Si l'intelligence artificielle (IA) est encore nouvelle et passionnante, elle ne diffère pas des autres technologies. Si vous décidez de la mettre en œuvre au sein de votre organisation, assurez-vous de connaître les risques potentiels d'exposition.
Nous sommes conscients des avantages de l'IA, mais avec 35 % des entreprises qui l'adoptent aujourd'hui, l'accent doit être mis sur la manière de se préparer à un éventuel problème. Il s'agit notamment de comprendre comment l'IA peut être exploitée pour tromper/manipuler les personnes ou nuire aux organisations ou à autrui, mais aussi de disposer d'outils permettant de se défendre contre les risques et de les atténuer.
L'IA est utilisée de manière malhonnête
L'un des principaux risques associés à l'IA est la capacité des personnes à se faire passer pour ce qu'elles ne sont pas. Par exemple, l'IA peut rendre les CV plus attrayants et le processus d'élaboration de ces derniers beaucoup plus rapide. Sur un marché du travail de plus en plus concurrentiel, les jeunes diplômés utilisent des outils comme OpenAI ou ChatGPT pour rédiger des lettres de motivation en plus de leur CV. Bien que cela permette à certains de progresser dans les sélections de recrutement, les entreprises constatent que lorsqu'un candidat est convoqué à un entretien, il existe des disparités entre les qualifications sur papier et la personne assise face au bureau.
De même, les institutions financières utilisent souvent des formulaires en ligne et l'IA pour déterminer s'il convient d'accorder un prêt ou un crédit à un client. L'automatisation de ces processus signifie que les entreprises ne rencontrent pas toujours les personnes face à face, ce qui en fait une cible de choix pour les acteurs malveillants qui veulent exploiter le système.
Dans une variante des attaques traditionnelles de whaling (un type d'attaque d'hameçonnage ciblant les cadres supérieurs), des rapports récents font état de fraudeurs utilisant l'IA pour effectuer de fausses demandes au nom du directeur financier (CFO).
Ces exemples soulignent la nécessité pour les entreprises d'être prudentes, de mettre en œuvre des processus de filtrage solides et de former les parties prenantes.
Pratiques commerciales contraires à l'éthique
L'IA peut maximiser les avantages commerciaux en améliorant les stratégies de tarification dynamique en ligne. 94 % des acheteurs comparent les prix des produits lorsqu'ils font des achats en ligne et les algorithmes surveillent le comportement des utilisateurs pour leur proposer des prix personnalisés en fonction de leurs habitudes de consommation. Toutefois, les entreprises peuvent être tentées de s'adonner à des stratégies de tarification trompeuses, en exploitant les algorithmes pour évaluer la volonté de payer des consommateurs au lieu de proposer le prix approprié.
Cette manipulation s'étend au-delà des ajustements de prix. Les entreprises pourraient utiliser des algorithmes sophistiqués pour prédire et influencer le comportement des consommateurs, ce qui dépasserait potentiellement les limites éthiques en exploitant les préférences ou les vulnérabilités des individus.
Risques d'initié et liés aux tiers
Les risques d'initié ajoutent une autre couche de complexité : les employés mécontents ayant accès aux algorithmes d'IA pourraient saboter les opérations ou compromettre des données sensibles. En introduisant intentionnellement des données confidentielles dans les systèmes d'IA générative, des employés pourraient exposer les secrets commerciaux de l'entreprise à un piratage potentiel, posant ainsi des risques de sécurité importants pour les entreprises et les clients. Début 2023, une entreprise mondiale d'électronique a interdit à ses employés d'utiliser l'IA après qu'il a été constaté que des informations internes sensibles avaient été divulguées par un employé utilisant l'IA à des fins professionnelles.
De nombreuses entreprises dépendent de fournisseurs tiers pour obtenir des données et des services essentiels. Toutefois, ce partenariat présente des risques, car le tiers peut avoir différents biais et une tolérance au risque qui ne correspond pas aux attentes ou aux normes de l'entreprise. Ce décalage peut entraîner des vulnérabilités, notamment un développement précipité manquant de mesures de sécurité appropriées et une susceptibilité accrue à la manipulation.
Défense contre les risques
La sécurité repose sur trois principes : la confidentialité, l'intégrité et la disponibilité. Tous les contrôles mis en place visent à les protéger. Au fur et à mesure que les techniques améliorent la capacité à gérer ces principes, les mécanismes de défense doivent se perfectionner. Les entreprises peuvent atténuer les risques par les moyens suivants :
- Stratégie de défense globale : il est important que les entreprises vérifient et surveillent les systèmes d'IA, qu'elles évaluent la fiabilité des participations de tiers et qu'elles se protègent contre un large éventail de menaces potentielles, y compris celles posées par des utilisateurs malhonnêtes et des algorithmes corrompus.
- Gouvernance et divulgation responsable : les menaces envers la cybersécurité et les risques moraux nécessitent une gouvernance équilibrée. L'absence de mesures proactives pourrait non seulement porter atteinte à la réputation, mais aussi éroder la confiance dans des secteurs entiers.
- Pratiques responsables en matière d'IA : des développeurs aux entreprises, les pratiques responsables en matière d'IA, telles qu'une approche de conception centrée sur l'humain, la confidentialité et la sécurité des données, la transparence et la responsabilité, doivent être intégrées à chaque étape de la chaîne de valeur.
- Conformité réglementaire : tenez-vous au courant de l'évolution des réglementations et des normes relatives à l'IA et à la cybersécurité, telles que la norme ISO 27001 ou le cadre de sécurité du National Institute of Standards and Technology (NIST). Veillez au respect des réglementations pertinentes afin d'éviter les risques juridiques et réglementaires.
Le pouvoir de transformation de l'IA est indéniable. Toutefois, son utilisation responsable exige un effort collectif et un équilibre entre le progrès technologique et la responsabilité éthique. Ce n'est qu'au moyen d'une défense proactive et solide ainsi que d'un engagement de l'ensemble du secteur en faveur de pratiques éthiques en matière d'IA que les entreprises et les sociétés pourront exploiter pleinement le potentiel de l'IA tout en se protégeant contre les risques inhérents.