Encadrer et accompagner le recours à l'IA : le CISO en équilibre sur la ligne de crête
La Tribune Partenaire

Photo d'illustration
DR
PROPOSÉ PAR
La Tribune Now - Actualités et analyses
La Tribune Partenaire

Photo d'illustration
DR
Il y a des rendez-vous qu'il ne faut pas rater : à l'instar de celui du mercredi 9 octobre avec Odile Duthil, Directrice cybersécurité du Groupe Caisse des Dépôts, Lucile Philibert-Coupez, RSSI InfoSec, Gouvernance Groupe EssilorLuxottic et Camille Morvan, Chercheuse en science cognitive à Harvard et co-fondatrice de Goshaba au Grimaldi Forum à Monaco.
Au programme de la table ronde intitulée « Métiers et IA Générative, les nouveaux défis du CISO pour accompagner l'innovation », les trois expertes partageront leurs retours d'expériences et leurs points de vue sur les opportunités offertes par l'IA et les solutions pour contenir les risques que cette dernière génère. « Nos trois profils sont différents : nous n'évoluons pas dans les mêmes univers et nous ne sommes pas soumises aux mêmes réglementations mais c'est précisément ce qui nous a semblé intéressant dans le cadre de cette table ronde, indique Odile Duthil, également administratrice du Clusif (Club de la sécurité de l'information français) et membre du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique). La cybersécurité est un domaine très transverse et l'utilisation de l'IA l'est tout autant. Tout le monde est concerné ».
Tout le monde est concerné, à commencer par la Caisse des Dépôts, qu'Odile Duthil a rejointe en 2020 en tant qu'adjointe du directeur Cybersécurité, avant d'occuper à son tour le poste de directrice en avril 2024. Le recours à l'IA pourrait prendre là-bas la forme de chatbots, pour répondre aux questions des retraités parmi les 7 millions d'anciens fonctionnaires à qui l'institution financière publique est chargée de verser les pensions. L'IA est également utilisée pour l'automatisation de certaines activités, sans oublier l'analyse des contrats pour vérifier leur conformité à DORA, la nouvelle réglementation sur la résilience opérationnelle numérique à laquelle La Caisse des Dépôts est assujettie.
« Quelles que soient les raisons de son utilisation et la forme qu'elle prend, l'IA représente une opportunité à saisir mais cache aussi des menaces, prévient Odile Duthil. Mener un projet d'introduction de l'IA dans une entreprise ne s'improvise pas ».
Premier risque généré par l'IA : la fuite de données. « À la Caisse des Dépôts, nous avons observé que peu d'utilisateurs faisaient fuiter des documents sensibles, explique Odile Duthil. Il s'agit surtout de traductions de documents ou de communiqués de presse et des analyses de documents publics. Pour pouvoir permettre aux collaborateurs d'utiliser les IA génératives, nous avons donc intégré une IA dans notre propre système d'informations, ce qui s'avère suffisant pour les besoins des différents métiers ».
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Autre risque : les résultats produits par l'IA générative, qui peuvent contenir des erreurs voire de pures inventions (ce fut notamment le cas pour des jurisprudences aux États-Unis). Ce qu'on appelle les « hallucinations ». La solution ? Sensibiliser les collaborateurs, organiser des sessions de formation pour expliquer comment rédiger une question en visant la précision et recontextualiser les réponses générées. « L'idée est d'accompagner les collaborateurs et de ne surtout pas freiner artificiellement une utilisation, conseille Odile Duthil. En cybersécurité, il faut toujours avoir une posture basse de business partner et non d'ayatollah de la cyber pour ne pas prendre le risque de briser une relation de confiance. »
Autre point essentiel, qui sera sans nul doute abordé lors de la table ronde : l'indispensable intervention humaine dans le cadre du recours à l'IA, à travers la mise en place d'une politique de contrôle.
Du chemin a été parcouru depuis l'apparition des IA génératives, comme ChatGPT, en novembre 2022 et chacun identifie de mieux en mieux ce qui doit être mis en place pour encadrer le risque. « Maintenant que nous sommes plus matures, le moment est sans doute venu pour les entreprises de mettre en œuvre l'idée qui avait été évoquée à la fin du dernier Congrès du CESIN : la rédaction d'une politique de sécurité des systèmes d'informations dédiée à l'IA ».
Métiers et IA Générative, les nouveaux défis du CISO pour accompagner l'innovation
Mercredi 9 octobre | 17h00-17h45
Pour en savoir plus sur le programme des tables rondes : https://www.lesassisesdelacybersecurite.com/fr-FR/le-programme/tables-rondes
La Tribune Partenaire