À l'aube de "l'ère de l'IA", il est temps de prendre la résilience des données au sérieux

Avec l'essor rapide de l'IA dans le monde de l'entreprise, la résilience des données revêt une importance cruciale pour assurer la continuité des activités en toutes circonstances.

Il y a près de vingt ans, Clive Humby inventait la phrase désormais célèbre : « Les données sont le nouveau pétrole ». Aujourd’hui, l’intelligence artificielle (IA) signe l’arrivée d’un nouveau moteur à combustion. Si le discours autour de l’IA a atteint des sommets, cette « ère de l’IA » dans laquelle nous sommes entrés n’est que le dernier chapitre en date d’une histoire qui dure depuis des années : celle de la transformation numérique.

L’engouement pour l’IA exprimé, à l’heure actuelle, par l’ensemble des secteurs d’activité est tout à fait compréhensible, et s’explique par son potentiel à la fois immense, passionnant et révolutionnaire. Toutefois, avant de se lancer, les entreprises doivent impérativement mettre en place des processus pour renforcer la résilience des données et s’assurer que celles-ci soient disponibles, exactes, protégées et pertinentes pour garantir leur continuité d’activité en toutes circonstances. Car prendre soin de son entreprise, c’est avant tout prendre soin de ses données.

Mettre le shadow IT en déroute

Lorsqu’il s’agit d’assurer la gestion de quelque chose d’aussi omniprésent et changeant que les données d’une entreprise, il est beaucoup plus facile de le faire en organisant des formations et en instaurant des contrôles dès le départ. En effet, personne n’a envie de se retrouver seul à essayer de résoudre la situation au dernier moment, une fois le mal fait. C’est maintenant qu’il faut agir. Selon la dernière étude globale de McKinsey sur l’IA, 65 % des personnes interrogées ont déclaré que leur entreprise utilisait régulièrement l’IA générative (soit deux fois plus qu’il y a dix mois). Toutefois, la statistique qui devrait interpeller les responsables informatiques et de la sécurité est que près de la moitié des répondants déclarent avoir tendance à « fortement personnaliser » les modèles existants, voire à développer eux-mêmes leurs propres modèles.

Cette tendance est caractéristique d’une nouvelle vague de « shadow IT », qui désigne l’utilisation non autorisée ou inconnue de logiciels ou de systèmes au sein d’une organisation. Pour une grande entreprise, il est déjà difficile d’effectuer un suivi des outils utilisés par chaque équipe métier. Mais les services ou même les individus qui construisent ou adaptent de grands modèles de langage (LLM) peuvent à leur tour complexifier la gestion et le suivi des mouvements de données et des risques dans l’ensemble de l’entreprise. En réalité, il est presque impossible d’exercer un contrôle total ; c’est pour cela qu’il peut être utile de mettre en place des processus et d’organiser des formations autour du data stewardship (intendance des données), de la data privacy (confidentialité des données) et de la propriété intellectuelle. Ces mesures peuvent ainsi permettre à l’entreprise d’avoir une défense plus solide en cas de problème.

Gérer les risques

Pas besoin de se transformer en police du progrès pour autant. L’IA est un outil formidable dont les entreprises et leurs différents services peuvent tirer énormément de valeur. Néanmoins, comme elle s’intègre rapidement à la pile technologique, il est essentiel de s’assurer qu’elle respecte également les principes de gouvernance et de protection des données de l’entreprise. Pour la plupart des outils d’IA, le défi consiste à atténuer le risque opérationnel des données qui transitent par eux. En général, il existe trois principaux facteurs de risque : la sécurité (que se passe-t-il si un tiers accède aux données ou les dérobe ?), la disponibilité (que se passe-t-il en cas de perte d’accès aux données, même temporairement ?) et l’exactitude (que se passe-t-il si les données à partir desquelles nous travaillons sont erronées ?).

C’est là que la résilience des données se révèle cruciale. À mesure que les outils d’IA s’intègrent à la pile technologique, il faut assurer la visibilité, la gouvernance et la protection de l’ensemble du « paysage des données ». Pour cela, il faut revenir à l’ancienne triade « CIA », à savoir maintenir la Confidentialité, l’Intégrité et la Disponibilité des données. L’utilisation endémique ou incontrôlée de modèles d’IA au sein d’une entreprise pourrait tout à fait créer des lacunes. La résilience des données constitue déjà une priorité dans la plupart des services, et les LLM et autres outils d’IA doivent également être pris en compte dans cette démarche. Pour cela, il faut comprendre quelles sont les données les plus critiques pour l’entreprise et savoir où elles se trouvent. Que l’on dispose d’une bonne gouvernance ou d’une bonne résilience des données, l’utilisation incontrôlée de l’IA pourrait causer de sérieux problèmes à l’entreprise concernée sans la mise en place d’une formation adéquate. Pire encore : elle pourrait même ne pas en avoir connaissance.  

Construire (et maintenir) la résilience des données

Aujourd’hui, assurer la résilience des données est un défi de taille : il s’applique à l’entreprise dans sa globalité, ce qui implique que toute l’équipe doit faire preuve de responsabilité. Il ne s’agit pas non plus d’une tâche unique, puisque tout est en perpétuelle évolution. La croissance de l’IA n’est qu’un exemple parmi les autres éléments auxquels il est nécessaire de réagir et de s’adapter. Par ailleurs, la résilience des données est une mission qui englobe la gestion des identités, la sécurité des appareils et des réseaux, ainsi que les principes de protection des données tels que la sauvegarde et la restauration. Il s’agit d’un vaste projet de réduction des risques qui nécessite deux éléments essentiels pour être efficace : la visibilité – comme mentionné plus haut – et l’adhésion de la direction. La résilience des données commence dans la salle du conseil d’administration ; sans cela, les projets sont voués à l’échec, les fonds alloués sont limités et des écarts de protection et de disponibilité apparaissent. Plus question d’affirmer que ce problème n’est pas de son ressort : tout le monde est concerné.

Il ne faut pas se laisser décourager par l’ampleur de la tâche avant même d’avoir commencé. Certes, être sur tous les fronts à la fois est impossible, mais il vaut mieux faire quelque chose que ne rien faire du tout. Il est plus facile de commencer dès maintenant que d’attendre l’année suivante, lorsque les LLM se seront multipliés dans toute l’entreprise. De nombreuses organisations risquent de connaître les mêmes problèmes que ceux rencontrés lors de leur migration vers le cloud il y a quelques années, à savoir se lancer à corps perdu dans les nouvelles technologies avant de regretter de ne pas avoir assez anticipé certaines choses, pour finalement devoir travailler à reculons.

Il faut tester sa résilience en effectuant des exercices – après tout, la seule façon d’apprendre à nager est de se jeter à l’eau. Lors des tests, il faut s’assurer de prévoir des scénarios réalistes pour les pires éventualités ; autant que possible, il ne faut, par exemple, pas compter sur le responsable de la gestion des risques (qui a tout autant le droit de prendre des vacances que n’importe quel autre salarié). Et prévoir un plan B, un plan C et un plan D. Ainsi, en effectuant ces tests, il sera plus facile d’évaluer son niveau de préparation – même si le plus important reste de se lancer.