Shadow IA : attention à ce nouveau facteur de risques pour votre S.I.

Par -

Toutes les entreprises n'ont pas encore développé spécifiquement de stratégie autour de l'IA. Pourtant, je suis quasiment certain que 99% d'entre elles utilisent déjà des outils IA, sans en être toujours conscientes. Du jeune stagiaire qui se sert de ChatGPT à longueur de journée, sur un compte gratuit, au commercial qui génère les compte-rendus de se visios à l'aide d'un service "gratuit", l'IA s'est déjà immiscée dans la sphère professionnelle. Sans oublier toutes les fonctionnalités dont regorgent les smartphones de dernière génération… C'est ce que l'on appelle la "Shadow AI", par analogie au "Shadow IT", ce terme qui désigne tous les terminaux "fantômes" qui sont plus ou moins connectés au S.I. des entreprises, et qui introduisent de nouveaux risques : smartphones, tablettes, montres connectées, parfois PC personnels…

Le Shadow AI, c'est l'angle mort de l'IA que les DSI et les Directions négligent souvent, et qui constitue un véritable danger pour les entreprises.

Exposition des données d'entreprises


Le principal danger du Shadow AI réside dans le fait qu'aujourd'hui, il est possible de tout interconnecter. Je peux m'inscrire sur un service d'IA grâce à mon compte Google ou Microsoft professionnel, sans véritablement savoir ce qui est partagé ou non comme types d'informations. Depuis la fenêtre de conversation de ChatGPT, je peux connecter mon Google Drive, mon OneDrive ou même le Sharepoint de mon organisation. Là aussi, peu d'utilisateurs s'interrogent sur ce à quoi ils donnent accès, et ce que l'IA va pouvoir avaler comme données : fichiers clients, procédures sensibles, fichiers avec mots de passe en clair… potentiellement, c'est comme si vous ouvriez votre SI à ces espèces de chalutiers que sont les LLMs. Sans savoir ce qu'ils collectent, ce qu'ils en font, combien de temps ils retiennent l'information...


Combien d'entreprises ont analysé les conditions des abonnements qu'elles souscrivent avec ChatGPT ou autre ? Dans combien d'organisations seules des versions gratuites de ces outils sont-elles déployées ? Pour les administrateurs réseau, il est urgent de contrôler ce que les utilisateurs peuvent partager, ce à quoi ils peuvent se connecter… Pour les Directions, il est essentiel de sensibiliser leurs collaborateurs aux dangers de l'IA, accéléré par la facilité d'usage des outils. 

FakeGPT


Tout le monde a aujourd'hui entendu parler de ChatGPT. Mais tout le monde ne sait pas où le trouver. Or quand vous tapez "chatgpt" ou "chat gpt gratuit" dans votre moteur de recherche ou votre store d'applications, beaucoup de résultats pointent vers de faux sites qui, au mieux vont tenter de vous vendre des formations bidons, et au pire, risquent d'introduire des virus ou de capter des données sensibles.

Voici par exemple ce que donnent ces requêtes sur Ecosia ou Bing :








A ce niveau également, il est essentiel de guider les utilisateurs en demande vers les bons outils, si besoin de les équiper avec des souscriptions d'entreprises, et de surveiller ce qui s'installe sur votre parc…

Les questionnements liés plateformes d'automatisation


Zapier, n8n, Make… dans les services marketing et commerciaux fleurissent des apprentis codeurs qui créent des automatismes parfois très avancés, en exploitant la puissance de l'IA grâce à des connexions vers des fichiers ou des outils métiers. C'est relativement facile, cela donne des résultats assez impressionnants, et les bibliothèques de connecteurs disponibles sont très complètes. Problème : les connecteurs officiels se mélangent à ceux conçus par des développeurs indépendants, sans que l'on sache très bien quels traitements ils réalisent, comment ils traitent les données et surtout, si ces données ne font que transiter ou si elles sont stockées quelque part. Dans le même esprit, ces composants nécessitent des clés API dont les droits ne sont pas toujours bien compris par ces "apprentis sorciers" du développement (je dis ça affectueusement 😉) et dont la confidentialité n'est pas toujours garantie.

Les RSSI ont un rôle essentiel à jouer à ce niveau, en analysant les outils utilisés, en vérifiant les droits des connexions API et en validant le stack technologique, non pas pour brider la créativité des low-coders, mais pour border les usages et garantir la sécurité du S.I.

Dépendance au SaaS et futurs coûts cachés liés au pay-as-you-go


Si vous vous êtes penché sérieusement sur les outils d'IA, vous avez forcément été confronté aux limites du modèle freemium : ce qui est gratuit est très limité, et ensuite, les paliers proposés par les formules d'abonnement atteignent vite des centaines d'euros par mois. Sans compter les frais cachés de certains outils, avec des paiements par utilisateur ou pire, en "pay-as-you-go" où votre carte bancaire sera débitée en fonction de l'usage qui sera fait des API ou du stockage. Si votre automate entre en boucle, la facture peut être salée…

L'IA "grand public", c'est l'apogée du modèle SaaS : tout est packagé pour être facile et accessible en apparence, et pour vous guider vers des formules d'abonnement dont vous risquez d'être rapidement captifs. Lorsque vos outils métiers auront été conçus dans tel ou tel outil, il sera difficile de le quitter, et plus vous allez consommer de bande passante, de crédits d'API ou de stockage, plus vous devrez payer.

L'autre danger du SaaS, c'est le revers de la médaille de l'infrastructure cloud : certes, c'est très pratique en terme d'infogérance et de mise à jour. On n'a plus à s'en soucier. Mais lorsque les services "tombent", les entreprises sont soudainement à l'arrêt. Elles ne peuvent tout simplement plus travailler. Cette dépendance va s'accentuer avec l'IA et sa kyrielle d'automates, et elle doit interroger les DSI sur la gouvernance de leur système d'information : les exemples récents de pannes chez Canva illustrent la fragilité de ces systèmes, et la dépendance des entreprises. Dans un environnement géopolitique tendu, avec des infrastructures réseau soumises à de nouvelles contraintes liées au réchauffement climatique, il faut être conscient du degré de dépendance de son entreprise à de tels services. S'il est élevé, il faut envisager soit des plans B, soit un retour au bon vieux "on-premise", pour sécuriser des systèmes-clés.

****

En conclusion, que vous soyez convaincus par l'IA ou totalement sceptique, ne la négligez pas : vos salariés, vos collègues, s'en servent déjà, souvent en catimini. Il vaut mieux vous emparer du sujet pour essayer de le maîtriser sans attendre qu'il se développe anarchiquement dans votre S.I.