La numérisation de l’entreprise est arrivée de façon constante, mais relativement silencieuse. Il n’y a eu aucun moment de perturbation. Sans grande fanfare, elle s’est intégrée à tous les coins de l’entreprise.

Bien sûr, il comportait un ensemble de menaces que personne n’avait imaginées. Mais les organisations se sont adaptées. Ils ont construit des modèles de cybersécurité pour protéger leurs systèmes et processus connectés, et ils ont continué à travailler dans ces environnements protégés.

Mais l’IA est différente. Il perturbe les industries et introduit un ensemble fondamentalement différent de vecteurs d’attaque, de défis de confiance et d’écarts de gouvernance qui dépassent les programmes de sécurité destinés à les gérer.

Dans un récent webinaire  avec Prakash Narayanamoorthy, responsable de la capacité mondiale : Les technologies émergentes (Cyber) chez NTT DATA et Peter Bailey, vice-président principal et directeur général : Chez Cisco, nous avons discuté de ce qui se passe lorsque l’adoption de l’IA se produit plus rapidement que la sécurité ne peut le faire. Explorons quelques-uns des thèmes clés qui ont émergé de notre conversation.

L’écart entre l’ambition et la préparation

Alors que l’IA alimente la croissance et l’innovation dans le monde entier, l’impératif de l’adopter et de suivre le rythme de la concurrence est devenu indéniable.

Ce qui est moins clair, c’est la façon de le faire en toute sécurité.

Résultats dans le guide de NTT DATA La loi sur l’équilibrage de la sécurité de l’IA  : Du risque à l’innovation – basé sur des conversations avec plus de 2 300 décideurs de GenAI dans 34 pays et 12 industries – brossez un tableau cohérent : Bien que tout le monde comprenne la nécessité de l’IA, peu d’entre eux ont une stratégie claire pour la mettre en œuvre et l’utiliser en toute sécurité.

Les dirigeants marchent sur une corde étroite. Ils doivent équilibrer la nécessité d’adopter rapidement l’IA et de démontrer la valeur avec l’exigence de favoriser la confiance et la transparence et de prévenir l’utilisation abusive de la technologie. Pourtant, beaucoup trouvent difficile de mettre ces garde-corps en place.

C’est ici que de nombreuses organisations se retrouvent aujourd’hui : Leurs ambitions en matière d’IA s’accélèrent plus rapidement que les structures nécessaires pour gérer le risque, la confiance et la responsabilité.

Commencez là où vous voulez terminer

La plupart des organisations ne commencent pas leur parcours vers l’IA en pensant au risque, mais en voyant l’occasion. Ils savent qu’ils doivent commencer par un nouveau cas d’utilisation, un nouveau projet pilote ou une nouvelle preuve de concept pour tester la valeur et créer un élan. Mais la gouvernance et la sécurité ont tendance à être une réflexion après coup, quelque chose à considérer une fois que les avantages sont clairs.

La sécurité n’est jamais recommandée après coup, mais elle est particulièrement risquée parce que l’IA est si dynamique.

Les systèmes d’IA ne restent pas statiques. Ils apprennent, s’adaptent et commencent à influencer les décisions et les flux de travail d’une manière qui peut être difficile à réduire. Au moment où les risques apparaissent, l’IA est souvent déjà intégrée dans l’ensemble de l’entreprise. C’est pourquoi il ne peut pas être traité comme une préoccupation en aval.

Si vous souhaitez adapter l’IA de manière responsable, commencez par définir à quoi devrait ressembler la confiance, la gouvernance et la responsabilité une fois que vous aurez entièrement déployé votre système d’IA.

Vous pouvez ensuite définir une utilisation acceptable avant de déployer de nouveaux outils, établir la propriété avant de déployer des modèles et concevoir des contrôles en supposant que ces systèmes évolueront.

AI d’ombre : Ce que vous pouvez voir ne peut pas vous faire de mal

L’IA d’ombre n’est pas malveillante. La plupart du temps, cela commence par de bonnes intentions. Peut-être qu’un membre de l’équipe télécharge un outil d’IA qui résume les documents pour accélérer le travail occupé. Excellent en principe, mais ils ont involontairement introduit l’IA dans votre environnement informatique sans barrières ni gouvernance.

Si cela devient courant dans l’ensemble de votre organisation, votre équipe de sécurité n’aura pas une idée claire des outils d’IA utilisés, des personnes qui ont partagé les données et de la façon dont l’utilisation abusive de ces données pourrait influencer les décisions, les recommandations ou les actions automatisées dans l’ensemble de l’entreprise.

C’est pourquoi la visibilité est si importante. Il vous permet de comprendre où et comment l’IA fonctionne dans votre organisation. Sans elle, la gouvernance demeure théorique et le contrôle devient incohérent.

La sécurité de l’IA est une discipline continue

Le défi est que l’IA n’existe pas au même endroit. Il se trouve dans les données, les modèles, les intégrations et les applications, de plus en plus sous forme d’agents autonomes.

Puisque chaque type d’IA se comporte différemment, change au fil du temps et présente des risques uniques, la visibilité ne peut pas s’arrêter à la découverte. Comprendre l’utilisation de l’IA n’est que la première étape. Vous devez également savoir comment son comportement change à mesure que les modèles sont mis à jour, que les données changent et que l’utilisation évolue. Et c’est là que les approches de sécurité traditionnelles ne sont pas à la hauteur.

Les vérifications uniques ne réussissent pas la réunion dans un environnement où les systèmes apprennent et s’adaptent toujours.

Ces systèmes doivent être testés et remis en question à plusieurs reprises pour comprendre où ils pourraient être insuffisants ou mal utilisés et si les contrôles existants s’appliquent toujours. Dans ce contexte, la sécurité est une discipline continue, et elle commence par la visibilité comme base pour tout ce qui suit.

Ce qui fonctionne aujourd’hui pourrait ne pas fonctionner demain

La sécurité de l’IA ne peut pas compter sur un seul contrôle. Vous devez le construire en couches, couvrant tout le cycle de vie de l’IA, car les données, les modèles, les applications et les intégrations présentent tous des risques différents. Chacun doit être sécurisé dans le contexte à mesure que les systèmes d’IA deviennent plus interconnectés et autonomes.

Étant donné que ces couches ne sont pas statiques, les contrôles qui semblent efficaces au lancement peuvent échouer à mesure que les modèles s’adaptent et que l’utilisation change. C’est là que l’équipe rouge, qui met délibérément à l’épreuve les systèmes d’IA, devient essentielle.

Il vous aide à comprendre comment l’IA se comporte sous pression, où les garde-corps se décomposent et comment une mauvaise utilisation ou des résultats imprévus peuvent émerger au fur et à mesure que les systèmes évoluent. Il s’agit de mettre l’IA à l’épreuve pour valider que les contrôles en place font toujours ce que vous vous attendez à ce qu’ils fassent.

Les principes de confiance zéro jouent également un rôle clé. Dans un environnement axé sur l’IA, vous ne pouvez pas supposer la confiance. Que l’interaction provienne d’une personne, d’un système ou d’un agent autonome, vous devez vérifier chaque demande, action ou décision.

Mise à l’échelle de l’IA : Il y a la façon rapide et la bonne façon

L’adoption de l’IA ne ralentit pas, ce qui signifie que les surfaces de menace s’élargissent également. Les solutions uniques réactives ne permettront pas de résoudre ce risque. Vous avez besoin d’une visibilité continue, de tests et d’une approche plus flexible en matière de sécurité.

NTT DATA s’est associé à Cisco pour vous aider à mettre ces principes en pratique. Ensemble, nous nous concentrons sur la sécurisation du cycle de vie complet de l’IA, de la gouvernance et de la visibilité à la protection par couches, aux tests continus et aux principes de confiance zéro, afin que votre sécurité évolue en fonction de votre technologie.

L’IA remodèle la façon dont les organisations fonctionnent et continuera de le faire. Mais son impact est aussi fort que les garde-corps que vous avez mis en place pour le contrôler. Laissez-nous vous aider à bâtir une IA en laquelle vous pouvez avoir confiance à grande échelle.

Regardez le webinaire complet  et découvrez comment les solutions de cybersécurité de NTT DATA  peuvent renforcer votre sécurité pour suivre le rythme de l’adoption de l’IA.