La visibilité des données, rempart ultime aux dérives du « Shadow AI »

Trouver le juste milieu entre développement technologique et gouvernance a souvent constitué un exercice délicat, mais l’intelligence artificielle accentue désormais cette fragilité. En effet, son déploiement dans les entreprises combine opportunités stratégiques et vulnérabilités liées aux données.

Dave Russell, Senior Vice President et Head of Strategy chez Veeam Software partage son expertise sur le sujet et nous donne quelques clés.

Ainsi, les pouvoirs publics imposent désormais des exigences accrues en matière de transfert et de traitement des données entre les systèmes d’IA. Parallèlement, l’utilisation croissante de ces outils par les employés, souvent sans validation des équipes IT, rend la gestion des données toujours plus complexe. Cette dynamique contraint les départements informatiques à repousser les standards traditionnels en matière de résilience des données. Utiliser l’IA de façon transparente soutient l’innovation, sans entraver les phases de test et d’exploration. Par conséquent, la visibilité des données devient un pilier stratégique, essentiel à la réputation et à la performance à long terme.

La montée en puissance des exigences réglementaires

Qu’il s’agisse des autorités de contrôle ou des dirigeants d’entreprise, chacun a pris conscience que, pour réussir ses projets d’IA, il fallait apporter une attention particulière à l’impact de ces initiatives mais aussi à la nature des structures mises en place pour les guider et les gérer.

En réponse à ces enjeux, de multiples réglementations à l’international ont vu le jour, notamment DORA au sein de l’Union européenne et plusieurs lois locales aux États-Unis, dédiées à la protection des informations personnelles. Si le respect des obligations légales a de tout temps occupé une place centrale dans les priorités des entreprises, la question de la confidentialité des données fait aujourd’hui l’objet d’une vigilance renforcée. Ne pas se conformer aux exigences réglementaires portant sur le numérique peut fragiliser les systèmes d’information face aux ransomwares et provoquer des interruptions d’activité. De surcroît, une telle situation peut ternir la crédibilité de l’organisation et compromettre ses efforts pour restaurer son image.

Les obligations réglementaires évoluent en parallèle des technologies. Si, par le passé, elles visaient surtout des infrastructures de données pilotées par des individus, l’essor des modèles d’intelligence artificielle et d’automatisation impose aujourd’hui aux entreprises d’expliquer clairement la façon dont ces systèmes utilisent les données, au-delà des simples fautes humaines. La multiplication des modèles d’IA et des processus automatisés au sein des activités quotidiennes transforme les obligations des entreprises. Celles-ci doivent désormais dépasser la seule gestion des défaillances humaines et détailler le traitement des données par leurs modèles. Être en mesure de retracer le cheminement des données, de leur intégration à leur exploitation finale, constitue un marqueur essentiel de maturité de l’IA, au même titre que la visibilité sur les flux de données et les modalités d’apprentissage des algorithmes. Aujourd’hui, les instances réglementaires imposent aux entreprises de démontrer la pertinence des processus décisionnels qui orientent le fonctionnement de leurs systèmes d’intelligence artificielle. Une telle transparence atteste de leur capacité à conserver la maîtrise des données et à en assurer un traitement fiable et conforme.

Assurer la traçabilité et l’explicabilité des modèles d’IA constitue une mission clé des équipes informatiques. Cela implique de réévaluer en profondeur les stratégies de confidentialité, de contrôle des autorisations et de gouvernance tout au long du cycle de vie des données. Par ailleurs, obtenir une vue d’ensemble des modèles d’IA reste une mission très complexe. La plupart des organisations se précipitent dans le déploiement de nouvelles technologies et extraient des informations provenant de systèmes hybrides et multiclouds, souvent sans appliquer les mesures de sécurité nécessaires. Les équipes informatiques se retrouvent alors dans l’incapacité d’avoir une cartographie précise des données et des droits d’accès. Ainsi, assurer et démontrer sa responsabilité numérique est un indicateur déterminant du niveau de compréhension qu’a une entreprise de ses propres données. Ce processus permet aux équipes IT de surveiller avec précision et rigueur l’ensemble des pratiques liées à l’exploitation des informations.

Dave Russell, Senior Vice President et Head of Strategy chez Veeam Software

L’IA non encadrée : risques et défis pour les entreprises

Par conséquent, il est logique que les départements informatiques, confrontés à des volumes de données presque impossibles à appréhender, hésitent à autoriser une utilisation libre des outils d’IA par les salariés. Ces outils, par nature, augmentent le risque de vulnérabilité et de mauvaise gestion en introduisant de nouveaux flux de données importants. Malgré les risques inhérents, les entreprises, quel que soit leur secteur ou leur lieu d’implantation, s’engagent dans le déploiement de l’IA, attirées par les opportunités d’innovation et de gains d’efficacité qu’elle permet.

Le phénomène de « Shadow IT » (ou « informatique fantôme »), soit l’utilisation non contrôlée de solutions technologiques par les employés, a conduit à l’apparition d’un équivalent dans l’IA : le « Shadow AI » ou « IA fantôme ». Cette pratique se traduit par l’adoption d’applications d’IA par les salariés, sans contrôle ni approbation de l’équipe informatique, pour répondre aux exigences accrues de performance et d’efficacité.

Dans la réalité, le « Shadow IT » échappe à la supervision. Les collaborateurs, en s’appropriant les outils d’IA, continueront à introduire ces technologies dans leurs activités sans consulter le service informatique.  Alors que l’usage non encadré des données constitue déjà un défi majeur, les équipes IT doivent également relever des obstacles grandissants pour obtenir une vision précise et complète de l’ensemble des informations de l’entreprise.

Quelles réponses apporter, face au Shadow IT ?

Il faut opérer une prise de conscience réaliste pour pouvoir avancer. Les départements informatiques et les organisations doivent transformer leur approche et comprendre que l’IA n’est pas un simple problème à résoudre ponctuellement. Il est donc essentiel d’admettre que l’IA est inévitable et de réduire les risques en misant sur la transparence des données, leur bonne gestion et une préparation proactive des équipes.

Les équipes informatiques doivent avancer de manière progressive, une fois ces fondements adoptés, tout en maintenant une rigueur constante sur la transparence. De petits projets pilotes ou des cadres restreints pour organiser les données sensibles sont préférables, plutôt que d’attendre un modèle de gouvernance parfait. Cette démarche permet aux équipes IT de capitaliser sur des connaissances internes et de mieux maîtriser l’usage de l’IA dans l’entreprise. Ces initiatives à petite échelle permettent à l’entreprise de déployer des éléments de protection sur tout son périmètre. Ne pas agir, en revanche, contribuerait à renforcer les risques et à augmenter la probabilité de subir des erreurs qui auraient pu être anticipées.

Le cœur de cette stratégie, c’est la visibilité. Les organisations souhaitant gérer l’IA de manière responsable doivent d’abord avoir une vision claire de leur environnement de données : identifier quelles informations existent, où elles sont conservées, qui y a accès et comment elles transitent d’un système à l’autre. Ce panorama aide les dirigeants à détecter les informations critiques et à les protéger contre toute attaque. La visibilité va au-delà de la simple conformité : elle offre un cadre permettant d’améliorer la prise de décision et de renforcer la résilience des données.

Enfin, une meilleure connaissance des flux et des emplacements des données permet de renforcer la résilience organisationnelle. Les équipes informatiques, en ayant la maîtrise de là où se trouvent leurs informations essentielles et de comment elles sont connectées aux systèmes clés, peuvent ainsi définir des stratégies de sauvegarde et de reprise adaptées aux priorités de l’entreprise. Par ailleurs, une gestion rigoureuse des données crée un socle de confiance commun. En les adaptant à l’environnement de l’IA, ces pratiques consolident la posture de cybersécurité et la continuité des activités.

À terme, les organisations les plus performantes seront celles qui réussiront à allier innovation et responsabilité. Les risques du Shadow AI, qui est désormais incontournable, peuvent être maîtrisés si des fondations adaptées sont établies. Les entreprises qui repenseront leur stratégie en privilégiant le progrès, la visibilité et l’hygiène des données donneront à leurs employés plus de marge de manœuvre pour utiliser l’IA de façon sécurisée. Mettre en tête de ses priorités le maintien du contrôle sur ses données n’est pas une contrainte, mais bien un atout pour faire progresser l’innovation dans la longueur et de manière fiable, à l’heure où l’ensemble des entreprises s’ouvrent à l’IA.