DÉCLASSIFIÉ. Dans une note destinée aux entreprises françaises, la Direction générale de la Sécurité intérieure recense plusieurs affaires récentes inédites illustrant les risques provoqués par l’usage de l’intelligence artificielle.
C’est un étonnant document que vient de diffuser la DGSI (Direction générale de la Sécurité intérieure) auprès des entreprises. Car contrairement aux précédentes alertes des services de renseignement français à destination du monde économique, il ne s’agit pas de pointer l’espionnage, le vol de documents et d’innovations ou des opérations d’ingérence informationnelle ou de diffusion de fake news par la Russie ou la Chine. Mais démontrer en quoi l’intelligence artificielle (IA) constitue un risque sérieux et très concret pour les entreprises lorsque celle-ci est mal utilisée.
Dans cette note de sept pages (que l’on peut trouver ici), la DGSI ne remet pas en cause l’intelligence artificielle en tant que telle. Et reconnaît évidemment son apport : « Les gains de productivité très importants permis par l’IA en font un outil de plus en plus incontournable, reconnaît l’auteur du document. Elle représente une avancée considérable pour les entreprises, offrant des perspectives inédites en matière d’automatisation, d’optimisation et d’innovation. » Mais elle recense trois affaires récentes et inédites concernant des entreprises françaises pour inciter à la prudence.
La première affaire concerne une multinationale dont les salariés avaient pris l’habitude de faire traduire par un outil d’IA générative « grand public » des documents internes et… confidentiels.
Or, rappelle la DGSI, « les versions grand public des principaux outils d’IA générative, gratuites et standards utilisent souvent les données entrées par l’utilisateur pour entraîner leurs modèles. La politique de confidentialité de certains outils d’IA générative impose le stockage des données d’utilisateurs dans des serveurs situés à l’étranger ».
Les documents internes et confidentiels de cette multinationale pouvaient donc se retrouver instantanément dans le domaine public… Alertée, la grande entreprise a mis en place de nouvelles procédures pour éviter de telles dérives.
« Ne pas utiliser ces outils pour des tâches sensibles »
Deuxième cas, celui d’une entreprise française développant ses activités sur des marchés étrangers. Grâce à un outil d’IA, elle avait mis en place une procédure d’évaluation de ses partenaires commerciaux et de l’environnement juridique, fiscal et législatif dans lesquels ils évoluent.
« Par manque de temps et par méconnaissance des biais potentiels de l’outil, la société ne procède à aucune vérification complémentaire et oriente systématiquement ses décisions en fonction du retour fait par l’outil », raconte la note qui souligne les biais générés par cet usage par rapport à la réalité du terrain, des erreurs de décisions. Et donc potentiellement de coûteuses erreurs d’analyse.
La troisième affaire soulevée par la DGSI est plus spectaculaire. « Le responsable d’un site industriel d’un groupe français a reçu un appel en visioconférence de la part d’une personne se présentant comme étant le dirigeant du groupe, raconte la note. Au premier abord, cet appel n’a pas suscité la curiosité du responsable, l’apparence physique et la voix de l’individu à l’écran correspondant bien à celles du dirigeant. Néanmoins, l’individu usurpant l’apparence du dirigeant a rapidement demandé au responsable du site de procéder à un transfert de fonds dans le cadre d’un soi-disant projet d’acquisition du groupe. Surpris par le caractère inhabituel de cette démarche, le responsable du site a mis un terme aux échanges et alerté la direction de sa société par les canaux habituels. Il lui a été confirmé qu’il avait été victime d’une tentative d’escroquerie par hypertrucage (deepfake) associant le visage et la voix du dirigeant grâce à l’usage d’une IA. »
Pour prévenir de tels risques, la DGSI liste un certain nombre de recommandations et des préconisations. Comme celles-ci qui paraissent assez évidentes : « encadrer l’usage de l’IA au sein de son entreprise », « ne pas utiliser ces outils pour des tâches sensibles, comme la rédaction de comptes rendus de réunions confidentielles », « anonymiser systématiquement les requêtes effectuées » ou encore « définir les conditions d’usage de l’outil ».
Mais aussi « favoriser le recours à des IA génératives françaises » ou encore « le recours à des solutions qui hébergent leurs données en France et qui respectent le règlement général sur la protection des données ». Enfin : « avertir la DGSI de tout événement suspect lié à l’utilisation de l’IA »…
Partager :