L’impératif moderne du ROI : Déploiement de l’IA, sécurité et gouvernance dans l’entreprise

L’impératif moderne du ROI : Déploiement de l’IA, sécurité et gouvernance dans l’entreprise

L’impératif moderne du ROI : Déploiement de l’IA, sécurité et gouvernance dans l’entreprise

À la veille de l’événement TechEx North America des 4 et 5 juin, nous avons eu le privilège de nous entretenir avec Kieran Norton, responsable de l’IA et de l’automatisation cyber chez Deloitte US. Fort de plus de 25 ans d’expérience dans le secteur, Kieran conseille actuellement les clients de Deloitte sur les questions liées à la cybersécurité dans le contexte de l’utilisation de l’intelligence artificielle au sein des applications d’entreprise.

L’évolution du paysage de la cybersécurité à l’ère de l’IA

La majorité des organisations disposent aujourd’hui au minimum d’une infrastructure de cybersécurité basique, et heureusement, dans la plupart des cas, elles mettent en œuvre un ensemble assez complet de mesures couvrant les communications, le stockage des données et les défenses périmétriques.

Cependant, ces deux dernières années, l’IA a considérablement modifié ce paysage, tant en termes de possibilités d’exploitation interne de cette technologie que dans la manière dont l’IA est utilisée en cybersécurité – pour la détection avancée des menaces, mais aussi dans les nouvelles méthodes employées par les acteurs malveillants.

En tant qu’outil de cybersécurité, l’IA peut être utilisée pour la détection d’anomalies réseau et l’identification intelligente des tentatives d’hameçonnage, entre autres applications. En tant que facilitateur commercial, l’IA exige des entreprises qu’elles soient proactives pour garantir une utilisation responsable, en équilibrant l’innovation qu’elle offre avec le respect de la vie privée, la souveraineté des données et la gestion des risques.

Considérés comme des domaines relativement nouveaux, l’IA, l’automatisation intelligente, la gouvernance des données et la sécurité occupent actuellement une niche spécifique. Mais compte tenu de la présence croissante de l’IA dans l’entreprise, ces niches sont appelées à devenir des préoccupations centrales : problématiques, solutions et conseils qui devront être pris en compte dans chaque organisation, tôt ou tard.

Gouvernance et gestion des risques

L’intégration de l’IA dans les processus d’entreprise ne se limite pas à la technologie et aux méthodes de déploiement. Les processus internes devront évoluer pour tirer le meilleur parti de l’IA et pour mieux protéger l’entreprise qui l’utilise quotidiennement. Kieran établit un parallèle avec les changements antérieurs rendus nécessaires par les nouvelles technologies :

« Je comparerais [l’IA] à l’adoption du cloud, qui représentait un changement assez significatif. Les gens comprenaient ses avantages et s’orientaient dans cette direction, bien que parfois cela leur prenait plus de temps que prévu pour y parvenir. »

Ces changements impliquent d’élargir le champ d’action pour englober la mise à jour des cadres de gouvernance, l’établissement d’architectures sécurisées, et même le recours à une nouvelle génération de spécialistes pour garantir que l’IA et les données associées soient utilisées de manière sûre et responsable. Les entreprises qui utilisent activement l’IA doivent détecter et corriger les biais, tester les hallucinations, imposer des garde-fous, gérer où et par qui l’IA est utilisée, et bien plus encore.

Comme l’explique Kieran : « Vous ne testiez probablement pas beaucoup les hallucinations, les biais, la toxicité, l’empoisonnement des données, les vulnérabilités des modèles, etc. Cela doit maintenant faire partie de votre processus. »

Ce sont des sujets vastes, et pour une vision plus complète, nous recommandons aux lecteurs d’assister aux deux conférences que Kieran donnera à TechEx North America. Il explorera les deux facettes de l’IA – les problématiques liées au déploiement de l’IA pour l’entreprise, et les méthodes que les entreprises peuvent mettre en œuvre pour dissuader et détecter la nouvelle génération de logiciels malveillants et de vecteurs d’attaque basés sur l’IA.

Identifier les cas d’utilisation pertinents

Kieran préconise que les entreprises commencent par des implémentations d’IA plus modestes et à moindre risque. Bien que certaines des premières manifestations de l’IA « dans la nature » aient été des chatbots, il a rapidement établi une distinction entre un chatbot capable de répondre intelligemment aux questions des clients et les agents, qui peuvent déclencher des interactions avec les applications et services exploités par l’entreprise.

« Il existe donc une délimitation […] les chatbots ont été l’un des principaux points de départ […] Lorsque nous passons aux agents et à l’agentique, cela change la donne. Cela modifie également la complexité et le profil de risque. »

Les instances d’IA agentique orientées client présentent incontestablement un risque plus élevé, car un faux pas peut avoir des conséquences significatives sur une marque. « C’est un scénario à plus haut risque. Particulièrement si l’agent exécute des transactions financières ou prend des décisions basées sur la couverture santé […] ce n’est pas le premier cas d’utilisation que vous souhaitez essayer. »

« Si vous connectez 5, 6, 10, 50, une centaine d’agents ensemble, vous entrez dans un réseau d’agence […] les interactions deviennent très complexes et présentent différentes problématiques », a-t-il ajouté.

D’une certaine manière, les questions liées à l’automatisation et aux interfaces système à système existent depuis près d’une décennie. Les silos de données et les défis de l’automatisation des processus robotiques (RPA) sont des obstacles que les entreprises tentent de surmonter depuis plusieurs années. « Vous devez toujours savoir où se trouvent vos données, connaître les données dont vous disposez, y avoir accès […] Les fondamentaux restent valables. »

À l’ère de l’IA, les questions fondamentales concernant l’infrastructure, la visibilité des données, la sécurité et la souveraineté sont sans doute plus pertinentes que jamais. Toute discussion sur l’IA tend à tourner autour des mêmes problématiques, ce qui met en relief les déclarations de Kieran selon lesquelles une conversation sur l’IA dans l’entreprise doit être de grande envergure et concerner de nombreux fondements opérationnels et infrastructurels de l’organisation.

L’importance du retour sur investissement

Kieran souligne donc l’importance de la praticité et d’une évaluation réaliste des besoins et des capacités, qui doivent être examinés attentivement avant que l’IA puisse s’implanter. « Si vous comprenez le cas d’utilisation […] vous devriez avoir une assez bonne idée du ROI […] et donc si cela vaut la peine de traverser les difficultés liées à sa construction. »

Chez Deloitte, l’IA est utilisée là où il existe un cas d’utilisation clair avec un retour mesurable : dans le triage initial des tickets du centre des opérations de sécurité (SOC). Ici, l’IA agit comme un moteur d’analyse d’incidents de niveau I. « Nous savons combien de tickets sont générés par jour […] si nous pouvons réduire de 60 à 80 % le temps consacré au processus de triage, cela a un impact significatif. » Étant donné la nouveauté de la technologie, délimiter un domaine d’opérations spécifique où l’IA peut être utilisée sert à la fois de prototype et de preuve d’efficacité. L’IA n’est pas orientée client, et des experts hautement qualifiés dans leurs domaines peuvent vérifier et superviser les délibérations de l’IA.

Conclusion : Évolution plutôt que révolution

Le message de Kieran pour les professionnels qui étudient les utilisations de l’IA pour leurs organisations n’est pas de construire un programme d’évaluation et de gestion des risques liés à l’IA à partir de zéro. Au contraire, les entreprises devraient faire évoluer les systèmes existants, avoir une compréhension claire de chaque cas d’utilisation, et éviter le piège de construire pour une valeur théorique.

« Vous ne devriez pas créer un autre programme uniquement pour la sécurité de l’IA en plus de ce que vous faites déjà […] vous devriez moderniser votre programme pour répondre aux nuances associées aux charges de travail de l’IA. » Le succès dans l’IA commence par des objectifs clairs et réalistes construits sur des bases solides.

Pour en savoir plus

Vous pouvez en apprendre davantage sur TechEx North America ici et vous inscrire pour y assister. Visitez l’équipe Deloitte au stand #153 et participez à ses sessions le 4 juin : ‘Securing the AI Stack’ sur la scène AI & Big Data de 9h20 à 9h50, et ‘Leveraging AI in Cybersecurity for business transformation’ sur la scène Cybersecurity, de 10h20 à 10h50.

Pour plus d’informations sur les solutions et services de Deloitte concernant l’IA dans les entreprises et la cybersécurité, ou pour contacter l’équipe à uscyberai@deloitte.com.

Featured image by Wolfgang Weiser on Unsplash