Avant l’événement Techex North America du 4 au 5 juin, nous avons eu la chance de parler à Kieran Norton, leader américain de Cyber AI & Automatisation de Deloitte, qui sera l’un des conférenciers de la conférence le 4 juin. Les 25 ans et plus de Kieran dans le secteur signifient que, en plus de parler avec autorité sur toutes les questions de cybersécurité, ses rôles les plus récents incluent conseiller les clients de Deloitte sur de nombreuses questions concernant la cybersécurité lors de l’utilisation de l’IA dans des applications commerciales.
La majorité des organisations ont mis en place au moins le strict minimum de cybersécurité, et heureusement, dans la plupart des cas, exploitent un radeau décemment complet de mesures de cybersécurité qui couvrent les communications, le stockage de données et les défenses du périmètre.
Cependant, au cours des deux dernières années, l’IA a changé l’image, à la fois en termes de façon dont les entreprises peuvent tirer parti de la technologie en interne et dans la façon dont l’IA est utilisée dans la cybersécurité – dans la détection avancée, et de la nouvelle manière que la technologie est utilisée par les mauvais acteurs.
En tant que outil de cybersécuritéL’IA peut être utilisée dans la détection des anomalies du réseau et le repérage intelligent des messages de phishing, entre autres utilisations. En tant que catalyseur commercialL’IA signifie que l’entreprise doit être proactive pour s’assurer que l’IA est utilisée de manière responsable, équilibrant l’innovation que l’IA offre avec la confidentialité, la souveraineté des données et le risque.
Considéré comme un domaine relativement nouveau, l’IA, l’automatisation intelligente, la gouvernance des données et la sécurité habitent tous à l’heure actuelle. Mais étant donné la présence croissante de l’IA dans l’entreprise, ces niches devraient devenir des problèmes traditionnels: problèmes, solutions et conseils qui devront être observés dans chaque organisation, le plus tôt possible.
Gouvernance et risque
L’intégration de l’IA dans les processus métier ne concerne que la technologie et les méthodes pour son déploiement. Les processus internes devront changer pour faire le meilleur usage de l’IA et pour mieux protéger l’entreprise qui utilise quotidiennement l’IA. Kieran établit un parallèle aux modifications antérieures rendues nécessaires par les nouvelles technologies: «Je serais en corrélation (IA) avec l’adoption du cloud où c’était un changement assez significatif. Les gens en comprenaient les avantages et se déplaçaient dans cette direction, bien qu’il leur fallait parfois plus de temps que d’autres pour y arriver.»
Ces changements signifient la mise en place du filet, pour englober la mise à jour des cadres de gouvernance, établissant des architectures sécurisées, en tirant même sur une nouvelle génération de spécialistes pour garantir l’IA et les données qui y sont associées sont utilisées en toute sécurité et de manière responsable. Les entreprises utilisant activement l’IA doivent détecter et corriger les biais, tester les hallucinations, imposer des garde-corps, gérer où et par qui l’IA est utilisé, et plus encore. Comme le dit Kieran: «Vous ne faisiez probablement pas beaucoup de tests pour l’hallucination, le biais, la toxicité, l’empoisonnement des données, les vulnérabilités du modèle, etc. Cela doit maintenant faire partie de votre processus.»
Ce sont de grands sujets, et pour l’image plus complète, nous préconisons que les lecteurs assistent aux deux pourparlers de Techex North America que Kieran’s à donner. Il explorera les deux côtés de la pièce d’IA – les problèmes concernant le déploiement de l’IA pour l’entreprise, et les méthodes que les entreprises peuvent mettre en œuvre pour dissuader et détecter la nouvelle race de logiciels malveillants et d’attaque alimentés par l’IA.
Les bonnes cas d’utilisation
Kieran préconise que les entreprises commencent avec des implémentations d’IA plus petites et à risque inférieur. Bien que certaines des premières observations de l’IA «dans la nature» aient été des chatbots, il n’a pas tardé à faire la différence entre un chatbot qui peut répondre intelligemment aux questions des clients et des agents, qui peuvent agir au moyen de déclencher des interactions avec les applications et les services que l’entreprise opère. «Il y a donc un chatbots délimité (…) ont été l’un des principaux endroits de départ (…) à mesure que nous entrons dans les agents et l’agent, qui modifie l’image. Cela modifie également la complexité et le profil de risque.»
Les instances d’IA agentiques orientées client sont un risque indubitablement plus élevé, car un faux pas peut avoir des effets significatifs sur une marque. «C’est un scénario de risque plus élevé. En particulier si l’agent exécute des transactions financières ou fait des déterminations en fonction de la couverture des soins de santé (…) Ce n’est pas le premier cas d’utilisation que vous souhaitez essayer.»
« Si vous branchez 5, 6, 10, 50, une centaine d’agents, vous entrez dans un réseau d’agence (…), les interactions deviennent assez complexes et présentent des problèmes différents », a-t-il déclaré.
À certains égards, les problèmes concernant l’automatisation et les interfaces système au système existent depuis une décennie. Data Silos et RPA (Robotic Process Automation) Les défis sont les obstacles que les entreprises tentent de sauter depuis plusieurs années. «Vous devez toujours savoir où se trouvent vos données, savoir quelles données vous avez, y avoir accès (…) les fondamentaux sont toujours vrais.»
À l’ère de l’IA, les questions fondamentales sur l’infrastructure, la visibilité des données, la sécurité et la souveraineté sont sans doute plus pertinentes. Toute discussion sur l’IA a tendance à contourner les mêmes questions, ce qui jette dans les déclarations de Kieran selon lesquelles une conversation sur l’IA dans l’entreprise doit être une grande portée et concerner de nombreux fondements opérationnels et infrastructuraux de l’entreprise.
Kieran souligne donc l’importance du praticité et une évaluation fondée sur les besoins et les capacités comme nécessitant un examen minutieux avant que l’IA puisse prendre pied. «Si vous comprenez le cas d’utilisation (…), vous devriez avoir une assez bonne idée du ROI (…) et donc si cela vaut la douleur et la souffrance de la construire.»
Chez Deloitte, l’IA est utilisée pour être utilisée lorsqu’il y a un cas d’utilisation clair avec un retour mesurable: dans le triage initial des billets SoC. Ici, l’IA agit comme un moteur d’analyse d’incident de niveau I. «Nous savons combien de billets sont générés par jour (…) Si nous pouvons prendre 60 à 80% du temps du processus de triage, ce qui a un impact significatif.» Compte tenu de la nascence de la technologie, délimitant un domaine d’opérations spécifique où l’IA peut être utilisé agit à la fois comme prototype et preuve d’efficacité. L’IA n’est pas orientée client, et il y a des experts très qualifiés dans leurs domaines qui peuvent vérifier et superviser les délibérations de l’IA.
Conclusion
Le message de Kieran pour les professionnels enquêtant sur les utilisations de l’IA pour leurs organisations n’était pas de construire un programme d’évaluation et de gestion des risques d’IA à partir de zéro. Au lieu de cela, les entreprises devraient faire évoluer les systèmes existants, avoir une compréhension claire de chaque cas d’utilisation et éviter le piège de la construction pour la valeur théorique.
« Vous ne devriez pas créer un autre programme uniquement pour la sécurité de l’IA en plus de ce que vous faites déjà (…) Vous devriez moderniser votre programme pour aborder les nuances associées aux charges de travail de l’IA. » Le succès dans l’IA commence par des objectifs clairs et réalistes fondés sur des fondations solides.
Vous pouvez en savoir plus sur Techex North America ici et inscrivez-vous pour y assister. Visitez l’équipe de Deloitte sur le stand # 153 et passez à ses sessions le 4 juin: « sécuriser la pile AI » sur la scène AI et Big Data de 9h20 à 9h50, et « Leverage de l’IA en cybersécurité pour la transformation des affaires ‘sur le stade de la cybersécurité, de 10 h 20 à 10 h 50.
En savoir plus sur les solutions et les offres de services de Deloitte pour l’IA entreprise et cybersécurité ou envoyer un e-mail à l’équipe à uscyberai@deloitte.com.
(Source de l’image: «Symposium Cisco Ecole Polytechnique 9-10 avril 2018 Artificial Intelligence & Cybersecurity» par Ecole Polytechnique / Paris / France est concédé sous licence sous CC By-SA 2.0.)
