Comment les cadres supérieurs peuvent implanter l’IA générative en tenant compte des risques

Les dirigeants d’entreprises sont nombreux à se réjouir des possibilités qu’offre l’IA générative à leurs organisations, qu’il s’agisse d’accroître l’efficacité des employés dans leurs activités quotidiennes ou de faciliter un engagement plus réactif et plus dynamique avec leurs clients. Ils n’en sont pas moins préoccupés par la protection contre les risques émergents liés à l’IA générative, en particulier l’utilisation de celle-ci par les auteurs de cybermenaces pour amplifier leurs activités. Ils reconnaissent donc que l’actualisation des pratiques de gestion, notamment dans le domaine de la cybersécurité, deviendra de plus en plus vitale dans un contexte où l’IA générative accroîtra la portée et la complexité des cyberattaques.

Réussir à concilier les possibilités et les défis que présente l’IA générative est une tâche complexe et difficile, qui exige un engagement global de l’ensemble de l’organisation et des participants à son écosystème. Les chefs de l’information et les chefs de la sécurité de l’information sont tout particulièrement soucieux de s’assurer que l’entreprise prend en compte, dans son approche d’exploitation de l’IA générative, toute une série de facteurs – de la nécessité de gagner la confiance des parties prenantes à l’égard de l’utilisation de l’IA générative au besoin de renforcer la résilience des opérations de cybersécurité afin de réduire les risques.

Dans cet article, nous expliquons comment une approche axée sur la conscience des risques peut permettre à votre entreprise de tirer le meilleur parti de l’IA générative, nous proposons des mesures de démarrage et formulons les questions que les chefs de l’information et les chefs de la sécurité de l’information doivent se poser à mesure que leurs organisations progressent dans leur démarche.

Une proportion de 52 % des dirigeants d’entreprises et des leaders en techno prévoient que l’IA générative entraînera des cyberattaques catastrophiques dans les 12 prochains mois.

Sondage Global Digital Trust Insights 2024, PwC

IA générative et conscience des risques

À son niveau le plus élémentaire, l’IA générative produit du contenu. En d’autres termes, pour utiliser l’IA générative de manière efficace, il faut pouvoir se fier au contenu produit et le vérifier. Parallèlement, les organisations doivent pouvoir montrer aux clients et aux autres parties prenantes (p. ex., organismes de réglementation, partenaires de la chaîne d’approvisionnement) qu’ils peuvent se fier à leur façon d’utiliser l’IA générative, aux garde-fous qu’elles mettent en place pour protéger l’information sensible et à leur résilience en cas de cyberincident causé par l’IA générative.

Chez PwC Canada, nous privilégions une approche axée sur la conscience des risques dans l’implantation de tous types de technologies novatrices, y compris l’IA, l’apprentissage machine et l’IA générative. Une telle approche permet de poser les bonnes questions et de faire les investissements nécessaires pour une mise en œuvre sûre, sécurisée et efficace de l’IA générative. Nous présentons ci-dessous six mesures compatibles avec une approche axée sur la conscience des risques qui vous serviront de point de départ pour bien préparer votre organisation à une utilisation fructueuse de l’IA générative et pour bien gérer les risques en jeu.

Number one

Comprendre les obligations actuelles et à prévoir, et élaborer des politiques et directives pour soutenir une implantation de l’IA générative fondée sur la gestion des risques

Si vous ne l’avez pas déjà fait, établissez des politiques et directives claires concernant l’utilisation de l’IA générative dans votre organisation. Les cadres, lignes directrices et règlements et projets de règlements actuels (p. ex., les principes EDGE, la Loi sur l’intelligence artificielle et les données du Canada, les Principes sur l’IA de l’OCDE, le projet de déclaration de droits sur l’IA aux États-Unis, la loi sur l’IA de l’Union européenne) vous aideront à définir de telles politiques et directives pour votre organisation.

Comme pour presque toutes les technologies, il est également important d’établir une solide base de confiance envers les solutions et outils d’IA générative que votre organisation décide de mettre en œuvre. Dès le début de votre parcours, commencez par vous concentrer sur la gouvernance, notamment celle des données et de la sécurité. Prenez le temps de définir les processus et contrôles à mettre en œuvre dans l’ensemble de votre organisation afin de mieux déceler, surveiller et atténuer les risques de l’IA générative. Cette mesure peut vous aider à renforcer la confiance envers votre organisation et à développer la résilience sans compromettre les mécanismes de protection.

Le Cadre d’IA responsable de PwC Canada guidera votre organisation dans une utilisation éthique et fiable de l’IA.

Number one

Adopter une approche d’implantation par étapes
 

L’implantation par étapes de l’IA générative vous donnera la souplesse nécessaire pour tester vos activités et ajuster votre trajectoire avant l’implantation complète. Une telle démarche vous aidera à remédier aux lacunes imprévues dans les processus, les contrôles et les technologies alors que vous implantez l’IA générative à plus grande échelle. Les activités suivantes peuvent faire partie d’une approche d’implantation par étapes :

  • Établir des directives pour la sélection des cas d’utilisation de l’IA générative : Élaborez des directives et politiques visant à régir le choix des priorités d’utilisation de l’IA générative. Ce processus devrait intégrer un examen de la sécurité et des risques qui aidera votre organisation à évaluer les nouvelles capacités à la fois sous l’angle de la valeur ajoutée et de la protection de la vie privée et de la sécurité. Ce processus pourrait inclure, par exemple, l’évaluation d’un cas d’utilisation potentielle du point de vue d’un attaquant, afin de cerner les risques et de déterminer des moyens de sécuriser davantage les activités.

  • Sécuriser votre base d’abord : Assurez-vous que la gestion et la maintenance de votre infrastructure infonuagique sont sécurisées et que des contrôles efficaces sont en place. Activer des services d’IA générative sur une base faible peut encombrer d’obstacles supplémentaires votre charge de travail d’IA. En consolidant votre base, vous pouvez atténuer ces risques.

  • Mettre à profit des technologies de soutien appropriées : Recherchez des technologies qui peuvent vous aider à renforcer les mesures de sécurité et de gestion des risques associées à votre implantation de l’IA générative. Par exemple, si vous prévoyez utiliser l’IA générative aux fins de développement, réfléchissez aux technologies dans lesquelles vous pourriez devoir investir pour mener des évaluations de vulnérabilité fiables (p. ex., solutions et outils de gestion de la vulnérabilité), ainsi qu’à l’opportunité d’intégrer des évaluations de la vulnérabilité effectuées par des tiers.

  • Mener des essais pilotes : Intégrez des essais pilotes à votre parcours d’implantation pour pouvoir vérifier si les politiques, processus et directives d’utilisation fonctionnent bien. Cette mesure vous permettra d’évaluer votre utilisation de l’IA générative sur les plans de la valeur (p. ex., résultats, gains de temps), de la confiance (p. ex., précision, fiabilité) et de la résilience opérationnelle (p. ex., protection des données, vulnérabilités). Elle vous permettra aussi de déceler les obstacles ou lacunes auxquels il faudra remédier avant l’implantation complète.

  • Mettre au point les politiques et directives : Une fois la phase des essais pilotes terminée, mettez à jour et finalisez vos politiques, directives et processus de contrôle relatifs à l’IA générative. Ces outils serviront à soutenir une implantation à plus grande échelle dans votre organisation.

  • Intégrer les améliorations continues : Évaluez régulièrement vos activités d’IA générative et les risques qu’elles comportent afin de vous donner les moyens de déceler de nouvelles difficultés ou vulnérabilités et d’y remédier rapidement.
Number three

Vérifier l’agilité de vos opérations de sécurité
 

En tandem avec vos autres activités, évaluez la résilience et l’agilité de votre centre d’opérations de sécurité afin de déterminer si vous avez la capacité, les aptitudes, les compétences, les outils et les technologies nécessaires pour repérer rapidement d’éventuelles cyberattaques causées par l’IA générative et y réagir efficacement (p. ex., gros volumes de courriels d’hameçonnage). Attelez-vous proactivement à remédier à toutes les lacunes décelées afin de renforcer la posture de cybersécurité et la résilience de votre organisation.

Dans le cadre de ce processus, il vous sera utile de réfléchir à des utilisations de l’IA générative susceptibles de vous aider à consolider les cyberdéfenses de votre organisation, notamment en intensifiant la détection et l’analyse des menaces, en améliorant le signalement des cyberrisques et des cyberincidents et en activant des contrôles adaptatifs. Plus précisément, les outils d’IA générative vous seront utiles pour les activités suivantes : 

  • Mener des enquêtes et des collectes de données : Vous pourriez utiliser l’IA générative pour accélérer vos processus de collecte de renseignements, ce qui pourrait améliorer votre capacité de cybersécurité, élargir la portée de vos enquêtes et accroître votre vitesse de réaction. Les résultats générés pourraient soutenir le travail des membres de vos équipes humaines et, par conséquent, accroître la valeur de votre organisation tout en améliorant la satisfaction professionnelle des employés.

  • Tester les cyberdéfenses : Vous pourriez utiliser l’IA générative comme une « équipe violette » pour tester plus fréquemment votre posture de sécurité et vous assurer que votre environnement est bien protégé contre des menaces critiques et émergentes.
Number four

Offrir une formation pertinente sur l’IA générative


Lorsqu’une entreprise décide d’utiliser l’IA générative, le niveau de formation des employés peut être un facteur de risque clé. Dans la planification de votre implantation d’IA générative, veillez à réfléchir à la démarche d’éducation et de formation des employés que vous mettrez en œuvre dans l’ensemble de l’entreprise, afin de leur permettre de bien comprendre vos directives et processus et de s’initier à l’utilisation efficace de tous les outils et solutions. Les employés devront également être sensibilisés aux risques associés à l’utilisation inappropriée de l’IA générative. Toute formation devrait inclure de l’information sur l’utilisation de l’IA générative par des auteurs de cybermenaces et sur les moyens par lesquels les employés peuvent se protéger de toute exploitation à titre de vecteurs de telles menaces.

Une proportion de 75 % des dirigeants d’entreprises et des leaders en techno estiment que les processus propulsés par l’IA générative accroîtront la productivité des employés dans les 12 prochains mois.

Sondage Global Digital Trust Insights 2024, PwC
Number one

Comprendre comment vos partenaires de chaîne d’approvisionnement utilisent l’IA générative

Votre organisation peut avoir un solide processus de gestion de la responsabilité liée à l’IA générative, mais vous ne pouvez présumer qu’il en va de même pour toutes les entreprises qu’englobe votre chaîne d’approvisionnement. Réfléchissez aux moyens d’intégrer des considérations liées à l’IA générative dans vos processus de contrats et d’évaluation de la sécurité, afin de connaître les politiques et contrôles que vos partenaires de chaîne d’approvisionnement ont mis en place et de mieux comprendre comment ils utilisent l’IA générative et si cette utilisation peut mettre à risque vos opérations et vos données. Une telle démarche vous aidera à mieux gérer votre exposition aux risques des tiers et, éventuellement, à accroître la confiance dans vos relations avec des tiers.

Number six

Travailler avec vos partenaires d’alliances pour tirer parti des connaissances de l’écosystème

Travaillez avec vos partenaires d’alliances afin de comprendre leur expérience de l’IA et de l’IA générative, et de déterminer si leurs capacités, outils, expériences et pratiques exemplaires pourraient accélérer votre implantation. Ainsi, vous pourrez découvrir des utilisations potentielles de l’IA générative auxquelles vous n’aviez pas pensé auparavant, tout en décelant des angles morts qui vous auraient échappé dans votre réflexion sur la stratégie, les opérations et les tactiques de mise en œuvre de l’IA générative dans votre entreprise.


Poser les bonnes questions

Les chefs de l’information, les chefs de la sécurité de l’information et les membres du conseil jouent des rôles différents dans l’implantation de l’IA générative et la gestion des risques qu’elle comporte. En posant les bonnes questions, vous pourrez tirer le meilleur parti des possibilités tout en gérant efficacement les risques.

Man looking at computer

Si vous êtes chef de l’information

  • Quelle incidence l’IA générative aura-t-elle sur la transformation numérique de votre organisation? L’utilisation de l’IA générative pour améliorer la capacité de vos employés peut entraîner une meilleure satisfaction professionnelle et accroître la valeur offerte aux clients.

  • Comment veillez-vous à l’évaluation de la sécurité et des risques pour chacun des cas d’utilisation de l’IA générative? N’oubliez pas que le succès ne repose pas entièrement sur la technologie. Il faut savoir développer de nouvelles capacités opérationnelles en accordant la priorité à la sécurité.

  • L’IA générative évolue rapidement – comment gérerez-vous les progrès constants et les risques qui les accompagneront? Il est essentiel de reconnaître que l’IA générative évoluera constamment pour garder la maîtrise des possibilités et des risques qu’elle comporte.
Woman looking at phone

Si vous êtes chef de la sécurité de l’information

  • Comment pouvez-vous utiliser les outils d’IA générative pour les enquêtes, la collecte de données et en tant qu’équipe violette pour rester au fait des nouvelles menaces? L’utilisation défensive de l’IA générative peut changer la donne.

  • Comment vous assurez-vous que le personnel de votre organisation obtient l’éducation, la formation et l’agrément nécessaires à l’utilisation de l’IA générative? L’éducation et la formation peuvent vous aider à éviter que vos employés ne deviennent vos plus gros risques inhérents à l’IA générative.

  • Comment ajustez-vous votre posture de sécurité pour réagir aux menaces en rapide évolution que comporte l’IA générative elle-même et à celles qu’elle peut entraîner? Une fonction opérationnelle de sécurité à la fois moderne et agile est plus essentielle que jamais.
Woman looking at phone

Si vous êtes membre du conseil

  • Comment maintenez-vous l’IA générative à l’ordre du jour du conseil? Il est essentiel de comprendre les implications stratégiques de l’IA générative, tant du point de vue des possibilités que des risques.
  • Quels sont les risques d’une intégration non sécurisée de l’IA générative, et comment les gérez-vous? En l’absence d’une stratégie d’implantation sécurisée de l’IA générative, les employés pourraient avoir recours à des pratiques potentiellement dangereuses.


L’IA générative est incontournable : faites-en un atout!

Partout dans le monde, les employés utilisent déjà l’IA générative. Si un simple blocage de réseau peut fonctionner à court terme pour empêcher vos employés d’utiliser les appareils de votre entreprise pour accéder à des solutions d’IA générative, vous risquez de perdre de la visibilité et du contrôle lorsque vos employés utiliseront leurs propres appareils mobiles et ordinateurs personnels pour obtenir un tel accès.

En matière d’IA générative, le meilleur point de départ consiste à poser les bases nécessaires pour développer la confiance à l’égard des solutions que votre entreprise a conçues et à l’égard de la manière dont vous utiliserez ces solutions et les contenus qu’elles génèrent. En prenant le temps d’élaborer une stratégie d’implantation de l’IA générative qui tient compte des risques, notamment les risques de gouvernance et de cybersécurité, et de tracer un parcours sécurisé d’utilisation de l’IA générative pour vos employés, vous pourrez établir la confiance nécessaire pour tirer le meilleur parti de cette technologie et renforcer votre cyberrésilience. Avec la bonne démarche, l’IA générative peut véritablement changer la donne.

Nous réunissons une communauté de professionnels de la résolution de problèmes pour répondre aux enjeux les plus importants de nos clients.

Poursuivons la conversation.

Suivre PwC Canada

Contactez-nous

Charles Eckert

Charles Eckert

Associé, leader national du groupe Cybersécurité, Services gérés, PwC Canada

Tél. : +1 416 815 5274

Peter Hargitai, CPA, CA, CITP

Peter Hargitai, CPA, CA, CITP

Associé et leader national, Solutions de gestion des risques numériques, PwC Canada

Tél. : +1 416 941 8464

Asif Qayyum

Asif Qayyum

Risque numérique et certification , PwC Canada

Masquer