Pourquoi l’IA a besoin d’une bonne gouvernance
Le 25 septembre 2023 John Paul Cunningham
Tout au long de ma carrière, j'ai constaté qu'un principe demeure vrai : même si la technologie évolue constamment, les modèles qui la régissent restent stables.
Au cours des 30 dernières années, j'ai assisté à d'énormes changements technologiques : de l'informatique mainframe à l'informatique de bureau en passant par le cloud computing, sans parler d'une multitude de nouvelles approches de développement de code. Pourtant, malgré ces changements, j’ai constaté que les modèles de gouvernance restent les mêmes. À maintes reprises, j’ai vu des gens ignorer ces schémas, suggérant que la nouvelle méthode n’avait plus besoin des contrôles précédents. Et j'ai également vu ces mêmes personnes apprendre – souvent douloureusement – que ces schémas restaient effectivement vrais et pertinents.
Aujourd’hui, l’intelligence artificielle (IA) fait fureur. C’est la nouvelle technologie dont tout le monde parle. La puissance de traitement de l’IA – sa capacité à interpréter le langage et à appliquer une logique complexe pour trouver des réponses en quelques secondes seulement – a un immense potentiel.
Il est pourtant essentiel de rappeler que l’IA en est encore à ses balbutiements. La technologie est immature, non formée et non gouvernée. Si elle veut devenir un élément productif de notre société, elle doit être régie par les mêmes principes qui ont régi toutes les technologies précédentes.
Alors, quels sont les modèles éprouvés que nous devons appliquer à l’IA ? En voici cinq :
Table des matières
Les droits d’accès à l’IA doivent être contrôlés et limités
Le prouvé principe du moindre privilège doivent être appliqués aux moteurs d’IA et à tout logiciel qui les intègre. J'ai été approché par des fournisseurs vendant des technologies basées sur l'IA qui m'ont demandé les clés du royaume : la possibilité de lire et d'écrire dans les zones les plus sensibles de mon entreprise. Les organisations doivent faire preuve d’une grande prudence lorsqu’elles se connectent aux technologies basées sur l’IA.
L'IA est une identité et doit être gouvernée comme telle
Tous les modèles éprouvés d’intégration, de certification, de recertification et de résiliation doivent s’appliquer à une identité IA. Cela signifie intégrer les meilleures pratiques autour gestion des accès privilégiés, un accès juste à temps et une protection des comptes de service avec le moteur IA. Traitez-le comme une personne et gouvernez-le comme toute autre identité de votre organisation.
L'IA doit être surveillée
La surveillance complète est un modèle éprouvé pour détecter les comportements anormaux, notamment l’identification des initiés malveillants ou compromis. L’IA ne devrait pas être différente. Comme toute entité, elle est sujette à des abus par de mauvais acteurs et peut être manipulée pour enfreindre les règles et agir en dehors de son objectif initial. Nous devons surveiller l’IA pour détecter les écarts et les indicateurs d’activité malveillante (IoMA) et être en mesure de réagir en conséquence, notamment en désactivant l’accès et en isolant les menaces.
L'intégrité, l'exactitude et la validité des entrées et sorties de l'IA doivent être vérifiées et limitées par des validations et des règles.
Nous avons depuis longtemps prouvé la valeur des examens par les pairs, des validations d'entrée et de sortie dans le code et d'autres processus de validation d'intégrité. Ces modèles doivent également être appliqués à l’IA. Nous devons vérifier les résultats, peut-être avec d’autres acteurs de l’IA ou des humains ; nous devons déterminer quels apports peuvent être fournis en définissant des règles concernant l'apport et l'accès ; nous devons gouverner la production ; et nous devons appliquer les principes de prévention des pertes de données (DLP) et de protection de la propriété intellectuelle (IPP) à toute mise en œuvre de l'IA qui pourrait accéder à nos données d'entreprise critiques.
L’IA a besoin d’une gestion du cycle de vie et de la configuration logicielle
Nous devons appliquer les principes éprouvés de création d’environnements de test, de validation et de contrôle rigoureux des changements, et de mise en place de processus d’approbation avant d’autoriser des modifications aux systèmes d’IA. Parce que l’IA peut évoluer de manière dynamique dans la production, mais nous devons mettre en place des garde-fous. Le contrôle de la production est essentiel pour éviter toute conséquence involontaire de logiciels basés sur l'IA qui n'ont pas été correctement testés avant leur mise en œuvre.
Certes, il y a d’autres éléments à prendre en compte, mais ma règle générale est la suivante : traitez l’IA comme n’importe quel autre employé, identité ou système. Appliquez la même réflexion et les mêmes contrôles que vous le feriez pour n’importe lequel d’entre eux. Ne présumez pas qu’il est infaillible ou omniscient. Appliquez-y des modèles éprouvés, tout comme avec les technologies précédentes. Ce faisant, vous préserverez votre réputation, vos clients et les joyaux de votre entreprise.
Intéressé à apprendre comment Silverfort peut-il aider à gouverner l’IA et à protéger l’identité ? Contactez l'un de nos experts dès aujourd’hui.
