La plupart des organisations n’ont pas décidé du moment où l’IA entrerait dans leur environnement. Elle s’est simplement imposée.
Les employés ont trouvé des outils qui les aident à aller plus vite. Ils ont commencé à y coller des documents, demander des résumés, rédiger des réponses et réduire les tâches administratives. Dans bien des cas, cela s’est produit bien avant que les TI aient eu l’occasion d’évaluer ou d’approuver les outils utilisés.
Ce n’est pas un échec de contrôle. C’est ce qui arrive lorsque des technologies utiles se diffusent rapidement.
Le véritable risque ne réside pas dans le fait que les gens utilisent l’IA. Il réside dans la façon dont ils l’utilisent — d’une manière que l’organisation ne peut ni voir, ni encadrer, ni protéger.
C’est la réalité à laquelle font face aujourd’hui de nombreux leaders TI au Canada. L’IA est déjà présente dans l’entreprise, mais pas d’une façon mesurable, sécurisée ou alignée sur les intentions organisationnelles. Ce qui semble être un progrès en surface peut discrètement créer une exposition en arrière-plan.
L’un des constats les plus clairs du récent webinaire de Compugen sur l’IA est que bloquer l’IA fonctionne rarement.
Lorsque les outils approuvés sont indisponibles ou tardent à arriver, les employés cherchent ailleurs. Les outils d’IA grand public sont faciles d’accès et rapides à utiliser, mais ils ne sont pas conçus pour une supervision organisationnelle. Ils échappent aux modèles de sécurité, aux règles de conservation des données et aux mécanismes d’audit de l’entreprise.
À partir de ce moment, les TI perdent en visibilité. Les équipes de sécurité perdent le contexte. La gouvernance devient réactive. Des informations sensibles peuvent être copiées ou stockées dans des environnements non surveillés, et l’organisation peut ne découvrir le problème que lorsqu’un incident survient.
C’est ce qui rend l’IA non sanctionnée risquée. Non pas parce que les outils sont dangereux en soi, mais parce qu’ils fonctionnent en dehors des systèmes conçus pour gérer le risque.
L’IA fait plus que traiter des données. Elle transforme la façon dont elles sont trouvées.
Des informations techniquement accessibles, mais rarement consultées, peuvent soudainement apparaître à la suite d’une simple question. Des documents auparavant difficiles à localiser deviennent faciles à récupérer. Un contexte qui résidait dans la tête des employés se retrouve désormais dans des résumés et des réponses générés automatiquement.
Ce point est revenu à plusieurs reprises lors du webinaire. Il peut n’y avoir ni brèche ni intention malveillante, mais les dirigeants peuvent tout de même ressentir un inconfort face à ce qui devient visible.
Ce n’est pas un problème d’IA. C’est un enjeu de gouvernance que l’IA met en lumière.
Les modèles d’accès conçus pour des systèmes nécessitant formation et navigation ne sont pas adaptés à des outils qui répondent directement aux questions. Ce qui était autrefois protégé par la complexité ne l’est plus.
Certaines organisations tentent de tout fermer. Elles bloquent les outils publics et resserrent les restrictions, en espérant que le problème disparaisse.
Ce n’est généralement pas le cas.
Les personnes qui perçoivent la valeur de l’IA continueront à la rechercher. Si elles ne peuvent pas utiliser des plateformes approuvées, elles se tourneront vers des comptes personnels et des outils grand public. Le risque ne disparaît pas. Il devient simplement moins visible.
L’objectif n’est pas d’éliminer l’usage de l’IA. Il est de l’intégrer dans un environnement où elle peut être encadrée, observée et améliorée.
Cela signifie offrir des outils sanctionnés, sécurisés et surveillés, et clarifier ce qui est acceptable, pourquoi certaines limites existent et comment les données doivent être traitées. Lorsque les règles sont claires et que des options sécuritaires sont disponibles, la majorité des employés les respectent.
Un autre thème clé du webinaire : la discipline des données est ce qui gouverne réellement l’IA.
L’IA ne sait pas quelles données sont sensibles, obsolètes ou inappropriées. Elle travaille avec ce qu’on lui fournit.
Les organisations aux prises avec l’IA non sanctionnée font souvent face à des enjeux plus profonds liés à la propriété et aux accès aux données. Si personne ne peut clairement identifier qui est responsable d’un ensemble de données, qui l’entretient et qui devrait y avoir accès, l’IA mettra rapidement ces lacunes en évidence.
Les équipes qui prennent les devants commencent par renforcer leurs fondations. Elles identifient des ensembles de données fiables, clarifient la responsabilité, révisent les accès en tenant compte de la découvrabilité, puis permettent à l’IA d’opérer à l’intérieur de ces balises.
Cela n’élimine pas le risque, mais le rend visible et gérable.
L’IA peut produire des réponses convaincantes à partir d’informations incomplètes ou erronées. Sans validation, ces réponses peuvent influencer discrètement des décisions et des communications.
Lorsque l’IA est utilisée sur des plateformes approuvées, les organisations peuvent prévoir des mécanismes de supervision. Lorsqu’elle fonctionne en dehors de leur champ de vision, ce n’est pas possible. Voilà pourquoi l’IA non sanctionnée représente non seulement un risque lié aux données, mais aussi un risque décisionnel.
La voie à suivre n’est pas complexe, mais elle exige de la rigueur.
Elle commence par reconnaître que l’IA est déjà utilisée. Ensuite, les organisations doivent proposer des solutions sécurisées et visibles, clarifier les modèles d’accès aux données et offrir des lignes directrices concrètes et applicables. Surtout, les TI et les unités d’affaires doivent maintenir un dialogue continu.
Chez Compugen, nous observons cette réalité chaque jour au sein des organisations canadiennes. Celles qui prennent une longueur d’avance sur l’IA non sanctionnée ne sont pas celles qui imposent les règles les plus strictes, mais celles qui bâtissent sur des fondations solides et favorisent un dialogue ouvert.
L’IA continuera d’évoluer. La question est de savoir si elle évoluera dans votre champ de vision — ou en dehors.
Si l’IA non sanctionnée vous préoccupe ou si vous souhaitez mieux comprendre votre niveau d’exposition réel, les experts Données et IA de Compugen peuvent vous aider à évaluer votre situation actuelle et à définir une approche qui équilibre innovation et contrôle.
Visitez notre page Données + IA pour découvrir comment Compugen accompagne les organisations canadiennes vers un progrès gouverné, clair et maîtrisé.