Comment l'IA devient une bombe à retardement au sein des organisations

L'ISJ s'entretient en exclusivité avec le Dr Ilia Kolochenko, CEO d'ImmuniWeb, concernant les risques de sécurité croissants auxquels les organisations sont confrontées à mesure que l'IA s'intègre.

Pouvez-vous vous présenter et me parler de votre rôle chez ImmuniWeb?

Je m'appelle Dr Ilia Kolochenko et je suis PDG et architecte en chef d'ImmuniWeb, dirigeant les équipes techniques, les produits et l'innovation.

Je suis également avocat à Washington, DC, et Vice-Président du Comité de sécurité de l'information de l'American Bar Association (ABA).

Pourquoi pensez-vous que l'IA est en train de devenir une «bombe à retardement» en 2026? Qu'est-ce qui a changé?

L'IA a un potentiel immense pour l'humanité, mais sa mise en œuvre téméraire et irréfléchie est véritablement une bombe à retardement, capable de provoquer le chaos mondial et des décennies de récession économique et sociale.

Le problème est que l'IA ne peut pas simplement «réparer» des éléments, comme des infrastructures héritées ou des applications obsolètes, sans presque inévitablement casser quelque chose.

En outre, la plupart des modèles d'IA sont entraînés sur toutes sortes de données créées par l'homme – y compris des données de désinformation, malveillantes et nuisibles – qui auront un impact sur la sortie des modèles LLM, même si nous mettons en place des garde-fous à plusieurs niveaux pour l'empêcher.

Bien que les données synthétiques (c.-à-d. les données générées par l'IA) soient de plus en plus utilisées à des fins d'entraînement, elles créent des risques encore plus importants que les modèles ne commencent pas à «halluciner» et à dévier de manière totalement imprévisible et ingérable.

Actuellement, une technologie IA mal conçue et ses dérivés pénètrent progressivement toutes les couches de notre société et de notre vie quotidienne, comme des toxines ou des radiations invisibles à l’œil humain, et tôt ou tard, nous atteindrons un point de non-retour.

L'Agentic AI, désormais à la mode, pourrait catalyser l'effondrement imminent: les agents IA prennent des décisions pratiquement incontrôlées dans des environnements non supervisés, fonctionnant souvent avec des systèmes ou des données critiques pour l'entreprise.

Nous devons comprendre que l'IA n'est qu'un outil, n'ayant aucun point commun avec l'intelligence humaine, encore moins avec les processus décisionnels humains.

Bien que l’IA puisse donner l’impression trompeuse d’être omnisciente et omnipotente, elle ne peut pas faire grand-chose sans la supervision rigoureuse d’experts humains.

Souhaitant impressionner leurs investisseurs, les géants de l'IA ne manquent pas de communiqués de presse sensationnels et d'annonces tapageuses, conçus principalement pour dénigrer leurs concurrents ou propager des déclarations techniquement inexactes.

L'IA moderne peut en effet être très utile pour répondre à des questions juridiques ou médicales de base, mais à moins d'être vous-même avocat ou médecin, utiliser l'IA dans le cadre d'un litige ou d'un traitement médical est une recette infaillible pour perdre votre procès ou tomber gravement malade.

En quoi des outils comme Copilot et Gemini augmentent-ils les risques de sécurité au sein des entreprises, en particulier avec l’essor du «shadow AI»?

Tout d'abord, en raison d'une sensibilisation à la sécurité insuffisante, voire inexistante, concernant les risques de l'IA, de nombreux utilisateurs en entreprise partagent sans réfléchir des données sensibles et confidentielles avec l'explosion du nombre d'outils, de bots et de services d'IA.

Personne ne se pose vraiment de questions ni ne se soucie du sort final de ces données. En réalité, des entreprises peu scrupuleuses les exploiteront à des fins commerciales, tandis que les cyber-threat actors commencent dès à présent à développer des services malveillants alimentés par l'IA pour récupérer vos données à des fins d'extorsion et d'espionnage industriel.

Deuxièmement, même lorsqu'une organisation dispose d'un programme de gouvernance IA, le Shadow AI s'infiltrera dans son périmètre par diverses failles.

Par exemple, le personnel des entreprises continue d'utiliser ses smartphones personnels pour photographier des documents confidentiels afin de les traduire ou les résumer grâce à l'IA.

Plus important encore, pratiquement tous les fournisseurs – de Zoom à Adobe en passant par Microsoft – proposent désormais une multitude de fonctionnalités d’IA «gratuites» activables en un clic.

Le prix que les utilisateurs et leurs organisations payeront est leur vie privée et leur confidentialité.

Enfin, la plupart des organisations ont encore du mal à trouver une solution, même pour les risques élémentaires liés aux tiers découlant de leur supply chain et de leurs fournisseurs externes.

Il va sans dire qu'il serait ardu de trouver une seule entreprise dans le monde qui pourrait affirmer avec confiance savoir si et comment ses données sont utilisées par les systèmes alimentés par l'IA de ses fournisseurs.

Les grands modèles linguistiques sont-ils fondamentalement incompatibles avec les lois sur la confidentialité comme le UK GDPR?

Je ne pense pas qu'un seul LLM (c'est-à-dire un grand modèle d'IA conçu à des fins généralistes) existant actuellement soit techniquement ou architecturalement compatible avec le UK GDPR.

Par exemple, une fois qu'un modèle a ingéré des données personnelles, il serait pratiquement impossible de les supprimer sans engager des coûts importants.

Un autre exemple est l'utilisation clairement définie des données personnelles, limitée à certaines fins licites, ce qui est une «mission impossible» lorsque des LLM sont utilisés par des millions d'utilisateurs non identifiés.

La mise en place de guardrails n'aidera guère: cela revient à prendre un antidouleur au lieu de soigner la maladie, ou à fermer vos quincailleries au lieu de s'attaquer au problème de la criminalité débridée dans votre rue.

Cela dit, lorsque les modèles d’IA – voire les LLM – sont correctement conçus à partir de zéro, ils peuvent être compatibles avec les dispositions clés du RGPD britannique.

Mais il est peu probable que nous voyions de tels modèles dans un avenir proche, car ils coûteront trop cher à entraîner et à maintenir, les fournisseurs d'IA ayant tendance à placer le profit avant tout.

Les entreprises technologiques pourraient-elles faire face à des conséquences juridiques ou financières si leurs outils d'IA étaient utilisés pour le piratage ou l'abus de données?

Certainement, beaucoup de gens préconisent des lois spécifiques à l'IA pour réglementer les nouveaux risques et menaces créés par la prolifération rapide de l'IA.

Cependant, dans la plupart des juridictions de part et d'autre de l'Atlantique, les lois existantes peuvent régir la plupart des incidents déclenchés ou entraînés par l'IA.

Par exemple, si votre bot IA insulte un client, expédie le mauvais article à votre client, annule la réservation de votre hôtel ou donne des conseils nuisibles – l'argument «c'est l'IA» ne résistera pas à l'examen judiciaire.

Cela dit, une réglementation sectorielle pourrait s'avérer souhaitable pour l'industrie de l'IA afin d'empêcher des avocats créatifs et rusés de chercher à exploiter diverses failles ou de transférer la responsabilité lorsque l'IA se met à jouer les rebelles.

Les efforts tels que la détection des deepfakes par l'IA fonctionnent-ils réellement ou ne s'agit-il que de solutions temporaires?

Pour l'instant, non.

De plus, il ne s'agit pas vraiment de détecter les deepfakes, mais plutôt de la manière dont les humains les perçoivent.

Même si la plupart des plateformes conformes à la loi signaleront scrupuleusement les contenus créés par l'IA comme tels, ceux qui veulent y croire continueront d'y croire.

Il s'agit de psychologie humaine, et non d'IA.

Quel type d'incident majeur lié à l'IA pourrait entraîner un durcissement de la réglementation et comment les entreprises devraient-elles s'y préparer dès maintenant?

Dès qu'un accident aura fait des centaines de morts, anéanti plusieurs milliards de dollars de valeur boursière ou perturbé des élections régulières, les politiciens et les législateurs se précipiteront probablement pour réglementer l'IA de manière draconienne.

Malheureusement, il sera probablement déjà trop tard, la surréglementation risquant de provoquer l'éclatement de la bulle de l'IA, les investisseurs étant inévitablement effrayés et amorçant une vente massive, créant in fine un effet domino.

Quel est le conseil que vous donneriez aux entreprises pour l'avenir?

• L'IA a un potentiel énorme, mais ce n'est qu'un outil
• Faites preuve d'esprit critique lors de la mise en œuvre, du développement ou de l'évaluation des outils et technologies IA.
• Posez des questions
• Prenez avec prudence tout ce que les vendeurs d'IA ou leurs alliés vous racontent sur l'avenir radieux de l'IA
• Faites preuve de bon sens, de raison et de logique pour prendre des décisions éclairées
• Des humains calmes et intelligents doivent piloter l'IA.

Lire l'article complet