Que faire pour reprendre le contrôle face à l'aggravation du problème de l'intelligence artificielle parallèle dans le secteur financier ?
Des outils tels que ceux d'OpenAI ChatGPT devenir omniprésents, IA de l'ombre Il s'agit d'un problème croissant pour le secteur financier. Ces outils présentent de multiples risques, notamment les fuites de données et les hallucinations, risques aggravés par le fait que, dans de nombreux cas, les entreprises financières ignorent même leur utilisation.
L'adoption de l'IA se faisant plus rapidement en périphérie des organisations que la gouvernance ne peut suivre, le secteur doit apprendre à gérer ce risque en constante évolution. Comment les responsables de la sécurité et de la conformité peuvent-ils reprendre le contrôle sur l'IA parallèle ?
Secteur exposé
Le secteur financier, fortement réglementé et traitant d'énormes quantités de données sensibles, est particulièrement exposé à l'IA parallèle. « Ce secteur gère des données à forte valeur ajoutée et soumises à une réglementation stricte, sous une pression constante pour agir vite », explique Leslie Nielsen, RSSI chez Mimecast. « Cette situation crée un contexte où les employés utilisent n'importe quel outil pour accomplir leur travail, souvent avant même que l'entreprise ne s'en aperçoive. »
Cependant, cela peut aussi inciter les employés à intégrer des données hautement sensibles et confidentielles dans des modèles d'IA. Mark McClain, fondateur et PDG de SailPoint, cite l'exemple d'un outil non autorisé utilisé pour gérer un processus d'octroi de prêt. « Cet outil agrégatait des données financières, analysait l'historique de crédit, préparait les conditions, facilitait l'évaluation du risque et communiquait avec les parties prenantes. »
Cependant, s'il disposait d'un accès illimité aux systèmes de l'entreprise, l'agent pourrait mal interpréter les données, approuver des prêts à haut risque ou divulguer par inadvertance des informations sur les clients, ce qui entraînerait des violations de la conformité ou une atteinte à la réputation, suggère-t-il.
Plusieurs outils d'IA
L'utilisation de l'IA parallèle est généralement pratique et axée sur les tâches, les employés se tournant vers des outils qui les aident à gagner du temps ou à réduire les efforts manuels dans leur travail quotidien.
En effet, la gamme d'outils utilisés dans les entreprises financières est plus étendue que la plupart des équipes de sécurité ne le pensent, affirme Nielsen de Mimecast. « Dans les services financiers, les employés utilisent des outils généralistes comme ChatGPT, des plateformes de messagerie et de réunion basées sur l'IA, des services de transcription et de synthèse, ainsi que des outils d'analyse de données. Ils rédigent des communications clients, résument des documents et analysent des données, et gèrent leur charge de travail avec des outils que leurs employeurs n'ont jamais examinés ni approuvés. »
Le comportement le plus risqué est celui qui manque de sophistication, souligne-t-il. « Les employés téléchargent des documents sur des outils d'IA externes. Ils transfèrent leurs courriels professionnels vers leurs comptes personnels pour accéder aux fonctionnalités d'IA. Ils collent des informations sensibles dans les champs de saisie, car l'outil fonctionne mieux ainsi. »
Bien que ce type d'utilisation de l'IA ne soit pas malveillant, certaines fonctionnalités, comme celles proposées dans les messageries personnelles, analysent automatiquement le contenu. « Cela signifie que des données confidentielles d'entreprises peuvent se retrouver dans des systèmes tiers ou des modèles d'entraînement à l'insu de tous », prévient Nielsen.
Pas Shadow IT
Le risque est préoccupant, mais il ne faut pas confondre l'IA parallèle avec l'informatique parallèle. Les traiter de la même manière est une erreur, affirme Nielsen. « L'informatique parallèle concerne les applications non autorisées fonctionnant en dehors du contrôle informatique. Le risque réside principalement dans la visibilité et le contrôle des outils. L'IA parallèle introduit une seconde couche : les données qui alimentent ces outils, les résultats générés et les méthodes de conservation, de réutilisation ou de divulgation de ces informations. »
L’IA fantôme ne se résume pas à de l’informatique parallèle agrémentée d’un chatbot, confirme Christopher Jess, responsable R&D chez Black Duck. Il cite des risques spécifiques à ce modèle, tels que « la fuite de données sensibles, la production de résultats falsifiés mais convaincants, l’injection de code et l’intégration de fonctionnalités d’IA dans des logiciels déjà approuvés ».
Les enjeux sont plus élevés dans le secteur des services financiers car les données sont plus sensibles et les conséquences réglementaires d'une exposition plus grave, explique Nielsen de Mimecast. « Lorsqu'un employé soumet des données client à un outil d'IA externe pour générer un rapport plus rapidement, le risque ne se limite pas à l'outil lui-même. Il concerne également le stockage des données, les personnes qui y ont accès et leur conformité aux exigences réglementaires de l'organisation. » règlement général sur la protection des données (RGPD) ou d’autres cadres.
Il existe également un risque plus général, souvent négligé : la responsabilité et l’intégrité des décisions, explique Nielsen. « Lorsque les données générées par l’IA influencent les communications clients ou les décisions opérationnelles sans contrôle clair, les organisations ne peuvent ni prouver leur provenance ni garantir leur exactitude. Il s’agit alors d’un problème de gouvernance autant que de sécurité. »
IA de blocage
Bloquer les outils d'IA au travail est contre-productif. Au contraire, les experts affirment que cela peut aggraver la situation. Les employés qui constatent des gains d'efficacité significatifs trouveront souvent d'autres moyens d'utiliser ces outils, ou se tourneront vers des méthodes plus dangereuses pour obtenir des résultats.
« Au lieu d'utiliser les outils professionnels approuvés, les employés peuvent se tourner vers des comptes personnels, des extensions de navigateur ou des plateformes d'IA gratuites offrant encore moins de visibilité et de contrôle », explique Callum Beckwith, responsable technique du développement logiciel chez Capture Expense. IO.
Dans le même temps, une entreprise qui déclare « nous l’avons interdit » ne constitue pas une défense que l’autorité de régulation acceptera une fois l’infraction commise, ajoute Ben Jacob-Smith, fondateur d’Obsessed Group.
« Les organisations qui se concentrent uniquement sur la restriction augmentent souvent le risque au lieu de le réduire. »
Retrouver l'équilibre
Cela peut paraître complexe, mais il est possible de retrouver l'équilibre entre productivité et contrôle en assurant une surveillance continue et en utilisant des systèmes de gestion intégrés.
Dans ce cadre, les cadres de gouvernance de l'IA peuvent être utiles. tels que ISO 42001 et ISO 27001 pour les systèmes de gestion de la sécurité de l'information.
Pendant ce temps, le Cadre de gestion des risques NIST AI Selon Beckwith, cela offre un point de départ utile pour réfléchir aux risques et aux contrôles spécifiques à l'IA. "Elle offre aux organisations une méthode structurée pour évaluer la manière dont les systèmes d'IA sont conçus, utilisés et gouvernés tout au long de leur cycle de vie, tout en abordant des considérations clés telles que le traitement des données, la fiabilité et la responsabilité.
Les entreprises financières doivent également être conscientes de Loi de l'UE sur l'IA, ce qui s'applique à toute entreprise britannique dont les systèmes d'IA interagissent avec des clients de l'UE.
Il ne fait aucun doute que le défi de l'IA parallèle s'accroît avec l'arrivée massive d'outils d'IA sur le marché. Mais il est impossible de l'empêcher. Face à la capacité des outils d'IA à accroître la productivité, l'objectif des responsables de la sécurité et de la conformité du secteur financier n'est pas de freiner l'innovation, mais de l'orienter en toute sécurité, affirme Beckwith.
Pour reprendre le contrôle, Beckwith recommande de créer des « parcours structurés, transparents et encadrés » pour l'utilisation de l'IA. « Cela commence par identifier les domaines où l'IA est déjà utilisée au sein de l'entreprise. À partir de là, les organisations peuvent définir des attentes claires en matière d'utilisation et de traitement des données, en conformité avec les exigences réglementaires. »
Il estime que l'objectif principal devrait être de fournir aux employés des outils efficaces pour accomplir leurs tâches. La mise à disposition d'outils approuvés élimine le besoin de solutions de contournement, tandis qu'une formation réaliste aide les employés à comprendre comment utiliser l'IA de manière responsable dans des situations concrètes, comme la synthèse des politiques internes, explique Beckwith. « L'objectif n'est pas la perfection, mais une utilisation maîtrisée, auditable et bien comprise. »
