nouvelles menaces.

L’IA, et notamment l’IA générative, sont détournées à des fins malveillantes et ces menaces sont de plus en plus larges, dans le sens où elles sont rendues accessibles par le plus grand monde. Là est l’évolution de la menace.

Au même titre que de nombreux citoyens utilisent l’IA générative pour accomplir diverses tâches dans leur quotidien, par souci de rapidité, d’efficacité, d’efficience… les acteurs malveillants en font les mêmes usages.

On assiste donc d’une part, à une multiplication et d’autre part, à une amplification des menaces existantes. C’est tout spécialement le cas des approches basées sur l’ingénierie sociale, comme la rédaction de prompts pour générer des emails de phishing ou l’apparition de bots capables de téléphoner, interagir et collecter des données personnelles. Toutes ces techniques préexistent à l’IA et sont très largement utilisées. Seulement aujourd’hui, leurs usages sont facilités et par conséquent, elles peuvent toucher un public de plus en plus large. D’ailleurs, dans un récent rapport de l’éditeur Helpline, on constate une augmentation des attaques par phishing de +54% au S1 2023 par rapport au S2 2022.

D’autre part, la génération de code dans de nombreux langages permet avec assez peu de connaissances techniques au départ, de générer des scripts malveillants pouvant exécuter des malwares ou exploiter des vulnérabilités existantes qui sont mal prises en compte par les organisations.

Vous dites que l’enjeu est de créer un modèle hybride. Qu’est-ce que cela signifie concrètement ? Y a-t-il des bonnes pratiques à mettre en place ? 

Aujourd’hui, l’un des freins à l’adoption de l’IA générative, en particulier dans les entreprises, est lié à l’utilisation et la protection des données qui sont transmises par les utilisateurs.
Se posent également des questions autour du manque de cadre et protection juridique.

D’un point de vue général, les modèles d’IA sont encore trop souvent obscurs en termes de fonctionnement, d’audibilité de leurs modèles et de transferts de données effectués. Trop peu d’applications embarquant de l’IA générative sont en capacité de démontrer leur respect de la confidentialité des données par exemple.

L’entrée en vigueur de l’IA Act pourrait apporter plus de transparence et de confiance sur ces aspects.

Cependant, dans l’Union Européenne, ce manque de garantie sur l’utilisation et la protection des données ralentit nettement l’adoption de l’IA générative grand public en entreprise et dans ses process. On pourrait alors tout à fait voir apparaitre au même titre que le Cloud Public / Privé / Hybride, des modèles d’IA génératives similaires.

Selon les projets et les usages, différents schémas peuvent être développés : des modèles d’IA publics comme il en existe aujourd’hui sur Google ou OpenAI, ou des IA génératives privées, développées, entrainées et sourcées sur des réseaux privés avec des données privées d’entreprise, ou parfois des modèles hybrides.

L’enjeu dans une approche hybride est de parvenir à combiner la puissance de l’IA générative issue du Cloud tout en préservant la confidentialité des données et l’éthique. L’une des solutions pourrait être alors apportée par le concept d’informatique distribuée entre le cloud et l’infrastructure privée.

A ce jour, en termes de bonnes pratiques, il faudrait, de mon point de vue, avant tout sensibiliser les utilisateurs sur ces enjeux autour de la protection des données et IA générative. Un service gratuit aujourd’hui n’est gratuit quasi exclusivement parce qu’il collecte des données de valeur pour divers usages.

Aujourd’hui, la gratuité d’un service ne se fait qu’au prix d’une collecte de données de valeur pour différents usages.

Il faut également être conscient de la dimension éthique de l’utilisation de ces outils et des biais qui peuvent en découler. Par ailleurs, certains modèles d’IA générative grand public n’hésitent pas à renvoyer des réponses inexactes plutôt que d’admettre leur limite.

Je pense sincèrement qu’il faut voir l’IA générative comme une aide, encadrée, et préserver pour autant son libre arbitre.

Afin d’encadrer au mieux ces nouveaux usages certaines entreprises ont commencé à sensibiliser leurs collaborateurs, ont rédigé des chartes liées aux usages de l’IA. On verra certainement très prochainement au sein des organisations se construire une gouvernance dédiée à l’éthique et l’IA afin d’adresser pleinement ce sujet pluridisciplinaire.

Smart DSI N°32