Si l’intelligence artificielle (IA) est encore nouvelle et passionnante, elle n’est pas différente des autres technologies. Si vous décidez de le mettre en œuvre au sein de votre organisation, assurez-vous que vous êtes conscient des risques potentiels d’exposition.
Nous connaissons les avantages de l’IA, mais avec 35 pour cent des entreprises qui l’adoptent aujourd’hui, l’accent doit être mis sur la façon de se préparer à un éventuel problème. Il s’agit notamment de comprendre comment l’IA peut être exploitée pour tromper, manipuler ou nuire aux organisations, et de disposer d’outils permettant de se défendre contre les risques et de les atténuer.
L’IA est utilisée de manière fallacieuse
L’un des principaux risques associés à l’IA est la capacité des personnes à se faire passer pour ce qu’elles ne sont pas. Par exemple, l’IA peut rendre les CV (ou curriculum vitae) plus attrayants et le processus d’élaboration beaucoup plus rapide. Sur un marché du travail de plus en plus concurrentiel, les diplômés utilisent des outils comme OpenAI ou ChatGPT pour rédiger des lettres de motivation en plus de leur CV. Bien que cela permette à certains candidats de franchir les étapes du recrutement, les entreprises constatent que lorsqu’un candidat est convoqué à un entretien, il existe des disparités entre les qualifications inscrites sur le papier et la personne assise de l’autre côté du bureau.
De même, les institutions financières utilisent souvent des formulaires en ligne et l’IA pour déterminer s’il convient d’accorder un prêt ou un crédit à quelqu’un. L’automatisation de ces processus signifie que les entreprises ne rencontrent pas toujours les gens face à face, ce qui en fait une cible de choix pour ceux qui veulent exploiter le système.
Dans une variante des attaques traditionnelles de « whaling » (un type d’attaque d’hameçonnage ciblant les cadres supérieurs), des rapports récents font état de fraudeurs utilisant l’IA pour des demandes en hypertrucage au nom du directeur financier (CFO).
Ces exemples soulignent la nécessité pour les entreprises d’être prudentes, de mettre en œuvre des processus de filtrage solides et de former les parties prenantes.
Pratiques commerciales contraires à l’éthique
L’IA peut maximiser les avantages commerciaux en améliorant les stratégies de tarification dynamique en ligne. Quatre-vingt-quatorze pour cent des acheteurs comparent les prix des produits lors de leurs achats en ligne, et des algorithmes surveillent le comportement des utilisateurs pour leur proposer des prix personnalisés en fonction de leurs habitudes de consommation. Toutefois, les entreprises peuvent être tentées de s’engager dans des stratégies de prix trompeuses, en exploitant les algorithmes pour évaluer la volonté des consommateurs à payer au lieu de proposer le prix approprié.
Cette manipulation va au-delà des ajustements de prix. Les entreprises pourraient utiliser des algorithmes sophistiqués pour prédire et influencer le comportement des consommateurs, ce qui pourrait dépasser les limites éthiques en exploitant les préférences ou les vulnérabilités individuelles.
Risques liés aux initiés et aux tiers
Les menaces d’initiés ajoutent une autre couche de complexité, les employé(e)s mécontents ayant accès aux algorithmes d’IA pouvant saboter les opérations ou compromettre des données sensibles. En introduisant intentionnellement des données confidentielles dans les systèmes d’IA générative, les employé(e)s pourraient exposer les secrets de l’organisation à un piratage potentiel, menaçant ainsi les entreprises et les clients de risques de sécurité importants. Début 2023, une entreprise mondiale d’électronique interdit à ses employé(e)s d’utiliser l’IA après qu’il a été constaté que des informations internes sensibles avaient été divulguées par un employé utilisant l’IA à des fins professionnelles.
De nombreuses entreprises dépendent de fournisseurs tiers pour obtenir des données et des services essentiels. Toutefois, ce partenariat présente des risques, car le tiers peut avoir des préjugés différents et une tolérance au risque qui ne correspond pas aux attentes ou aux normes de l’entreprise. Ce décalage peut entraîner des vulnérabilités, notamment un développement précipité dépourvu de mesures de sécurité et une susceptibilité accrue à la manipulation.
Défense contre les risques
La sécurité repose sur trois principes : la confidentialité, l’intégrité et la disponibilité, et tous les contrôles mis en place visent à les protéger. Au fur et à mesure que les techniques progressent dans la capacité d’attaquer ces principes, les défenses doivent devenir plus avancées. Les entreprises peuvent atténuer les risques par les moyens suivants :
- Stratégie de défense globale : Il est important que les entreprises vérifient et contrôlent les systèmes d’IA, évaluent la fiabilité des participations de tiers et se protègent contre un large éventail de menaces potentielles, y compris celles posées par des utilisateurs malhonnêtes et des algorithmes corrompus.
- Gouvernance responsable et divulgation : Les menaces à la cybersécurité et les dangers moraux nécessitent une gouvernance équilibrée. L’absence de mesures proactives pourrait entraîner non seulement une atteinte à la réputation, mais aussi une érosion de la confiance dans des secteurs entiers.
- Pratiques d’IA responsables : Des développeurs aux entreprises, les pratiques d’IA responsables comme une approche de conception centrée sur l’humain, la confidentialité et la sécurité des données, la transparence et la responsabilité doivent être intégrées à chaque étape de la chaîne de valeur.
- Conformité réglementaire : Il faut se tenir au courant de l’évolution des réglementations et des normes relatives à l’IA et à la cybersécurité, comme ISO 27001 ou le cadre de sécurité de l’Institut national des normes et de la technologie (NIST). Veillez au respect des réglementations pertinentes afin d’éviter les risques juridiques et réglementaires.
Le pouvoir de transformation de l’IA est indéniable. Toutefois, son fonctionnement responsable exige un effort collectif et un équilibre entre le progrès technologique et la responsabilité éthique. Ce n’est qu’au moyen d’une défense proactive et solide et d’un engagement de l’ensemble du secteur en faveur de pratiques éthiques en matière d’IA que les entreprises et les sociétés pourront exploiter tout le potentiel de l’IA tout en se protégeant des risques inhérents.
Lisez-en davantage sur l’impact de l’IA sur les organisations dans Débloquer la confiance dans l’IA par Mark Brown, Naviguer entre l’IA générative et la conformité par Conor Hogan et L’impact de l’IA et de l’AA sur la cybersécurité par Alessandro Magnosi.
Visitez le Coin des experts de BSI pour obtenir plus d’informations de la part des experts de l’industrie. Abonnez-vous à nos infolettres LinkedIn, « Experts Corner-2-Go », pour obtenir un aperçu bimensuel du plus récent contenu relatif au leadership éclairé : confiance numérique, ESS, chaîne d’approvisionnement.
