Surveillance de l’IA dans le lieu de travail
Alors que les organisations utilisent l’intelligence artificielle pour surveiller le lieu de travail, elles doivent également se surveiller elles-mêmes et, par conséquent, remodeler leurs attentes en matière de risque, de gouvernance et de sûreté. L’IA doit être gérée dans deux directions : de l’intérieur vers l’extérieur, en veillant à ce que les organisations utilisent l’IA de manière à préserver la confiance, et de l’extérieur vers l’intérieur, en sécurisant les systèmes d’IA contre les menaces externes.
Définir l’IA dans un contexte d’entreprise
Le terme “IA” est souvent utilisé comme un terme fourre-tout pour tout ce qui est automatisé ou piloté par la technologie. Cela obscurcit les différences significatives en matière de risque, de contrôle et de traitement réglementaire. Pour une gouvernance efficace, les organisations doivent faire la distinction entre l’automatisation traditionnelle, les modèles prédictifs, les systèmes génératifs et les architectures agentiques plus avancées.
Cette précision aidera les organisations à réaliser des évaluations de risque précises, à concevoir des contrôles appropriés et à effectuer des divulgations externes crédibles. D’un point de vue technologique, la plupart des entreprises utilisent l’IA générative et les chatbots comme assistants pour la génération de contenu, les résumés et l’analyse. Ces outils peuvent grandement améliorer la vitesse et l’échelle, mais ils peuvent également élargir les opportunités d’accès non autorisé et d’attaques. Par exemple, en 2025, des chercheurs en sécurité ont découvert une vulnérabilité affectant Microsoft Copilot, où des instructions pouvaient être intégrées dans des e-mails, invisibles pour les humains mais lisibles par l’assistant IA.
Risques des systèmes agentiques
Les systèmes agentiques de l’IA sont décrits comme “une nouvelle génération de systèmes IA qui sont semi- ou entièrement autonomes et capables de percevoir, raisonner et agir par eux-mêmes”. L’IA agentique prend ces risques un cran plus loin en orchestrant des séquences d’actions à travers les outils et systèmes d’une organisation, ce qui peut accélérer et augmenter l’impact des mauvais configurations, des problèmes de privilèges et des abus.
Terminologie légale et technique
Il est important de noter que la terminologie légale et technique n’est pas toujours cohérente. De nombreuses lois font la distinction entre les systèmes IA au sens large et la prise de décision automatisée (ADM) ou la technologie de prise de décision automatisée (ADMT) lorsque les décisions affectent matériellement les droits ou les opportunités des individus. Ces définitions variées influencent directement les obligations des organisations concernant les évaluations, les divulgations, les tests et les droits individuels.
Utiliser l’IA tout en préservant la confiance
Examinons l’IA de l’intérieur vers l’extérieur, en analysant les façons dont elle est déployée au sein de l’organisation et comment cette utilisation affecte les relations avec les employés, la confiance des clients et les attentes des tiers. De nombreux cadres réglementaires et politiques adoptent des approches basées sur les risques qui se concentrent sur le calibrage des contrôles autour du contexte, du potentiel de préjudice et de l’autonomie des systèmes de l’organisation.
Principes clés de la gouvernance interne
- Lorsque vous utilisez l’IA pour surveiller les performances, évitez de franchir la ligne de la surveillance intrusive des employés.
- Protégez les informations confidentielles, y compris les données personnelles, la propriété intellectuelle et les informations commerciales sensibles.
- Préservez la confiance des consommateurs et des parties prenantes en signalant clairement lorsque des chatbots ou des outils de prise de décision automatisée sont utilisés.
- Gérez les risques de la chaîne d’approvisionnement en considérant les fournisseurs d’IA comme des tiers critiques soumis à des évaluations de risque structurées.
Sécuriser l’IA en tant que surface d’attaque
En regardant l’IA de l’extérieur vers l’intérieur, on traite les systèmes IA comme des actifs et des surfaces d’attaque nécessitant des stratégies de sécurité dédiées. Une portion significative de l’activité liée à l’IA se produit au-delà de la visibilité traditionnelle, notamment lorsque les modèles, les agents et les couches d’orchestration sont hébergés sur des services cloud ou des plateformes externes.
Objectifs de surveillance
- Détecter l’utilisation de l’IA par des acteurs malveillants au sein des environnements d’entreprise.
- Identifier et contenir les abus ou les compromissions des systèmes d’IA.
- Gérer les risques internes où les systèmes d’IA, mal configurés, peuvent permettre un accès non autorisé aux données.
- Contrôler l’exposition accrue des données à mesure que les services d’IA s’intègrent.
Les capacités d’IA évoluent, avec des solutions émergentes conçues spécifiquement pour surveiller le comportement de l’IA et fournir des enregistrements audibles pour la conformité. Toutefois, les dirigeants de la sécurité de l’information ne devraient pas attendre l’arrivée de produits pleinement matures. Ils devraient commencer dès maintenant en priorisant la cartographie de l’utilisation de l’IA, en alignant les définitions techniques et légales, et en construisant des stratégies de surveillance et de gouvernance qui abordent simultanément la confiance de l’intérieur et la sécurité de l’extérieur.