Ascannio - stock.adobe.com

Les entreprises face au défi du « Shadow GPT »

Les Français utiliseraient massivement des IA génératives sans en informer leur hiérarchie. Cette pratique du « Shadow GPT » est une tendance mondiale. Elle pousse certains groupes à prendre des mesures radicales. D’autres expérimentent pour en contenir les risques.

Est-il illusoire de bannir ChatGPT ou de réguler son usage en milieu professionnel ? Peut-être pas, mais la tâche s’annonce difficile pour les entreprises. Une étude Ipsos pour Reuters montre en effet que le « Shadow GPT » progresse rapidement, avec tous les risques associés (fuite de données confidentielles, informations erronées, etc.).

Qu’est-ce que le Shadow GPT ?

Le « Shadow GPT » est l’usage incontrôlé des applications d’Intelligence artificielle générative (IA générative) comme ChatGPT (OpenAI) ou Bard (Google).

Toute organisation tente de contrôler ses outils informatiques en interne pour en assurer la sécurité. Quand des employés ont recours à d’autres solutions (Zoom plutôt que Teams par exemple), on parle de Shadow IT (usage caché d’outils IT non validées par la DSI). D’où l’appellation de Shadow GPT quand un collaborateur échange avec une IA générative alors que la direction l’a interdit, ou qu’il le fait en ne suivant pas les règles qui édictent les bonnes pratiques pour ce genre d’outils.

Les dangers du Shadow GPT

Selon l’étude d’Ipsos pour Reuters, 28 % des employés américains sondés (plus de 2 600 personnes) feraient un usage régulier de ChatGPT alors que seuls 22 % y seraient autorisés.

Dans 10 % des cas, les outils externes d’IA génératives sont même purement et simplement interdits (lire ci-après).

Plus préoccupant pour une DSI, 25 % des répondants disent ne pas savoir quelles sont les règles de leurs employeurs sur le sujet ou si l’entreprise en a.

Le recours à l’IA générative se ferait souvent pour des tâches « basiques », comme écrire le brouillon d’un mail ou faire le résumé d’un document qui ne contiendrait pas forcément d’informations critiques, comme l’explique à Reuters, sous couvert d’anonymat, un employé de Tinder.

Mais ce point reste à nuancer. « Les gens ne comprennent pas comment leurs données sont utilisées lorsqu’ils ont recours à des services d’IA générative », déclare Ben King, vice-président chez le spécialiste en cybersécurité Okta, à l’agence de presse.

Dans la plupart des services gratuits, les données partagées par les utilisateurs servent à entraîner le modèle commun à tous. Autrement dit, il est possible que le modèle réponde à une question d’un utilisateur B en s’appuyant des informations de l’utilisateur A. Avec à la clef des risques de fuite de propriété intellectuelle ou de données erronées.

Reuters rappelle que même Alphabet (Google) a mis en garde ses employés sur les outils d’IA générative – « y compris Bard », insiste l’agence de presse – au moment même où il lançait son offre.

IA génératives (plus ou moins) privées

Plusieurs méthodes existent pour remédier à cette mise en commun et cantonner une IA générative dans une instance privée et/ou aux données de l’entreprise. C’est ce que permet la technique de l'embedding ou ce que proposent des éditeurs comme Microsoft avec Azure OpenAI, AWS avec Bedrock ou le Français LightOn. Mais il s'agit alors d'outils de développement, et pas d'applications clefs en main prête à l'emploi.

Une entreprise comme Coca-Cola explique par exemple « tester et apprendre sur la manière dont l’IA générative peut aider à améliorer les processus opérationnels ». Le groupe a même lancé une version interne d’un « Coca-Cola ChatGPT ». Mais en gardant les données derrière ses murs insiste un porte-parole du géant du soda.

Bannir ChatGPT ?

À l’inverse, toujours selon Reuters, Procter & Gamble aurait complètement banni ChatGPT en le bloquant depuis le réseau de l’entreprise. Une décision extrême pour lutter contre le « Shadow GPT ».

Pour Paul Lewis, CISO de la société de cybersécurité Nominet, la précaution reste la règle dans l’IA générative. D’autant plus que les métiers percevraient bien les bénéfices de l’IA générative, mais qu’ils ne verraient pas forcément le revers de la médaille.

« Les informations ne sont pas totalement sécurisées et il est possible de les faire ressortir [avec] des prompts malveillants », confirme-t-il lui aussi à Reuters. « Une interdiction totale n’est pas encore justifiée, mais nous devons faire preuve de prudence ».

Le Shadow GPT, une tendance mondiale

Les employés américains ne sont pas les seuls à pratiquer le Shadow GPT. Loin de là. Une autre étude, menée par l’Ifop pour Talan, confirme qu’il s’agit d’une tendance mondiale et que certains font « pire ».

En France, ce sont 68 % des Français qui pratiqueraient le Shadow GPT en utilisant des IA génératives dans le cadre de leurs tâches professionnelles, sans en informer leur supérieur hiérarchique. Un chiffre très élevé qui s’expliquerait aussi par le fait que 74 % des interrogés considèrent qu’il s’agit d’une nouvelle révolution industrielle.

Pour approfondir sur Applications métiers