La disponibilité massive des outils d’IA générative, tels que ChatGPT d'OpenAI ou Google Bard, continue de faire débat. Cette fois, c’est au tour du Gartner d’étudier les risques de sécurité émergents posés par ces derniers. Sans faire de détours, le cabinet indique dans une étude que les solutions d’IA générative constituent l'une des principales préoccupations des responsables de sécurité informatique au deuxième trimestre 2023. « L'IA générative apparaît comme le deuxième risque le plus souvent cité dans notre enquête du deuxième trimestre, apparaissant dans le top 10 pour la première fois », a déclaré Ran Xu, directeur de la recherche au sein de l'entité risque et audit du Gartner. « Cela reflète à la fois la croissance rapide de la sensibilisation du public et de l'utilisation des outils d'IA générative, ainsi que l'étendue des cas d'utilisation potentiels, et donc des risques potentiels que ces solutions engendrent », analyse le responsable. En mai 2023, le cabinet a interrogé 249 RSSI afin de fournir aux entreprises une vue comparative de 20 risques émergents.
Des rapports trimestriels fournissent des données détaillées sur l'impact possible, le calendrier, le niveau d'attention et les opportunités perçues pour ces risques. La viabilité des applications tierces constitue le principal risque émergent que les entreprises surveillent le plus étroitement dans l'enquête du 2e trimestre 2023. Viennent ensuite les risques portés par les outils d'IA générative qui arrivent en deuxième position. Les inquiétudes liées à la planification financière, à la concentration des données dans le cloud ainsi qu'aux tensions commerciales avec la Chine complètent ce top 5.
Les risques générés par la disponibilité des IA génératives ont été évoqués à une fréquence de 67 %. (Source : Gartner/Crédit : Gartner)
Veiller à la protection des données et au risques cyber
Gartner a précédemment identifié six risques liés à l'IA générative et quatre domaines de réglementation de l'IA pertinents. En termes de gestion du risque d'entreprise, trois aspects principaux doivent être pris en compte. Parmi eux, on trouve la propriété intellectuelle. « Les informations entrées dans un outil d'IA générative peuvent faire partie d’un ensemble d'entraînement, ce qui signifie que des données sensibles ou confidentielles pourraient se retrouver dans les résultats destinés à d'autres utilisateurs », a souligné Ran Xu. « En outre, l'utilisation des résultats de ces outils pourrait bien aboutir à une violation involontaire des droits de propriété intellectuelle des autres utilisateurs », a-t-il ajouté. De ce fait, il est important de sensibiliser les dirigeants d'entreprise à la nécessité de faire preuve de prudence et de transparence dans l'utilisation de ces outils afin que les risques liés à la propriété intellectuelle puissent être correctement atténués, tant en ce qui concerne les données d'entrée que les données de sortie des outils d'IA générative.
La confidentialité des données doit également faire l’objet d’une surveillance étroite, estime aussi le cabinet, expliquant que les outils d’IA générative peuvent éventuellement partager des données sur les utilisateurs avec des tiers, tels que des fournisseurs ou des prestataires de services, sans avis préalable. Cela pourrait constituer une violation de la législation sur la protection de la vie privée dans de nombreuses juridictions. Par exemple, une réglementation a déjà été mise en œuvre en Chine et dans l'UE, et des projets de réglementation sont en cours d'élaboration aux États-Unis, au Canada, en Inde et au Royaume-Uni, entre autres. Enfin, les risques en cybersécurité posés par l'IA générative suscitent des inquiétudes au sein des entreprises. « Les pirates informatiques testent toujours les nouvelles technologies pour trouver des moyens de les détourner à leurs propres fins, et l'IA générative n'échappe pas à la règle », expose le directeur de la recherche chez Gartner. « Nous avons vu des exemples de logiciels malveillants et de codes de ransomware que l'IA générative a été amenée à produire, ainsi que des attaques par « prompt injections » qui peuvent amener ces outils à donner des informations qu'ils ne devraient pas. Cela a conduit à l'industrialisation des attaques de phishing avancées », fait remarquer ce dernier.
Une surveillance accrue des applications tierces
Du point de vue des causes et des implications des risques informatiques sur la viabilité des applications tierces, « la persistance d'une inflation moins sensible aux hausses de taux d'intérêt et plus longue que prévu a entraîné une escalade des coûts et des pressions sur les marges. Lorsque les banques centrales augmentent les taux d'intérêt pour lutter contre l'inflation, cela entraîne également un processus de resserrement du crédit qui peut obliger les fournisseurs à suspendre leurs activités ou à devenir insolvables en raison de l'augmentation des coûts d'emprunt », fait remarquer Ran Xu. Si les conditions économiques se détériorent de manière générale, cela peut entraîner une baisse inattendue de la demande qui pourrait affecter la viabilité des fournisseurs ou leur capacité à fournir des biens et des services en temps voulu.
Les experts de Gartner ont identifié trois conséquences potentielles sur la viabilité des applications tierces que les gestionnaires de risques doivent surveiller au fur et à mesure de l'évolution de la situation. En premier lieu, si les prix des applications tierces augmentent en raison de la situation économique générale, il existe un risque évident de perdre l'accès à des éléments et matériaux clés, favorisant les clients disposés à payer des prix plus élevés. De plus, les hypothèses de coûts ne seront plus valables si les fournisseurs augmentent leurs prix ou font faillite, ce qui entraînera des changements sur les tarifs et une augmentation des prix pour l'obtention de biens et de services. Enfin, suite aux défis extérieurs à la chaîne d'approvisionnement, certains acteurs, tels que fournisseurs de services partagés, les partenaires commerciaux, les éditeurs de solutions pourraient cesser ou réduire leurs activités.