L’intelligence artificielle se déploie au sein des organisations à une vitesse rarement observée dans l’histoire des technologies. Elle constitue une rupture d’une ampleur au moins équivalente à l’arrivée d’Internet, au développement du cloud ou à l’adoption du télétravail. Comme toute technologie à fort potentiel transformateur, elle est porteuse de nombreuses opportunités, explique Mathieu Rameau, Network & Security Team Leader au sein de F3C Systems. Mais elle n’est pas dénuée de risques, notamment en matière de sécurité.

Le sujet n’est désormais plus de savoir si l’IA doit s’intégrer dans l’entreprise. Au contraire, les organisations n’ont pas d’autre choix que d’y recourir, au risque de perdre considérablement en compétitivité.
« La question, aujourd’hui, est de déterminer comment l’adopter, en gardant le contrôle sur la technologie », soulève Mathieu Rameau, Network & Security Team Leader au sein de F3C Systems. La question du contrôle vis-à-vis de l’IA est déterminante. « Si l’on ne dispose pas du cadre approprié, si l’on ne maîtrise pas la manière dont la donnée est traitée à travers les modèles, si l’on ne contrôle pas les résultats délivrés par la technologie, on s’expose à des dérives aux conséquences potentiellement lourdes », poursuit l’expert.

La sécurité de l’information, enjeu central 

Les préoccupations sont multiples. La sécurité de l’information est évidemment un élément central. Le traitement des données par des solutions IA fonctionnant en mode SaaS peut exposer l’entreprise à des fuites d’information. « On ne peut par exemple pas se permettre qu’un collaborateur soumette un contrat comportant des données confidentielles à un modèle public, explique Mathieu Rameau. Les enjeux relatifs à la propriété intellectuelle, aux informations personnelles des clients ou à la préservation de documents stratégiques sont cruciaux. Le premier défi est de s’assurer que ces données n’échappent pas au contrôle de l’entreprise. »

Cela suppose un cadre d’usage clair, connu et respecté de tous, ainsi que des solutions sécurisées. Pour les informations sensibles, le déploiement de modèles en local peut s’imposer. Mais même dans ce cas, la prudence reste de mise.

Simplicité d’usage et risques accrus

« Le problème, à l’heure actuelle, tient à la simplicité avec laquelle des agents, disposant parfois d’une grande autonomie, peuvent être déployés », observe Mathieu Rameau. Les entreprises s’appuient désormais sur des solutions capables d’exécuter des tâches de bout en bout, sans supervision constante.

Pour atteindre l’objectif qui leur a été assigné, ces systèmes peuvent prendre des initiatives inattendues. Récemment, un agent IA autonome a publié, de sa propre initiative, un article de blog contre un développeur afin de défendre une proposition de code automatisé destinée à une librairie open source, que celui-ci avait refusée. L’anecdote peut prêter à sourire, mais elle soulève des questions bien réelles sur l’autonomie de ces systèmes. «  Dans un autre cas, un entrepreneur montrait comment son agent IA téléchargeait automatiquement ses factures pour les transmettre à son comptable… en accédant à son gestionnaire de mots de passe, témoigne l’expert. Si, en matière d’efficacité opérationnelle, la solution est géniale, d’un point de vue sécurité de l’information, on est totalement à côté de la plaque. »

Entre opportunité et menace, la frontière est souvent ténue.

Une menace externe décuplée

L’IA ne constitue pas uniquement un risque interne. À l’extérieur, elle amplifie considérablement la capacité d’action des attaquants. « On assiste à une croissance assez exponentielle du nombre de menaces émergentes », observe Mathieu Rameau. Le temps entre la découverte d’une vulnérabilité et son exploitation s’est considérablement réduit. « Il suffit de soumettre une nouvelle faille à un modèle génératif en lui demandant comment l’exploiter, voire à un système d’agents de l’exploiter directement. C’est désormais l’affaire de quelques minutes, alors qu’il n’y a pas si longtemps, développer un exploit pouvait prendre plusieurs semaines. »

Se défendre avec l’IA

Comment répondre à cette évolution ? Avec l’IA elle-même, répond le spécialiste de F3C Systems : « face à cette accélération, les organisations ne peuvent plus se contenter d’une défense purement humaine. Si un attaquant parvient en moins de quinze minutes à exploiter une vulnérabilité et à extraire des données, le temps de recevoir l’alerte et de la traiter sera déjà trop long. » L’IA devient ainsi indispensable à l’orchestration des mesures défensives. « Il faut des agents capables de prendre des actions rapides sans forcément avoir besoin de l’humain, mais sans bloquer totalement l’entreprise non plus », indique l’expert. La nuance est essentielle.

Automatiser ne signifie pas isoler tout un réseau à la première anomalie. « Il ne faut pas qu’il y ait d’effet de bord en se disant : j’ai détecté ça, alors j’isole tout », commente-t-il. Il compare cette évolution à celle des antispams. « Il y a vingt ans, tout le monde disait qu’on ne pouvait pas mettre ce genre de système parce que cela allait bloquer les mails. Aujourd’hui, on ne pourrait plus vivre sans », précise Mathieu Rameau. Demain, l’automatisation défensive pourrait devenir tout aussi invisible, et indispensable.

« Le sujet n’est plus de savoir si l’IA doit s’intégrer dans l’entreprise. La vraie question est de savoir comment l’adopter… sans perdre le contrôle sur la technologie. »

Ne pas bloquer, mais encadrer

Dans ce contexte, les équipes de sécurité doivent agir avec discernement. Le réflexe de restreindre totalement l’utilisation de l’IA par les collaborateurs peut s’avérer contre-productif. « Tout bloquer n’est jamais la solution, affirme Mathieu Rameau. Le risque est d’inciter l’utilisateur à prendre une photo de son écran avec son téléphone pour demander à son ChatGPT personnel de traiter l’information. »À l’inverse, une ouverture sans cadre est tout aussi risquée.

La clé réside dans une approche structurée. « Il faut vraiment avoir une vue détaillée des processus métiers et des actifs informationnels associés, et savoir comment on va augmenter ces processus avec de l’IA sans perdre le contrôle de la donnée. » Cette démarche exigeante permet de déployer les usages de manière cohérente, en fonction des risques et des priorités business.

Conscientiser l’humain

Au-delà de la mise en oeuvre de techniques (solutions de Data Loss Prevention, contrôles d’upload, détection de données sensibles), l’accompagnement humain est central. « Il faut expliquer les usages, à quoi peut être utile l’IA, mais aussi ce qu’il ne faut pas faire », insiste Mathieu Rameau. Chacun doit avoir conscience des implications liées à ces outils. « Il est important que les collaborateurs comprennent comment on utilise efficacement une IA, quelles sont les choses à faire, à ne pas faire, et quelle est la valeur ajoutée. »

Face aux opportunités offertes par la technologie, mais aussi aux risques qu’elle comporte, les organisations doivent adopter la bonne posture. « Il faut être ouvert sans être laxiste », résume-t-il. Ni blocage total, ni adoption naïve. « L’IA est un accélérateur. Elle amplifie la performance, mais aussi les failles. Dans ce contexte, la sécurité de l’information ne doit pas être un frein à l’innovation. Au contraire, elle en devient la condition. »