BLOG | BUREAU DU CTO

Autoriser et adopter l’IA en s’inspirant des leçons du cloud public

Miniature de Sam Bisbee
Sam Bisbee
Publié le 6 avril 2023

La capacité à exploiter les données mieux que ses concurrents s’est avérée être un avantage gagnant pour les entreprises. Il s’ensuit donc que ce qui semble être des discussions incessantes sur ChatGPT et l’IA générative se transforme rapidement en une vague de lancements de produits « prêts à l’emploi » et de financements de startups précoces. Ces capacités représentent des avancées de plusieurs ordres de grandeur si elles fonctionnent et évoluent en toute sécurité, avec précision, objectivité, etc. On a l’impression que c’est les débuts du cloud public, tant en termes de battage médiatique que d’avantages techniques, mais cette fois-ci, ce sera plus difficile car le saut est bien plus grand.

Amazon Web Services (AWS) a lancé SQS en 2004, suivi de S3 et EC2 en 2006. Si nous acceptons ces événements comme le début de la chronologie du cloud public, ou comme le moment où il est devenu largement utilisable, cela signifie que les entreprises qui n’ont pas encore adopté le cloud public ont accepté deux décennies de coûts d’opportunité . Le cloud public était probablement trop risqué pour les entreprises réglementées en 2006, mais qu’en sera-t-il en 2016 ou 2026 ? Nous avons vu des institutions financières, des gouvernements et d’autres organisations traditionnellement réticentes au risque adopter le cloud public pour une partie ou la totalité de leurs applications et données. Les avantages, par exemple pour ceux qui apprennent à exploiter leurs données et à faire évoluer simultanément la technologie sous-jacente, ont été si importants que quiconque n'a pas commencé son adoption risque d'être trop tard pour profiter de l'avantage qu'il a cédé. 

Contrairement au cloud public, les entreprises n’auront pas des décennies pour évaluer et adopter des fonctionnalités comme l’IA si elles souhaitent rester compétitives, ce qui constitue une préoccupation pour les entreprises puisque la chronologie de l’IA ne commence pas avec ChatGPT. L’espace évolue trop vite et les capacités semblent être de plusieurs ordres de grandeur plus avancées que ce qui sera probablement disponible à court terme avec les technologies alternatives. L'IA conversationnelle avec des interfaces utilisateur familières comme ChatGPT a permis une adoption plus rapide par un groupe plus diversifié de personnes sans nécessiter de connaissances spécialisées comme le faisait et le fait toujours le cloud public. Les nouveaux adeptes estiment que c'est une innovation, tandis que ceux qui sont imprégnés du domaine soulignent d'autres avancées, se demandant pourquoi tant de personnes y prêtent soudainement attention.

Ceux qui adoptent avant leurs concurrents auront un avantage écrasant si la technologie tient ses promesses et ils bénéficieront d’une certaine clémence lorsque (et non si) ils commettent des erreurs au début de leur courbe d’adoption. « Le secteur est au début de son évolution et nous sommes tous en train d’apprendre, mais ici, chez <ACME>, nous restons leaders dans ce domaine passionnant et compétitif… » L’IA générative rédigera probablement le communiqué de presse et les marchés oublieront rapidement le cratère fumant tout en récompensant la prochaine itération comme les nombreux gros titres sur la sécurité des consommateurs et les violations de données auxquels nous nous sommes habitués.

Comme pour le cloud public, l’adoption se fera indépendamment des préoccupations juridiques, informatiques, de sécurité et de conformité. Pour les premiers à adopter cette technologie, l’adoption sera directe et l’IA sera intégrée dans leurs processus et produits. Cela favorisera l’adoption indirecte pour les entreprises « attentistes », car elles utiliseront des logiciels ou des SaaS intégrant l’IA, qu’elles le sachent ou non, ce qui signifie que leurs données entreront dans ces systèmes si ce n’est pas déjà fait. Certains d’entre eux seront évidents, comme les entreprises technologiques qui acceptent rapidement les risques et évaluent les conséquences après le déploiement, mais le risque le plus difficile à gérer pour les programmes de sécurité sera celui des applications de l’IA sous la ligne de flottaison, comme celles que nous avons déjà vues dans la finance et les assurances. Nous continuons de voir des preuves dans l'analyse des violations montrant que la gestion des risques par des tiers n'est pas en mesure d'inventorier correctement l'utilisation des données en aval et les fournisseurs de sous-services sous la ligne de flottaison, en particulier pour les classifications de données moins réglementées qui n'entrent pas dans le champ d'application de normes telles que le RGPD et l'HIPAA et d'autres, de sorte que les programmes de sécurité ne connaîtront probablement pas ou ne comprendront probablement pas non plus l'utilisation de l'IA dans leur chaîne d'approvisionnement de fournisseurs.

Compte tenu de l’attention que ChatGPT a suscitée grâce à sa convivialité et à ses performances, la probabilité qu’un employé ait envoyé des informations confidentielles de votre entreprise à ChatGPT approche les 100 %. Félicitations, votre entreprise a adopté l’IA générative même si vous avez demandé aux employés de ne pas le faire . Ce sentiment devrait vous être familier, car c'est probablement ce que vous avez ressenti lorsque vous avez découvert qu'un ingénieur avait utilisé sa carte de crédit pour déployer la nouvelle application de son équipe sur le cloud public, pour ensuite être récompensé par l'entreprise pour son délai de mise sur le marché plus rapide, son approche innovante et son adoption d'une technologie de pointe. Dans la plupart des environnements actuels, demander à une équipe technologique de ne pas utiliser le cloud public revient un peu à demander à un employé de ne pas utiliser la recherche Google dans son travail quotidien.

C’est là que la sécurité doit devancer l’adoption et la guider sur un chemin adapté au risque, en utilisant son expertise en la matière pour aider ses pairs à développer une thèse d’investissement, un modèle de maturité et une feuille de route adaptés au risque avant que des tiers et des régulateurs ne tentent de prescrire leur propre approche. Avant de plonger dans les profondeurs du cadre de gestion des risques intelligence artificielle du NIST (AI RMF 1.0) et d'effectuer une analyse des écarts par rapport à vos pratiques actuelles, voici quelques exemples de conversations de démarrage que les équipes de sécurité devraient explorer en interne et avec leurs pairs :

  1. Comment déterminons-nous dans quelle mesure la valeur promise est livrée, ambitieuse ou improbable ? Quelles propriétés devrions-nous voir avant d’investir dans une expérience plutôt que dans le développement d’un produit ou dans un niveau d’investissement plus élevé ?
  2. Quelle est la probabilité que nos concurrents adoptent cette approche avant nous ? S’ils réussissent, l’adoption ultérieure sera-t-elle le seul moyen pour nous de combler l’écart ou auront-ils acquis un avantage insurmontable ?
  3. Cette décision est-elle une porte à sens unique ou à double sens ? Existe-t-il des risques connus associés à l’adoption ? Quel serait l’impact matériel si nous adoptions et découvrions de nouveaux risques ?
  4. Dans quelle mesure pouvons-nous posséder cette technologie en interne et garder un contrôle positif sur nos données et nos systèmes ? Avons-nous, ou pouvons-nous raisonnablement obtenir, le talent nécessaire ? Est-il plus sûr de faire appel à un fournisseur de services tiers pour cette technologie ?

Aucune de ces questions ne mentionne ChatGPT ou l’IA. Elles constituent généralement des points de départ raisonnables pour tout programme de sécurité basé sur les risques afin d’évaluer les premières technologies avant leur adoption, qu’il s’agisse du BYOD (apportez votre propre appareil), du cloud public, des conteneurs, de l’apprentissage automatique ou, à terme, de l’IA. Ce n’est pas l’approche que de nombreuses équipes ont adoptée avec le cloud public, et elles ont été prises au dépourvu et inconscientes lorsqu’elles ont réalisé à quel point ce dernier était utilisé directement et indirectement dans leurs organisations. Les acteurs de la menace n’ont pas tardé à s’adapter, car ils ont appris et exploité les propriétés du cloud public plus rapidement que la plupart des consommateurs : toute technologie est à double usage.

La direction et l’adoption de la technologie sont difficiles, voire impossibles à prévoir, mais il est prévisible qu’elle continuera à s’accélérer . Si l’itération actuelle ou future de l’IA rencontre un obstacle et cesse de progresser, ou si l’IA s’avère non viable à des échelles techniques plus grandes ou pour des raisons de coût, elle aura déjà atteint un état utilisable et investissable pour les entreprises. Si l’IA ne se heurte pas à un mur, elle deviendra probablement un investissement attendu et un moyen d’interagir avec les données, les produits et les entreprises, comme nous l’avons déjà vu dans les domaines des ventes, du marketing, des soins de santé et de la finance. Il s’agit donc d’une réalité actuelle – et non future – que les équipes de sécurité doivent déterminer comment faire évoluer leurs pratiques de sécurité des données et de gestion des risques liés aux tiers pour faire face à cette technologie. Ils doivent rattraper leur retard et prendre de l'avance sur l'adoption déjà croissante afin de ne pas avoir à revivre l'expérience du cloud public qui devance la sécurité du cloud.