Tristan Savalle (Advens) & Tanguy Duthion (Avanoo) "Nous avions besoin d'un outil pour savoir s'il existe du shadow AI dans notre organisation"

Pascal Coillet-Matillon

Le RSSI d'Advens revient sur la politique de sécurité de l'IA mise en œuvre dans l'entreprise française de cybersécurité. Il est accompagné de Tanguy Duthion, PDG d'Avanoo, start-up française fournissant la solution utilisée par Advens contre le shadow AI.

JDN. Qu'est-ce qui a poussé Advens à déployer une politique interne de sécurité de l'IA ?

Tristan Savalle, RSSI d'Advens, et Tanguy Duthion, PDG d'Avanoo. © Advens & Avanoo

Tristan Savalle. Advens est une société de cybersécurité qui gère des données très sensibles. Nous ne pouvons pas nous permettre de laisser les salariés avoir des usages de l'IA qui peuvent être dangereux. Nous avons donc introduit des solutions d'IA en interne ou en cloud, validées juridiquement et techniquement.

Cependant, comme notre activité nécessite également de la recherche et de l'innovation, nos collaborateurs ont besoin de tester des solutions y compris dans le cloud. Advens ne peut pas être un château fort, ce serait incompatible avec ses métiers. Quand les collaborateurs ont commencé à s'emparer de l'IA, mes premières inquiétudes portaient donc sur la fuite des données de l'entreprise dans le cadre du shadow AI. Nous devons en effet être très attentifs à l'utilisation des données que nous protégeons.

Comment avez-vous déployé cette politique ?

TS. La première décision que j'ai prise est de communiquer auprès des collaborateurs. Je leur ai rappelé qu'ils doivent être attentifs aux informations qu'ils manipulent pour utiliser les outils d'IA. Celles-ci ne doivent pas être des informations qui appartiennent aux clients ou qui ont un certain degré de sensibilité. Je leur ai expliqué qu'il fallait tester les outils d'IA dans des conditions garantissant un niveau élevé de sécurité : utiliser des données qui ne sont pas celles avec lesquelles on travaille, etc.

Dans le même temps, nous avons mis à jour la charte d'utilisation des systèmes d'information. Celle-ci explique désormais qu'il est interdit d'utiliser des outils d'IA personnels pour des finalités professionnelles. C'est uniquement l'entreprise qui fournit les moyens informatiques destinés aux usages professionnels. En outre, elle précise que les outils d'IA validés par l'entreprise doivent être utilisés dans le respect des bonnes pratiques que j'ai mentionnées précédemment.

Tanguy Duthion. Chez les clients d'Avanoo, j'observe que cette charte est un document très important. C'est une charte de sécurité qui oblige les salariés. Normalement, elle explique que l'usage des outils mis à disposition des salariés peut être surveillé dans un but de sécurité. Si un salarié ne respecte pas cette charte, il peut être sanctionné.

TS. En plus de l'actualisation de la charte, nous avons aussi structuré l'utilisation que nous voulions faire de l'IA. Nous avons créé un projet pour développer notre propre solution d'IA basée sur des modèles open source et un hébergement maîtrisé. Celle-ci nous sert quand on utilise des informations sensibles.

En parallèle, nous avons sondé les salariés à propos des usages d'IA génératives que nous pouvions effectuer pour des tâches moins sensibles comme de la rédaction de mails, des comptes-rendus, etc. Et pour cause, notre philosophie est d'accompagner l'usage de l'IA générative en entreprise en l'encadrant plutôt qu'en réprimant. Pour cela, nous avons aussi testé la solution d'Avanoo qui permet de prévenir contre les risques du shadow AI.

Comment cette solution sert-elle à déployer cette politique ?

TS. Nous avions besoin d'un outil pour savoir s'il existe du shadow AI dans notre organisation, de connaître les outils d'IA utilisés, de rappeler qu'il existe des règles d'utilisation dans la charte IA, et de diriger les collaborateurs vers des IA que nous avons validées en interne. C'est ce que permet l'outil d'Avanoo. Grâce à une extension navigateur, il fournit un reporting clair, précis et quotidien qui nous permet de savoir quel outil d'IA en ligne est consulté en shadow AI, qui le consulte, à quelle fréquence, etc.

En outre, il possède une fonctionnalité de nudging. Par exemple, quand un collaborateur utilise un outil d'IA générative extérieur à notre environnement, une notification apparaît sur son écran. Celle-ci lui indique deux choix. Soit d'être redirigé vers une application d'IA que nous avons approuvée en interne. Soit de lire la charte qui lui rappelle les règles dont celle qui rappelle qu'il n'a pas le droit d'utiliser l'IA générative externe qu'il s'apprête à manier. L'objectif n'est pas de surveiller et sanctionner, mais d'éduquer et de pousser les utilisateurs vers les bons usages de l'IA. La sécurité ne doit pas bloquer une initiative métier : elle doit l'accompagner.

Avanoo cartographie aussi tous les outils d'IA en ligne utilisés. Cela nous permet de comprendre les besoins des salariés et de s'y adapter en intégrant en interne, si nécessaire, des IA qui peuvent y répondre. Par exemple, si je constate qu'un outil d'IA extérieur à notre environnement est très utilisé, je vais aller voir les salariés concernés, discuter avec eux, et m'interroger sur l'utilité ou non de celui-ci. Encore une fois, nous ne voulons pas punir mais accompagner les usages.

TD. Je pense que c'est effectivement la bonne méthode. Certains prospects souhaitent utiliser notre solution pour détecter les IA utilisées et en dresser la liste dans la charte afin de les interdire. Mais ce n'est pas la bonne pratique puisque les choix des IA utilisées changent souvent. Cela nécessiterait de mettre à jour la liste très régulièrement. C'est pourquoi je pense que la charte doit être très courte, impactante, concise avec des règles claires sur ce qu'il est permis ou non d'effectuer avec les IA.

Quelles sont les réactions des salariés face à cette politique ?

TS. La grande majorité d'entre eux la comprend. Etant donné la manière dont nous l'avons mise en œuvre, ils ont compris que notre objectif n'est pas de surveiller et de punir, mais de repérer les risques et de les diminuer avant qu'il ne soit trop tard.

TD. Certains retours d'expérience démontrent qu'il arrive que les salariés jugent négativement la politique sur l'usage de l'IA. Ils ont peur qu'on les surveille. Toutefois, ce n'est pas la majorité. Quand celle-ci est appliquée en collaboration avec les salariés, non pas pour les punir ou pour bloquer des accès vers des sites, mais pour encadrer et accompagner l'usage de l'IA, j'observe qu'elle est acceptée sans problème.