Les employés utilisent l'IA générative pour faciliter leur travail, sans l’autorisation ou la supervision du service informatique. Ils peuvent ainsi gagner du temps, augmenter leur productivité, innover ou améliorer leur expérience client. Cependant, l’adoption non contrôlée de l’IA générative devient progressivement un défi pour les responsables de la sécurité de l’information qui doivent aborder l’IA générative avec prudence et se préparer avec les mesures de cyberdéfense nécessaires. Étant donné que toutes les entreprises ne disposent pas de leur propre GPT, elles doivent surveiller la façon dont les employés se servent de cette technologie.L’investissement croissant des grandes entreprises technologiques dans l’intelligence artificielle et les chatbots, dans un contexte de licenciements massifs et un déclin de la croissance de leurs activités, a plongé de nombreux responsables de la sécurité de l’information dans la tourmente.
De ChatGPT d'OpenAI à Bard de Google, sans oublier le Bing nouvelle génération ou le projet d'Elon Musk pour créer son propre chatbot, l'IA générative fait plus que parler d'elle dans les journaux : elle s'infiltre dans le lieu de travail. Les actualités faisant état de l'utilisation de ChatGPT en entreprise ne manquent pas.
Nous pouvons citer le cas d'Amazon où ChatGPT a été utilisé comme une sorte « d'assistant de codage » pour aider les techniciens à écrire ou à améliorer des blocs de code interne existant. La situation a été découverte assez simplement : des extraits de texte générés par ChatGPT ressemblaient beaucoup à ses secrets d'entreprise, raison pour laquelle l'entreprise a tenté d'empêcher ses employés de divulguer quoi que ce soit d'autre à l'algorithme.
Face à cette situation, les responsables de la sécurité de l’information doivent aborder cette technologie avec prudence et se préparer avec les mesures de sécurité nécessaires.
Toutes les entreprises ne disposent pas de leur propre GPT
L’IA générative est une technologie qui permet de produire du texte, des images, des sons ou des vidéos à partir de données existantes ou de zéro. Elle repose sur des modèles linguistiques volumineux (MLV), ou des algorithmes qui apprennent à partir de vastes corpus de données et qui peuvent générer des conversations humaines à partir d’un chatbot. C'est cette technologie sur laquelle s'appuie GPT, mais toutes les entreprises n'ont pas leur propre version de GPT, et doivent donc surveiller la façon dont les travailleurs utilisent cette technologie.
Les gens vont utiliser l'IA générative s'ils la trouvent utile pour faire leur travail, a estimé Michael Chui, partenaire du McKinsey Global Institute, en la comparant à la façon dont les travailleurs utilisent les ordinateurs personnels ou les téléphones. « Même lorsqu'il n'est pas sanctionné ou béni par le service informatique, les gens trouvent [les chatbots] utiles », a déclaré Chui.
« Tout au long de l'histoire, nous avons trouvé des technologies si convaincantes que les individus sont prêts à payer pour cela », a-t-il déclaré. « Les gens achetaient des téléphones portables bien avant que les entreprises ne disent: "Je vais vous le fournir". Les PC étaient similaires, nous voyons donc l'équivalent maintenant avec l'IA générative ».
En conséquence, il y a un « rattrapage » pour les entreprises quant à la manière dont elles vont aborder les mesures de sécurité, a ajouté Chui.
Qu'il s'agisse de pratiques commerciales standard telles que la surveillance des informations partagées sur une plate-forme d'IA ou l'intégration d'un GPT sanctionné par l'entreprise sur le lieu de travail, les experts pensent qu'il existe certains domaines dans lesquels les RSSI (responsables de la sécurité de l'information) et les entreprises devraient commencer.
Commencez par les bases de la sécurité de l'information
Alors que l'IA et le GPT s'installent sur le lieu de travail, les RSSI peuvent commencer par les bases de la sécurité.
Chui a déclaré que les entreprises peuvent autoriser l'utilisation d'une plate-forme d'IA existante, afin qu'elles puissent surveiller ce que les employés disent à un chatbot et s'assurer que les informations partagées sont protégées.
« Si vous êtes une entreprise, vous ne voulez pas que vos employés formulent des requêtes avec des informations confidentielles sur un chatbot accessible au public », a déclaré Chui. « Ainsi, vous pouvez mettre en place des moyens techniques, où vous pouvez obtenir une licence pour le logiciel et avoir un accord juridique exécutoire sur l'endroit où vos données vont ou ne vont pas ».
L'utilisation de logiciels sous licence s'accompagne de freins et contrepoids supplémentaires, a déclaré Chui. La protection des informations confidentielles, la réglementation de l'endroit où les informations sont stockées et les directives sur la manière dont les employés peuvent utiliser le logiciel sont toutes des procédures standard lorsque les entreprises octroient une licence à un logiciel, IA ou non.
« Si vous avez un accord, vous pouvez auditer le logiciel, afin de voir s'il protège les données de la manière dont vous souhaitez qu'elles soient protégées », a déclaré Chui.
La plupart des entreprises qui stockent des informations avec des logiciels basés sur le cloud le font déjà, a rappelé Chui, donc aller de l'avant et offrir aux employés une plate-forme d'IA approuvée par l'entreprise signifie qu'une entreprise est déjà en ligne avec les pratiques existantes de l'industrie.
Le Congrès américain, cas pratique d'utilisation des licences
En parlant de licences, le service numérique de la Chambre des représentants des États-Unis (House Digital Services) a obtenu 40 licences pour ChatGPT Plus.
L'achat des licences intervient dans le contexte d'un débat généralisé sur la manière dont la technologie de l'intelligence artificielle devrait être utilisée et réglementée dans le secteur privé et au sein du gouvernement. Cela représente l'un des premiers exemples d'utilisation de ChatGPT dans le cadre du processus d'élaboration des politiques.
Les 40 licences ont été attribuées selon le principe du premier arrivé, premier servi, et la House Digital Services paiera le plan d'abonnement de 20 $/mois par bureau pour une durée indéterminée, selon le responsable. Les détails sur les bureaux du Congrès qui ont reçu les licences ChatGPT Plus resteront anonymes pour le moment.
« Souvent, les membres expérimentent des choses, de nouveaux outils, à leur manière et nous voulons simplement être au courant de cela. Nous voulons aider à faciliter cette expérimentation », a déclaré le responsable. Et d'ajouter : « il y a tellement de cas d'utilisation différents pour ChatGPT, mais ce que nous avons entendu est en tête de liste pour les bureaux du Congrès, c'est la création et la synthèse de contenu ».
Le chatbot ne pourra pas fonctionner sur le serveur interne de la Chambre des représentants, qui dispose d'un pare-feu qui le bloquera. Il a également été conseillé au personnel de ne pas utiliser l'outil pour exécuter des requêtes à l'aide de données du Congrès ou d'autres informations internes sensibles. De plus, l'outil OpenAI ne peut pas être utilisé pour télécharger du code sur des appareils du Congrès, mais peut être utilisé dans un navigateur Web ou une interface de programmation d'application (API) pour les requêtes.
Comment créer ou intégrer un GPT personnalisé
Une option de sécurité pour les entreprises consiste à développer leur propre GPT ou à embaucher des entreprises qui créent cette technologie pour créer une version personnalisée, explique Sameer Penakalapati, PDG de Ceipal, une plateforme d'acquisition de talents basée sur l'IA.
Dans des fonctions spécifiques telles que les RH, il existe plusieurs plates-formes allant de Ceipal à TalentGPT de Beamery, et les entreprises peuvent envisager le projet de Microsoft d'offrir un GPT personnalisable. Mais malgré des coûts de plus en plus élevés, les entreprises peuvent également vouloir créer leur propre technologie.
Si une entreprise crée son propre GPT, le logiciel disposera des informations exactes auxquelles il souhaite que les employés aient accès. Une entreprise peut également protéger les informations que les employés injectent dans GPT, a déclaré Penakalapati, mais même embaucher une société d'intelligence artificielle pour générer cette plate-forme permettra aux entreprises d'alimenter et de stocker des informations en toute sécurité, a-t-il ajouté.
Quelle que soit la voie choisie par une entreprise, Penakalapati a déclaré que les RSSI doivent se rappeler que ces machines marchent en fonction de la façon dont elles ont été enseignées. Il est important d'être intentionnel quant aux données que vous fournissez à la technologie.
« Je dis toujours aux gens de s'assurer que vous disposez d'une technologie qui fournit des informations basées sur des données impartiales et précises », a déclaré Penakalapati. « Parce que cette technologie n'est pas créée par accident ».
Conclusion
Il serait intéressant de disposer d'une étude présentant les avantages et les inconvénients de l’IA générative au sein de l'entreprise de manière équilibrée et nuancée. De plus, des exemples concrets et des chiffres sur l’utilisation réelle de l’IA générative par les employés seraient les bienvenues.
Il faut également s’intéresser aux conséquences juridiques ou réglementaires potentielles de cette utilisation. À ce propos, l'Union européenne prépare une législation qui obligerait les outils d’intelligence artificielle comme ChatGPT à divulguer le matériel protégé par le droit d’auteur utilisé dans la construction de leurs systèmes, selon un nouveau projet de loi qui serait le premier ensemble de règles complet de l’Occident régissant le déploiement de l’IA. Cette obligation permettrait aux éditeurs et aux créateurs de contenu de disposer d’une nouvelle arme pour demander une part des bénéfices lorsque leurs œuvres sont utilisées comme matériau source pour le contenu généré par l’IA par des outils comme ChatGPT.
Source : CNN
Et vous ?
Quelles sont les implications ou les conséquences de l’utilisation secrète de ChatGPT et de l’IA par les employés pour les entreprises et la société ? Quelles sont les solutions ou les recommandations que vous proposeriez pour gérer les risques et les défis liés à l’IA générative ? 
Envoyé par Stéphane le calme
