Le déploiement de l’intelligence artificielle générative au cœur des organisations mobilise aujourd’hui de nombreuses équipes informatiques. Encore faut-il parvenir à mettre la technologie à disposition des collaborateurs, tout en maîtrisant les risques et en garantissant la sécurité des données. Pour aborder le sujet, les Rencontres de la Sécurité (RDLS) organisées par Thales ont invité deux responsables de Foyer, Jean-Jacques Genser, Head of Infrastructure Production and Cyber Security du Groupe, et Antoine Leblais, CISO du Groupe, à partager leur expérience. Foyer, leader historique du secteur de l’assurance au Luxembourg, est une organisation critique qui doit rester à la pointe de l’innovation tout en assurant la sécurité de son infrastructure et de ses données.

L’adoption des nouvelles technologies est une dynamique que l’on ne peut pas freiner. Et lorsqu’il s’agit d’IA générative, les attentes sont fortes, tant du côté des collaborateurs que de celui des dirigeants.

Un enjeu de productivité

Les premiers souhaitent accéder à des outils qu’ils ont eu l’occasion de découvrir et qui les accompagnent désormais au quotidien, leur facilitant la vie. Les seconds craignent de rater le coche et de prendre du retard par rapport à leurs concurrents. L’adoption de l’IA soulève cependant d’importantes questions liées à la sécurité de l’information. Lors des dernières Rencontres de la Sécurité, proposées par Thales Cyber Solutions Luxembourg, les responsables sécurité informatique de Foyer ont accepté de partager quelques enseignements tirés de leur expérience. Le Groupe Foyer est accompagné par Thales pour le déploiement de l’IA, de son intégration à sa sécurisation.

« C’est avant tout un véritable sujet de productivité. Les outils d’IA permettent de faire gagner un temps précieux à nos collaborateurs. Il y a une réelle attente à cet égard », souligne Jean-Jacques Genser.

Des solutions IA déployées en local

« Dans le secteur de l’assurance, nous ne pouvons pas recourir au cloud public », commente Jean-Jacques Genser, évoquant le principal frein à l’adoption des solutions d’IA. « C’est donc à partir d’un cloud privé que nous avons envisagé leur déploiement. Nous avons été les premiers à acquérir les fameuses puces GPU, nous offrant la puissance de calcul nécessaire à l’IA générative, et à créer des plateformes de conteneurisation dédiées. Cet environnement nous permet d’opérer une gouvernance locale, avec nos équipes. »

Accompagner l’adoption plutôt que l’interdire

L’usage de l’IA est en outre bien encadré. Les déploiements font l’objet de discussions entre les équipes IT opérationnelles et celles de la deuxième ligne de défense. « Nous discutons beaucoup. Nous devons nous considérer comme les meilleurs ennemis. S’il nous revient de veiller à la sécurité, nous ne pouvons pas nous contenter d’interdire les nouveaux usages. Les collaborateurs chercheraient alors à contourner ces interdictions, en recourant à du shadow IT, avec des outils hors du périmètre de contrôle. Le risque serait alors maximal, explique Antoine Leblais. C’est pourquoi nous choisissons d’intégrer l’IA de manière constructive, tout en accompagnant les utilisateurs et en définissant ce qui est autorisé ou non. »

Des usages dictés par les besoins métiers

Les usages sont définis en fonction des besoins du métier. L’un des premiers cas d’usage mis en œuvre concerne le traitement des sinistres en back office. L’IA a permis d’automatiser le traitement des courriers entrants, accélérant ainsi les processus. Pour chaque nouveau besoin, nous procédons à une analyse de risques, précise Antoine Leblais. Cela nous permet de déployer le bon outil aux bonnes personnes en fonction des besoins. L’objectif est de minimiser les risques tout en respectant les exigences réglementaires. »

Des usages bien encadrés, une politique évolutive

En matière de bureautique, Foyer a par exemple décidé de déployer progressivement l’IA, selon les besoins, et via des POC’s (proof of concept). « Ces outils ne sont pas accessibles en libre-service. Nous procédons par étapes, en dialogue avec les équipes, explique Jean-Jacques Genser. Pour chaque besoin, nous mettons en place une politique de sécurité, limitons les accès et nous assurons de la confidentialité des informations. Cette politique évolue en permanence pour intégrer une diversité de produits, tout en gardant la maîtrise des risques. »

Montrer et expliquer les risques

La communication interne est essentielle. « Il faut montrer les risques, les expliquer, pour que chacun en prenne conscience. Nos utilisateurs sont capables de comprendre comment un usage inapproprié peut nuire à l’entreprise. Avec un accompagnement des équipes dans l’adoption, on peut minimiser les risques », note Antoine Leblais. Dans ce contexte, le règlement Européen DORA, dédié à la résilience opérationnelle numérique du secteur financier, exige des analyses de risques détaillées, et permet de mieux comprendre les enjeux, notamment ceux liés aux fuites de données. « La maîtrise de ces enjeux passe avant tout par un travail sur l’humain. Ce sont nos collaborateurs qui rédigent les prompts. Il faut donc les sensibiliser à la culture du risque, pour qu’ils puissent gagner en productivité sans compromettre les processus. »

Pour soutenir cette dynamique tout en maîtrisant les risques, des outils et des services cyber viennent en appui et dans cette démarche, Foyer a par exemple adopté la technologie Netskope, qui permet de monitorer les accès aux outils d’IA. Cette solution, intégrée par Thales, joue un rôle de garde-fou, tout en fournissant des données utiles à la sensibilisation des équipes et à une adoption progressive, adaptée aux besoins réels.