Auteur: Karl D’haveloose

Il va absolument falloir que nous nous rendions à la réalité – une réalité qui est d'ailleurs même admise par Gemini, à condition bien sûr de formuler une requête suffisamment nuancée : le grand danger que représente un usage inconsidéré de l'IA n'a pas encore été mesuré à ce jour, et ce n'est peut-être que lorsqu'il sera trop tard que nous serons en mesure de le quantifier. Donc, aux responsables ambitieux et parfois incontrôlables dans les domaines de la production et de l'ingénierie, et plus encore aux cadres supérieurs qui doivent parfaitement communiquer les règles du jeu de manière descendante, nous adressons le message suivant : le Shadow AI s'infiltre petit à petit, mais de manière systématique, dans toutes les entreprises. Voyons donc de quoi il s'agit, comment ce phénomène se produit et ce que nous pouvons faire pour y remédier.

Avant de me forger ma propre opinion à ce sujet, j'ai d'abord parcouru un article de Trends DataNews, intitulé 'Le prix de la gratuité : pourquoi votre personnel contourne massivement le service informatique', pour ensuite me plonger dans une étude réalisée par Blackfog (https://www.blackfog.com/blackfog-research-shadow-ai-threat-grows/).

L'attrait du freemium et la personnalisation aisée

Tout le monde connaît le principe du freemium et des services gratuits proposés par les hyperscalers : 'Si vous n'avez pas à payer pour le produit, c'est que vous êtes le produit'. Si ce principe s'applique clairement aussi au Shadow AI, son impact est encore plus extrême. Tout le monde connaît déjà la menace que représente le Shadow IT. Le Shadow AI fait référence à l'utilisation non autorisée de l'intelligence artificielle au sein des entreprises, sans l'approbation, la supervision ou la gouvernance du service informatique ou de sécurité central. Les personnes impliquées sont généralement des employés ou des équipes qui utilisent eux-mêmes des outils d'IA (tels que l'IA générative, des modèles linguistiques et des services d'analyse de données) en dehors des canaux d'approbation formels dans le but de travailler plus rapidement (p. ex. pour rédiger automatiquement des textes, analyser des données ou générer du code) sans que le service informatique ne soit informé des données utilisées ni de leur destination.

Il est bien sûr très appréciable de pouvoir montrer à ses collègues le nouvel outil gratuit et tendance que l'on a trouvé pour faciliter son travail quotidien. Mais le problème réside principalement dans le type d'outils utilisés par les employés. Plus de la moitié (58 %) de ceux qui utilisent des outils d'IA non approuvés ont recours à des versions gratuites, souvent parce que leur prise en main est plus rapide ou parce qu'elles offrent des fonctionnalités différentes de celles incluses dans les solutions déployées par les entreprises. "Les outils gratuits ont cependant toujours un coût ; dans le cas présent, c'est la valeur de vos données", explique Darren Williams, le CEO de BlackFog.

L'utilisation incontrôlée d'outils d'IA ou de Shadow AI peut entraîner :

• Des fuites de données sensibles : Les employés peuvent télécharger involontairement des données de leur entreprise ou de ses clients vers des services d'IA externes, sans qu'aucune mesure de sécurité ne soit mise en place.
• Des problèmes de conformité (par rapport au RGPD, par exemple) : Une utilisation non réglementée de l'IA peut entraîner des violations de la législation sur la protection de la vie privée ou des lois régissant certains secteurs.
• Des risques en matière de sécurité et une atteinte à la réputation : Sans surveillance, l'utilisation de l'IA peut introduire des vulnérabilités ou traiter des informations erronées.
• Les entreprises ont du mal à trouver le juste équilibre entre innovation et contrôle. Selon des rapports publiés il

Nos lecteurs qui travaillent dans le secteur sont bien placés pour le confirmer : les équipes OT ont tendance à relever les défis avec enthousiasme et pragmatisme, mais elles ne prennent pas toujours le temps de vérifier auprès des équipes IT si tout est bien sécurisé et conforme. Quant à savoir où l'on expérimente le plus avec le Shadow AI, la réponse est simple : on le retrouve dans absolument tous les départements les plus courants.

Les ingénieurs veulent pouvoir écrire plus rapidement le code des API, les opérateurs veulent pouvoir capturer plus rapidement les données relatives à la maintenance, les responsables des achats et de la chaîne d'approvisionnement veulent pouvoir faire des prévisions, et les responsables qualité veulent automatiser l'analyse des défauts. Tout commence de manière fragmentée, avec quelques expériences avec Gemini, Claude ou Chat GPT, et avant même que vous ne vous en rendiez compte, des versions de Github, Code Whisperer et Tabnine tournent au sein de votre système, analysant les données, exécutant des scripts Python et rédigeant des rapports.

La direction doit-elle aller vers l'adoption ou l'interdiction ?

L'étude de Blackfog révèle également que 'pas moins de 69 % des cadres dirigeants semblent peu préoccupés par le Shadow AI'. Les gains d'efficacité promis s'avèrent bien trop alléchants. Dans la course à l'adoption de l'IA, 66 % des directeurs et vice-présidents seniors interrogés disent privilégier la rapidité au détriment de la confidentialité. Selon Van Belle, CIO d'AG Insurance, on pousse les gens à agir toujours plus vite, mais lui-même refuse de se lancer dans un scénario risqué. "En trente ans de carrière, je n'ai jamais eu à demander à l'entreprise d'attendre six mois avant de lancer un projet. Mais la puissance de la technologie nous oblige à faire preuve de prudence." Pour lui, une institution réglementée ne peut pas se permettre de 'fermer les yeux'. "Notre conseil d'administration n'acceptera jamais une politique susceptible de mettre l'entreprise en danger."

En référence à notre entretien avec Wesley Verhoef et Johan Van Campenhout d'Agoria, dans le domaine de l'OT, le mot d'ordre est la disponibilité, tandis que dans celui de l'IT, c'est la confidentialité. Et c'est précisément cette disponibilité qui permet d'accélérer la mise en œuvre de l'IA.

Si vous consultez des sources telles que Siemens, Rockwell ou Microsoft, vous arriverez rapidement à la conclusion suivante : 'Governed AI, not forbidden AI'. On peut parler d'un compromis contrôlé. Comment procéder dans ce cas ? Rendez-vous bien compte que si vous l'interdisez complètement, les gens continueront à utiliser ces technologies en cachette, ce qui augmentera le risque de fuites de données, de violations de propriété intellectuelle, de cyberincidents, etc.

1. Proposez vous-même des outils sûrs et performants (IA sur site, PrivateGPT, copilote d'entreprise) et payants : Microsoft Copilot Enterprise, OpenAI ChatGPT Enterprise.
2. Mettez en place une politique en matière d'IA concise et concrète, précisant ce qui est autorisé et avec quels outils.

Pour le dépannage, la documentation et la recherche sans risque, vous pouvez utiliser des alternatives gratuites standard. Dès que vous travaillez avec des données de clients, des recettes ou des fichiers CAO, cela est strictement interdit.

3. Établissez des règles très claires et sans ambiguïté concernant tout ce qui touche au système SCADA, au MES, aux données des machines et au code des API.
4. Formez l'ensemble des opérateurs et des ingénieurs pour qu'ils connaissent les tâches et les types de requêtes autorisés.
5. Si vous souhaitez entraîner des données OT dans un modèle contrôlé et fermé, vous pouvez p. ex. utiliser des logiciels d'IA intégrés pour environnements OT industriels, tel que Siemens Industrial Copilot, Rockwell Automation FactoryTalk AI ou Schneider Electric Industrial AI copilots.

Conclusion : Dans le monde de l'Industrie 4.0, où l'analyse des codes d'erreur et des codes racine, le débogage rapide du code des API, les temps d'arrêt et l'analyse des processus revêtent une importance cruciale sur le plan concurrentiel, vous n'avez tout simplement pas d'autre choix que d'adopter et d'intégrer officiellement l'IA. Prévoyez donc un budget à cet effet et demandez conseil auprès de spécialistes.