Pourquoi? Gartner estime que plus de 90 % des employés qui ont admis s'être livrés à diverses activités non autorisées au travail savaient que cela augmenterait le risque pour l'organisation, mais n'ont pour autant pas arrêté de le faire. La conception de la sécurité centrée sur l’humain, prenant en compte l’individu et pas seulement la technologie, sera donc au cœur de la conception et de la mise en œuvre des contrôles informatiques. Cela minimisera les frictions opérationnelles et introduira un réel contrôle sur les outils utilisés dans l’entreprise.
Shadow AI entre en scène
Il semble que les fusibles de l'entreprise n'aient pas le choix. D'ici 2027, 75 % des salariés achèteront, modifieront ou créeront des technologies hors de la vue des services informatiques. Il s’agit d’une forte augmentation par rapport à 41 % en 2022. Le rôle et les responsabilités du RSSI évoluent donc d'un superviseur et contrôleur à une personne qui facilite la prise de décision en matière de risques. Gartner recommande d'aller au-delà de la technologie et de l'automatisation pour impliquer les employés, accroître leur sensibilisation et leur capacité à influencer les décisions.
Pendant ce temps, des sentiments autonomes et révolutionnaires grandissent parmi les salariés. D'après le rapport Indice des tendances du travail Microsoft, 78 % des utilisateurs d'IA utilisent leurs propres outils d'IA pour travailler (même 80 % dans les petites et moyennes entreprises). Ces données sont également confirmées par d’autres études et rapports. Selon les estimations de BetterCloud, environ 65 % des applications SaaS exécutées dans une entreprise moyenne n'ont jamais reçu le feu vert du service informatique pour être lancées.
Malheureusement, cela signifie que les employés contournent les politiques organisationnelles et compromettent la sécurité que leurs services informatiques et de sécurité s'efforcent de maintenir. Ils ressentent un certain malaise : selon Microsoft, 52 % des personnes qui utilisent l’intelligence artificielle au travail hésitent à admettre l’utiliser pour leurs tâches les plus importantes.
Du ludique au consensus – prêt pour le BYOAI ?
L’IA fantôme prospère à l’ère de l’IA générative. Le seuil d'accessibilité est bien inférieur par rapport aux technologies cloud ou à l'intelligence artificielle « traditionnelle », où la connaissance de l'utilisation d'un IDE ou de la programmation est requise. Des cycles de mise en œuvre plus rapides raccourcissent les cycles de décision de l'entreprise, ce qui rend plus difficile pour les DSI et les RSSI d'élaborer des stratégies appropriées d'atténuation des risques. Dans Forbes, le chercheur et écrivain Bryan Robinson, décrivant le phénomène de l'IA fantôme, a souligné que si près de la moitié des cadres (45 % selon l'étude) utilisent une approche « regarder et attendre » de l'IA, les employés ont apparemment manqué le mémo d'entreprise correspondant. – plus des trois quarts d'entre eux (je fais ici référence au rapport Microsoft cité plus haut) utilisent l'intelligence artificielle au travail.
Pour tirer pleinement parti des avantages de l’intelligence artificielle, les décideurs politiques doivent trouver un équilibre entre droit et innovation. Entre permettre aux employés d'utiliser les outils dont ils ont besoin et garantir que l'utilisation de l'IA reste sûre, conforme et cohérente avec la politique de l'entreprise. L’utilisation d’outils d’IA non approuvés expose votre entreprise à la fois à des failles de sécurité et à des problèmes juridiques. Au lieu de considérer l’IA fantôme comme une menace, les entreprises peuvent en faire un catalyseur de croissance, favorisant un environnement où l’innovation se développe, mais dans les limites d’une gouvernance forte. Alors peut-être qu’une vision d’une bonne Shadow AI au sein d’une culture d’ouverture apparaît à l’horizon. Quelque chose comme BYOAI – Bring Your Own AI.