Les salariés commencent à utiliser dans l’entreprise les outils d’IA qu’ils utilisent dans leur vie personnelle, ce qui est une bonne nouvelle quant à leur maturité mais crée des risques de sécurité. C’est ce qui ressort d’une étude menée par Microsoft et Linkedin rapportée ici par HRExecutive.
Ceci n’est pas une surprise, ce serait même plutôt le contraire qui serait étonnant. Et c’était même prévisible : ce que nous racontent l’étude et l’article n’est, avec un soupçon de sensationnalisme, que le énième remake d’une histoire que l’on connait bien : celle de la consumérisation des outils d’entreprise.
De quoi parle-t-on ? Du fait que les salariés amènent dans l’entreprise des outils qu’ils utilisent à titre personnel chez eux, devançant ainsi les d’éventuels projets de leur employeur en la matière. C’est un phénomène très courant depuis le milieu des années 2000 qui a vu l’éclosion d’outils en mode Saas, avec des modèles freemiums financièrement attractifs et des interfaces largement plus conviviales que outils présents alors en entreprise. Pour les plus anciens de mes lecteurs cela leur rappellera des choses comme l’arrivée des wikis et autres réseaux sociaux en entreprise, c’est également l’utilisateur final qui a fait rentrer l’iPhone dans les flottes d’entreprise ou incité à des politiques de BYOD.
Entreprise et consumérisation de l’IT : une évolution des rapports de force
Si le phénomène n’a rien de nouveau il est désormais appréhendé de manière différente.
Dans les premiers temps il s’agissait d’un bras de fer entre salariés et DSI : l’un voulait utiliser des outils plus simples et efficaces, l’autre ne voulait pas en entendre parler.
Quelles étaient les motivations ? Des risques de sécurité plus ou moins réels, la volonté de garder le contrôle et même, à une époque, une manière de protéger son existence. Si les deux premiers sont légitime le troisième n’a plus cours et fait sourire rétrospectivement : avec la généralisation du modèle Saas certains avaient peur de ne plus pouvoir justifier des équipes pléthoriques et des budgets conséquents avant de comprendre, au contraire, les avantages qu’ils pouvaient en tirer.
Depuis les temps ont changé et on n’est plus dans le rapport de force. Les utilisateurs vont juste logiquement plus vite que les éditeurs de logiciels d’entreprise et il y a une période de latence entre le moment où une technologie, l’IA dans le cas qui nous intéresse, est disponible pour le grand public et où des versions compatibles avec les contraintes et les besoins métier arrivent. Ca n’est plus une bataille entre des utilisateurs qui veulent et des DSI qui disent non, c’est juste une question de vitesse d’exécution et les choses finissent par rentrer dans l’ordre.
Et ce qui était par le passé un rapport de force est plutôt devenu pour les DSI une période d’observation et d’apprentissage qu’elles voient même désormais d’un bon oeil même s’il ne faut pas occulter les risques.
Les outils d’IA grand public : une opportunité pour les entreprises
La situation est intéressante pour les entreprise à plusieurs titres.
Valider une tendance
Plutôt que se lancer dans un projet long et couteux sur des technologies émergentes sans être totalement sures que cela correspond à un besoin ou que leur adoption sera effective, cette phase permet aux entreprises de valider que les salariés sont demandeurs.
Valider les cas d’usage
On peut être conscient du potentiel d’une technologie mais ignorants de ces cas d’usage ou, plutôt, ne pas avoir idée de besoins très spécifiques sur le terrain. Lorsque les salariés amènent des outils grand public dans leur environnement de travail c’est l’occasion de d’observer des cas d’usages généraux que l’entreprise aurait imaginé par elle même (mais pas toujours) mais aussi des besoins beaucoup plus spécifiques à la marge.
Apprendre
Qui dit technologie dit gouvernance et penser la gouvernance d’une technologie émergente est assez compliqué. On peut, par précaution, être trop restrictif au départ ce qui peut créer un rejet voire la prolifération d’outils sous le radar et les risques qui vont avec en termes de sécurité. Mais être trop laxiste présente également ses risques. Observer permet d’apprendre et mettre le curseur au bon endroit, pourvu que cette phase de découverte n’expose pas des données sensibles.
Acculturer, former et préparer l’adoption
La conduite du changement et l’adoption des technologies est toujours une préoccupation pour les entreprises. Cette phase permet aux salariés de se familiariser avec l’IA, d’apprendre à l’utiliser, de comprendre ses limites. Et quand les outils d’entreprise arriveront une grande partie du travail d’adoption aura été menée de manière spontanée sans même que l’entreprise n’ait eu à s’en occuper.
Et c’est justement l’argument des éditeurs de logiciels d’entreprise pour revenir dans le jeu…
Les outils d’IA grand public : un risque potentiel ?
Utiliser des données d’entreprise dans un cadre non maitrisé et sécurisé est potentiellement dangereux. Je dis potentiellement car tout dépend de la criticité des données en question. Mais on va voir qu’en matière d’IA le risque relatif à la sécurité est encore plus important.
L’IA grand public est aussi sûre…que les outils grand public
Je ne vais pas m’étendre sur ce point qui à mon sens est évident. Quand on utilise des outils grand public on a affaire à des hébergements grand public, mutualisés, on ignore leur localisation et on a aucune idée de l’utilisation qui pourra être faite des données que l’on communique.
Dans certains cas cela n’a aucune importance (le service marketing qui utilise Canva pour faire des visuels), dans d’autres ça peut être très dangereux.
L’IA grand public limite les cas d’usage métier
Pour la raison que je viens d’évoquer il est totalement proscrit d’utiliser une IA pour traiter des données métier, ce qui limite d’ailleurs le champ de l’expérimentation.
Pas besoin de longues explications pour comprendre que si vous mettez des données sensibles (RH, Finance..) dans une IA grand public vous n’avez aucune garantie qu’elles ne seront pas exploitées et réutilisées. Et même si on vous promet le contraire.
Donc il est urgent de passer sur des solutions entreprise pour tirer la quintessence du potentiel de l’IA.
L’IA grand public expose même des données qui n’existent pas
Ici on a affaire à une spécificité de l’IA : le risque ne porte plus que sur les données en tant que tel mais, et ça peut être pire, sur des idées, des préoccupations, des choses futures…
Quand on utilise une IA grand public pour se renseigner sur un sujet en lui demandant une sorte de synthèse, pour préparer une présentation de grande importance qui a vocation à rester confidentielle, à défaut de dévoiler des informations sensibles vous dévoilez des préoccupations, des sujets d’intérêt, des intentions, des projets, des préoccupations.
En plus de capter vos données une IA capte également ce que vous avez en tête et peut en déduire vos projets futurs. Le nec plus ultra de l’espionnage industriel et peut être, à mon avis, le pire danger en matière d’IA car ça n’est pas un danger auquel les utilisateurs pensent spontanément.
Conclusion
L’usage de solutions d’IA grand public par les salariés dans l’entreprise n’est ni plus ni moins dangereuse que l’utilisation de n’importe quel outil grand public, il faut juste en avoir conscience au moment de savoir quelles données on y met ou pas.
Pour autant restreindre leur utilisation en attendant l’arrivée de solutions conçues pour l’entreprise et les usages métier serait une erreur : déjà on ne peut pas totalement les interdire (un salarié pourra toujours utiliser son téléphone ou le faire de chez lui…) et c’est perdre des opportunités de bien préparer le chantier de l’IA d’entreprise. Il faut par contre bien cadrer cette phase transitoire et sensibiliser aux risques.
A cela s’ajoute un risque nouveau et propre à l’IA : sa capacité à ne pas capter que des données brutes mais aussi comprendre des intentions.
Tant que nous y sommes et si le sujet plus global de l’IA en entreprise et des risques et peurs qui vont avec vous intéresse, je participerai le 2 juillet à un webinar sur le thème « L’IA en entreprise : menace ou opportunité pour les entreprises nouvelle génération ? » organisé par mes amis de Talkspirit. N’oubliez pas de vous inscrire.
Image : robot d’IA de kate3155 via Shutterstock