Shadow GPT : une nouvelle menace en forte croissance à surveiller

Vous connaissez le Shadow IT et ses risques, mais qu'en est-il du Shadow GPT ?
Zoom sur cette menace croissante et les risques inhérents !

Que signifie “Shadow GPT” ? 🔍

Le terme Shadow GPT provient de l’assemblage de 2 locutions.

D’une part “Shadow” tiré de “Shadow IT”, qui désigne l’ensemble des technologies, logiciels, services et applications utilisés par un collaborateur sans avoir obtenu l’accord du département informatique de l'entreprise en amont.

D’autre part “GPT” qui signifie “Generative Pre-trained Transformer” et fait référence au modèle de langage développé par la société OpenAI, rendue célèbre pour son intelligence artificielle générative  “ChatGPT”.

Ainsi le “Shadow GPT” renvoi à l’utilisation de ChatGPT ou de toute autre intelligence artificielle (IA) générative en entreprise, sans posséder au préalable une autorisation explicite de la part du service informatique.

Le Shadow GPT n’est finalement qu’une “sous-catégorie” de Shadow IT avec des risques partagés mais aussi d’autres problématiques qui entrent en jeu. On vous explique.

Pourquoi le “Shadow GPT” est-il une tendance à la hausse ?

Depuis la découverte par le grand public de ChatGPT en 2023, le nombre d’IA génératives en tout genre ne cesse de fleurir. Ainsi, les individus sont de plus en plus nombreux à tester, avoir testé ou vouloir tester ChatGPT et bien d’autres IA génératives dans différents domaines d’activités.

Selon une étude de GetApp, “70% des salariés sondés auraient déjà recours à l’IA, dans le cadre de leur activité professionnelle.”

Simple volonté de s’amuser, de gagner en performance au travail ou de repousser les limites de ces nouveaux outils (qui peuvent s'avérer très puissant), l’IA générative s'immisce de plus en plus dans chaque recoin de nos vies.

Aucune entreprise n’est donc à l’abri que : 

• Son directeur financier utilise ChatGPT pour l’aider à préparer ses budgets prévisionnels.
• Son service ressources humaines fasse appel à des IA génératives pour gagner du temps sur des tâches chronophages telles que la création d’un nouveau contrat de travail.
• Un développeur fasse réviser le code source de l’entreprise par ChatGPT pour optimiser celui-ci.
• Etc…

De même, les plateformes déjà utilisées en entreprise intègrent elles aussi de plus en plus d’IA à leurs outils, ce qui contribue à l’accoutumance de vos collaborateurs à ces technologies. C’est le cas par exemple de LinkedIn, GitHub avec GitHub Copilot, ou encore Microsoft et sa suite 365 qui implémentent à différents endroits de leurs applications de l’IA en Beta test.

L’utilisation de ces IA peut amener un véritable gain de temps à chacun de vos collaborateurs sur des tâches répétitives ou même créatives !

Attention cependant, ce doux rêve comporte une part plus sombre…

En quoi le “Shadow GPT” est-il une menace ? 

Le Shadow GPT est déjà une menace au même titre que l’utilisation de n’importe quel autre matériel, application, service ou logiciel utilisé sans accord du service IT ou de la hiérarchie.

Pour en savoir plus sur les risques du Shadow It c’est ici.

En plus des risques inhérents au Shadow IT, le Shadow GPT amène d’autres types de menace :

• La perte de contrôle sur les données fournies à l’IA.

Si par exemple l’un de vos développeurs voulait se faire aider de ChatGPT pour vérifier son code ou pour l’améliorer, cela pourrait lui faire gagner beaucoup de temps ! Alors pourquoi s’en priver ?

Peut-être parce que dès le moment où celui-ci donnera le code ou une partie du code qu’il souhaite faire réviser à l’IA, elle s’en servira pour s’entraîner. Et oui, l’intégralité des données qui sont fournies à ce type d’outil (notamment dans leurs versions gratuites), servent à les nourrir pour les faire progresser. Mais cela signifie qu’un tiers (et qu’on ne pourrait pas appeler ici tiers de confiance), détient des données sensibles appartenant à votre entreprise.

C’est pour cela que de nombreuses sociétés telles qu’Amazon, Samsung ou encore Accenture on fait le choix de bannir complètement les IA génératives du cadre professionnel. En effet, elles détiennent toutes de grandes quantités de données dont elles sont propriétaires et qui constituent pour elles un véritable avantage concurrentiel. Rendre ces données accessibles à un tiers n’est donc pas une option envisageable.

D’autant qu’en plus de garder une copie de vos données en base pour s’entraîner, ces outils ne sont pas à l'abri des cyberattaques, ce qui exposerait les données de votre entreprise en sa possession.

1. Obtenir des informations erronées (et ainsi ternir la réputation de l’entreprise).

L’objectif de ces IA génératives est de vous faire gagner du temps en vous donnant rapidement accès à une information. Cependant, il arrive (tout comme vous) que l’IA n’ait pas vraiment la réponse à votre question. Malheureusement la plupart des outils d’IA générative d’aujourd’hui ont tendance à vous donner une réponse coûte que coûte, même si cela implique de vous donner une information erronée.

L'obtention "d'informations biaisées ou non objectives" et le risque de "diffusion d'informations inexactes" font d'ailleurs partie des inquiétudes concernant l'usage de ChatGPT au travail pour 51% des répondants à l'étude de GetApp.

En effet, cela peut s’avérer vraiment problématique à l’échelle d’une entreprise, notamment si les informations fournies par l’IA sont vouées à être partagées à l’externe. La réputation de l’entreprise risque d’en pâtir.

C’est par exemple le cas du cabinet d’avocat américain “Levidow & Oberman” qui a été condamné à payer $ 5 000 d’amende après avoir soumis un dossier juridique qui citait de fausses affaires, toutes inventées par ChatGPT. 

L’IA générative est un outil puissant mais reste une aide et non une fin en soi. Pensez systématiquement à vérifier les sources données et à ne pas lui faire confiance aveuglément.

• La non-propriété des réponses / documents fournis par l’IA.

Un autre problème réside dans le fait que vous ne serez pas propriétaire des réponses ou documents fournis par l’IA. En effet, dans la plupart des cas, l’IA reste propriétaire des informations qu'elle vous aura transmises. Ainsi cela pose une réelle difficulté pour l’entreprise qui ne peut de ce fait pas utiliser ces informations comme bon lui semble !

Pour pallier à cela (et sous réserve de capacités techniques et humaines), il vous est possible de déployer vos propres IA génératives en interne, permettant ainsi de conserver la propriété intellectuelle des contenus proposés.

Limiter le Shadow GPT et sécurisez les usages

Un conseil, pensez dès à présent à encadrer l’utilisation de l’IA générative dans votre entreprise pour faire prendre conscience de ces risques à vos collaborateurs et les limiter !

Une bonne maîtrise de l’IA en entreprise peut considérablement augmenter la productivité de chaque collaborateur mais son usage doit être encadré pour assurer une utilisation sécurisée de ces outils (d’autant plus qu’il n’y a pas encore vraiment de réglementation au niveau étatique sur ces outils en cas de litige).

L’idée, tout comme pour le Shadow IT, n’est pas nécessairement de venir bannir ces outils, mais plutôt d’ouvrir le dialogue avec l’ensemble des collaborateurs pour comprendre leurs besoins et leurs attentes dans ce domaine. Vous pourrez ensuite choisir quels outils autoriser et venir sécuriser leurs utilisations !

Pour sécuriser les usages quelques conseils : 

• Privilégiez des modèles payants (garantissant une stricte confidentialité de vos données), voire envisagez de développer vos propres outils en interne si vous en avez la capacité.
  
  C’est par exemple le choix qu’a fait le groupe Axa en déployant sa plateforme interne d’IA générative, basée sur les solutions d'OpenAI et développée en partenariat avec Microsoft.
  
  "Ce service a pour objectif de permettre l'adoption à l'échelle de l'entreprise des technologies véritablement transformatrices de l'IA générative et des grands modèles de langage d'une manière sécurisée, fiable, conforme et responsable", indiquait le groupe dans un communiqué.
  
  Côté modèle payant, OpenAI à sorti ce lundi 28 août 2023, une version “Entreprise” de ChatGPT. Conforme SOC 2, conversations chiffrées au repos en AES-256, et en transit en TLS 1.2+, données qui ne seront pas utilisées pour entraîner les modèles, SSO et vérification du domaine, dashboard pour comprendre les usages… Open AI a pensé cette offre pour offrir la sécurité et la traçabilité qu’il manquait jusque-là aux entreprises !
  
  
• Mettez en place des garde-fous.
  
  Vous pouvez par exemple, ajouter une couche de sécurité supplémentaire en amont, permettant d’analyser automatiquement tout prompt et bloquer (ou nécessiter une validation) pour ceux qui ne seraient pas conformes à votre politique de sécurité. Pensez, si vous adoptez cela, à en informer également vos collaborateurs pour qu’ils comprennent le raisonnement derrière cette décision.
  
  
• Mettez à jour votre règlement interne pour encadrer l’utilisation de l’IA générative.
  
  Une bonne pratique consiste notamment à formellement interdire la divulgation de toute information confidentielle à ces outils.
  
  
• Formez vos salariés et sensibilisez-les.
  
  Pensez à adapter votre discours en fonction des différentes typologies de collaborateurs. Les 18-35 ans étant par exemple plus enclins à utiliser l’IA générative.
  
  Concernant la non-divulgation des données “confidentielles / sensibles”, assurez-vous que vos collaborateurs aient bien en tête le type de données concernées ! Fournissez-leur une liste précise des données pour lesquelles l’usage de l’IA est prohibé (Code source, données confidentielles sur les salariés (nom, prénom, adresse…), brevet de l’entreprise, informations sur les fournisseurs…). Ainsi pas de mauvaise surprise !
  
  

Ne tardez pas à réguler le Shadow GPT dans votre entreprise pour ne pas prendre de risques inutiles !