Les entreprises souhaitent de plus en plus s’appuyer sur l’intelligence artificielle (IA) pour optimiser leurs opérations et rester compétitives. Cependant, une nouvelle menace émerge : le Shadow AI. Les organisations doivent-elles choisir entre opportunités commerciales et absence de confidentialité des données ? Quelles mesures doivent-elles déployer ?
« DeepSeek : l’IA qui révolutionne le secteur », « Comment DeepSeek a réussi à développer un modèle d’IA low-cost et performant », « DeepSeek, une menace fantôme pour Wall Street ? », etc. Le concurrent chinois de ChatGPT, appelé Web Chat, a fait la Une des médias fin janvier.
Depuis, le soufflet est un peu retombé, car de nombreux experts ont analysé et testé cette solution développée par DeepSeek, une startup chinoise fondée en 2023 et détenue par High-Flyer, un fonds d’investissement spéculatif.
DeepSeek stocke en effet les informations sur des serveurs chinois et sa version web intègre un code caché qui a la capacité d’envoyer des données utilisateurs à des entreprises proches du gouvernement chinois. Ce n’est pas vraiment une surprise car il suffit de lire les conditions générales de service pour constater toutes les données exploitées par DeepSeek, c’est d’ailleurs plus explicite qu’OpenAI ! Mais au final, cette récupération de données n’est pas nouvelle puisque toutes les applications le font. Cela n’a pas empêché certains pays (Taïwan, l’Italie, l’Australie…) de l’interdire.
L’affaire DeepSeek est la partie visible d’un nouvel iceberg qui s’approche de plus en plus du périmètre de nombreuses entreprises : le ShadowAI. Similaire au Shadow IT, il désigne l’utilisation de technologies d’IA sans l’approbation ou la supervision adéquate des départements informatiques ou de sécurité. Cela peut inclure des outils d’analyse de données, des chatbots, ou même des algorithmes de prise de décision intégrés dans des applications tierces. Contrairement aux solutions approuvées, ces outils ne sont pas soumis aux mêmes contrôles de sécurité et de conformité, ce qui peut entraîner des vulnérabilités critiques.
Bien que l’adoption de l’IA puisse offrir des avantages significatifs, le Shadow AI présente des risques importants pour la confidentialité des données. Et toutes les entreprises n’y sont pas préparées.
« Pres de la moitié de nos grands clients sont matures et disposent d’une politique en termes d’AI car ils considèrent les fuites de données comme le principal risque. Ils répertorient ce qui est autorisé ou pas dans le cadre de l’entreprise pour faire son boulot », constate Vincent XXX, Expert en cybersécurité pour CISCO
Julien Dreano, RSSI du groupe Framatome, apporte une nuance en indiquant
« qu’il faut distinguer le Shadow AI interne et externe. D’un côté, il y a des services utilisés par l’entreprise qui sont à l’extérieur, comme ceux d’OpenAI, et qu’il faut surveiller. Et de l’autre, des modèles qu’on met dans l’entreprise et amènent de nouveaux risques. Globalement, pour les services externes, nous avions déjà des règles ; par exemple, il est interdit de traduire des documents avec Google Traduction. Il y a des mots-clés interdits dans les moteurs de recherche. Le vrai problème, c’est comment on va deviner l’intention de l’être humain qui discute avec l’IA ».
À juste titre, Jérôme Delaville, directeur technique des services clients chez Olfeo, rappelle qu’il ne faut pas oublier
« l’utilisateur qu’il va falloir accompagner. Une récente étude a révélé que 49% des utilisateurs bravent les interdits ! ».
Or quelle est la situation actuelle concernant l’usage de l’IA en entreprise ? Pas encore assez sensibilisés aux risques, les employés téléchargent et utilisent des solutions de GenAI sans l’approbation de leur hiérarchie. Les interdictions classiques des entreprises sur les outils d’IA se révèlent difficiles à appliquer. Résultat, des informations sensibles de l’entreprise peuvent être partagées par inadvertance lors de conversations informelles .
Les principaux risques de l’IA en entreprise
- Les fuites de données critiques
L’une des principales menaces est en effet la fuite de données sensibles. Par exemple, un collaborateur utilisant un outil d’analyse de données non approuvé pourrait involontairement exposer des informations clients à des tiers malveillants.
Pour Michel Truong, DSI de FED group, « il faut comprendre les besoins des métiers. S’ils ne trouvent pas leur réponse par rapport avec l’IA mise en place, ils iront la chercher avec une autre solution. D’où la nécessité d’avoir une visibilité globale ».
- La non-conformité réglementaire
L’utilisation de Shadow AI peut également entraîner des violations des réglementations sur la protection des données, telles que le RGPD en Europe. Les entreprises doivent garantir que toutes les données personnelles sont traitées conformément aux réglementations, ce qui devient difficile lorsque des outils non régulés sont utilisés.
- Des vulnérabilités de sécurité
Les solutions d’IA non approuvées peuvent contenir des failles qui peuvent être exploitées par des cybercriminels. Elles peuvent servir de points d’entrée pour des attaques plus larges, compromettant ainsi l’ensemble du réseau de l’entreprise.
- La perte de contrôle sur les données
L’utilisation de Shadow AI peut entraîner une perte de contrôle sur les données de l’entreprise. Les outils non autorisés peuvent stocker des données dans des emplacements inconnus ou les partager avec des tiers sans le consentement de l’entreprise.
Il y a aussi « la perte de contrôle de la qualité de ce que l’on fait. Si personne ne revérifie le résultat de l’IA, et qu’on prend cela pour argent comptant, nous aurons bientôt plus les moyens de garantir notre qualité, notre contenu, parce que ça va dériver dans le temps. Les IA, c’est très bien. Il faut y aller, mais il faut contrôler et accompagner», insiste Julien Dreano RSSI du groupe Framatome.
DeepSeek ne sera pas la dernière application de ShadowAI dont il faudra se méfier. Alors, quelles mesures les entreprises doivent-elles prendre pour empêcher ces applications de subtiliser leurs secrets professionnels ?
Sensibiliser les collaborateurs
La première ligne de défense contre le Shadow AI est la sensibilisation des employés. Les entreprises doivent former leur personnel sur les risques associés à l’utilisation non autorisée de solutions d’IA et les encourager à utiliser uniquement des outils approuvés.
«Il est nécessaire de définir les usages, pour savoir ce qui apporte vraiment de la valeur. Je prends un exemple, j’ai des collaborateurs qui écrivent des emails de remerciements avec l’IA, est-ce que ça crée de la valeur ? Ou est-ce que justement ça dénature le contenu ? C’est la raison pour laquelle il faut sensibiliser avec des exemples concrets de la vie de tous les jours. C’est ce que nous faisons chez FED et je suis assez content parce que les salariés doutent maintenant de tout », constate Michel Truong.
Définir des politiques de gouvernance strictes
Il est crucial d’établir des politiques claires sur l’utilisation de l’IA au sein de l’organisation. Ces politiques doivent définir les processus d’approbation pour les nouveaux outils d’IA et les exigences de sécurité et de conformité. « Chez Fed, l’IA est hébergée chez nous et nous lui avons fait apprendre nos propres données. Mais il y a quelques limitations. La première est l’effet déceptif. Nous ne pouvons pas dire aux collaborateurs « c’est juste pour cette fonction-là », « c’est juste pour faire une activité ». Or, eux, ils veulent pouvoir tout faire avec l’IA pour un usage professionnel, mais aussi personnel comme les devoirs de leurs enfants. Et la seconde limite, c’est que l’IA est cher », reconnaît Michel Truong.
Surveiller et auditer son SI
Les entreprises doivent mettre en place des mécanismes de surveillance pour détecter l’utilisation de Shadow AI. Des audits réguliers peuvent aider à identifier les outils non autorisés et à évaluer les risques associés.
En conclusion, le Shadow AI représente une menace sérieuse pour la confidentialité des données des entreprises. DeepSeek récupérer des données. Mais ne soyons pas naïfs, toutes les entreprises d’intelligence artificielle collectent des données d’une manière ou d’une autre.
Cependant, avec une sensibilisation accrue, des politiques de gouvernance strictes et des solutions de sécurité intégrées, les entreprises peuvent atténuer ces risques. Il est indispensable d’intégrer les métiers dans la problématique du ShadowAI afin de comprendre précisément les besoins. En adoptant une approche proactive, les responsables de la sécurité informatique et les chefs d’entreprise peuvent tirer parti des avantages de l’IA tout en protégeant leurs données.
