Qu'est-ce qu'une politique d'utilisation acceptable de l'IA (IA AUP) ?

Une politique d'utilisation acceptable de l'IA (AI AUP) est un ensemble formel de règles qui définit l'utilisation par les employés des outils et des services d'intelligence artificielle (IA) générative. 

Lorsque vos équipes explorent des plateformes d'IA comme ChatGPT pour stimuler leur créativité et améliorer leur efficacité, elles peuvent aussi créer involontairement de nouveaux risques. En l'absence de directives claires, les employés sont susceptibles de communiquer de la propriété intellectuelle sensible, des données clients ou des informations d'authentification internes dans des modèles d'IA publics, et ainsi créer une cyber-exposition potentiellement majeure pour votre entreprise.

Une politique d'utilisation acceptable (AUP) de l'IA efficace crée des garde-fous qui permettent à votre entreprise d'innover en toute sécurité. Elle établit clairement les choses à faire et à ne pas faire, protège les assets de l'entreprise et crée une procédure formelle d'approbation des nouvelles technologies. Une politique d'utilisation de l'IA définit les utilisations autorisées et interdites, expose clairement les protections requises en matière de traitement des données et indique qui peut accéder à quels outils, ainsi que la procédure d'approbation et d'intégration des nouvelles technologies d'IA.

Une politique d'utilisation de l'IA fiable et solide est un élément fondamental de votre stratégie globale de cybersécurité. Elle constitue aussi le point de départ de la sécurisation de l'IA dans votre entreprise. 

Découvrez comment la plateforme de gestion de l'exposition Tenable One peut vous aider à gérer l'ensemble de votre exposition et de vos risques liés à l'IA.

Une bonne politique d'utilisation de l'IA doit être claire, complète et facile à comprendre pour tout le monde. Elle remplace l'ambiguïté par des règles bien définies qui protègent vos employés et votre entreprise. Bien que vous puissiez adapter votre politique à votre secteur d'activité et à votre propension au risque, vous devez élaborer votre politique d'utilisation acceptable de l'IA générative en vous appuyant sur ces cinq piliers essentiels.

1. Champ d'application et rôles

Cette section définit les personnes et les ressources concernées par cette politique. Elle doit indiquer clairement quels sont les employés, les services et les environnements de l'entreprise qui doivent respecter les règles. Elle garantit également la responsabilisation, en décrivant les tâches des employés, des responsables et de l'équipe de gouvernance de l'IA (par exemple le DSI, le service juridique et l'équipe InfoSec). La clarification du champ d'application et des rôles est un élément clé de toute politique sur l'IA pour les employés.

2. Outils autorisés et cas d'utilisation interdite

Vous devez tenir à jour une liste minutieuse d'outils et d'agents d'IA approuvés et validés par vos équipes de sécurité et juridiques. Cette section devrait également contenir des exemples concrets d'usages interdits, telles que l'utilisation de plateformes d'IA non approuvées ou l'utilisation de l'IA pour des activités illégales, contraires à l'éthique ou aux normes de l'entreprise.

3. Règles relatives au traitement et à la confidentialité des données

Les règles relatives au traitement et à la confidentialité des données font partie des éléments les plus critiques de votre IA AUP. Vous devez définir explicitement les types de données que les employés ne doivent jamais saisir dans les outils d'IA publics, notamment les données personnelles (PII), les informations de santé protégées (PHI), de la propriété intellectuelle, du code source et les données financières de l'entreprise. Donnez des orientations claires sur quand et comment utiliser les techniques de masquage ou d'anonymisation des données.

4. La gouvernance et le processus de changement

Votre politique d'utilisation de l'IA à destination des employés doit évoluer aussi rapidement que les technologies de l'IA. Cette section détaille le workflow permettant aux employés de demander l'examen d'un nouvel outil d'IA en vue de son autorisation. Elle doit également décrire les critères de décision que votre équipe de gouvernance utilisera pour approuver ou rejeter un outil, tels que ses protocoles de sécurité des données, sa politique de confidentialité, la stabilité de son fournisseur et l'emplacement des données.

Principaux critères d'approbation des nouveaux outils d'IA

• Protocoles de sécurité
  • Examinez la posture de sécurité du fournisseur.
  • Possède-t-il des certifications telles que SOC 2 ?
  • Comment chiffre-t-il les données en transit et au repos ?
  • Quels sont ses processus de gestion des vulnérabilités et de réponse aux incidents ?
• Politique de confidentialité des données
  • Déterminez comment le fournisseur traite vos données.
  • Sa politique indique-t-elle explicitement comment il applique la conformité avec les réglementations pertinentes pour votre entreprise, telles que HIPAA, PCI DSS, etc. ?
  • Critère important : le fournisseur utilise-t-il des prompts et requêtes clients pour entraîner ses modèles ?
  • Pouvez-vous vous y opposer ?
  • Quelles sont les politiques de conservation des données du fournisseur ?
• Stabilité du fournisseur
  • Le marché de l'IA est volatile. Demandez à votre équipe quel est le risque business lié à l'utilisation d'un nouvel outil d'IA qui n'a pas encore été validé.
  • Tenez compte du financement du fournisseur, de sa réputation sur le marché et de sa viabilité à long terme avant de l'intégrer dans des workflows critiques.
• Emplacement des données
  • Vous devez connaître dans quelle(s) région(s) le fournisseur stocke et traite vos données, sans quoi vous ne pourrez vous assurer de votre conformité à des réglementations telles que le RGPD et la loi CCPA.
  • Vérifiez que les centres de données du fournisseur se trouvent dans des régions qui répondent à vos obligations de conformité.

5. Utilisation sûre 

Enfin, cette politique doit mettre l'accent sur les principes clés d'une utilisation sûre de l'IA et illustrer comment l'utiliser au quotidien en minimisant le risque. Elle doit également rappeler aux employés que ces derniers doivent toujours vérifier que le contenu généré par l'IA est exact, et qu'ils sont les seuls responsables du travail produit.

Une politique n'est efficace que si vos employés peuvent l'appliquer dans leur travail quotidien. Pour que les règles soient claires, donnez des exemples concrets qui illustrent les comportements sûrs et à risque en ce qui concerne les requêtes communiquées à l'IA. Cela permet de traduire des principes abstraits tels que « la protection des données de l'entreprise » en recommandations concrètes en fonction du rôle des employés.

Checklist rapide des choses à faire et à ne pas faire en matière d'IA

Utilisez cette checklist comme point de départ pour la formation des employés et la communication interne :

• À FAIRE : vérifier l'exactitude de tous les contenus générés par l'IA avant de les utiliser.
• À FAIRE : utiliser des outils d'IA approuvés par l'entreprise pour toutes les tâches professionnelles.
• À FAIRE : dans la mesure du possible, anonymiser les données métier utilisées dans les prompts.
• À ÉVITER : communiquer des données personnelles de clients, des données sur les employés ou de la propriété intellectuelle confidentielle de l'entreprise dans des outils d'IA publics.
• À ÉVITER : utiliser l'IA pour créer du contenu harcelant, discriminatoire ou contraire à la politique de l'entreprise.
• À ÉVITER : présenter le contenu généré par l'IA comme votre propre travail original sans l'avoir examiné et modifié de manière appropriée.

Exemples basés sur le rôle : prompts sûrs et prompts à risque

Choix de l'outil d'IA et sécurité des prompts

Les exemples ci-dessous montrent comment rédiger des prompts sûrs pour les outils d'IA publics ou à usage général. Cependant, la solution la plus importante pour les données particulièrement sensibles (comme le code source, les données financières non publiques ou les données personnelles) n'est pas seulement de saisir des prompts sûrs, mais de prévenir le moindre risque d'exposition des données.

Vos employés ne doivent jamais saisir de données propriétaires dans un outil d'IA public.

Pour ce type de données, vous devez utiliser une solution sécurisée approuvée par l'entreprise. Par exemple, un LLM interne (comme un modèle auto-hébergé) ou une plateforme d'entreprise sécurisée (comme ChatGPT Enterprise) qui garantit explicitement qu'elle n'utilise pas vos données pour l'entraînement et qu'elle n'est pas accessible en dehors de l'instance de votre entreprise.

• Scénario pour le département marketing
  • Prompt à risque : « Analysez la liste ci-jointe des adresses électroniques de nos clients et des données relatives aux ventes du troisième trimestre de nos 100 principaux clients afin d'identifier de nouvelles idées de campagnes marketing. »
  • Prompt sûr : « Notre entreprise vend des logiciels de cybersécurité aux responsables IT du secteur des services financiers. Sur la base d'informations publiques, proposez trois idées de campagnes marketing qui pourraient attirer ce public. »
• Scénario pour le département RH
  • Prompt à risque : « Examinez le CV ci-joint de Marie Dubois et les données relatives à l'évaluation de ses performances afin de rédiger une description de poste pour une fonction similaire. »
  • Prompt sûr : « Rédigez une description de poste pour un ingénieur logiciel senior. Le poste requiert cinq ans d'expérience avec Java, des connaissances en matière de sécurité du cloud et de solides compétences en communication. Le poste est en télétravail. »

Une politique globale d'utilisation acceptable de l'IA (AI AUP) régit le comportement des utilisateurs, mais elle ne résout qu'une certaine partie du problème. 

Votre politique doit également être liée à votre stratégie plus large de sécurité de l'IA, à savoir les mesures techniques que vous utilisez pour protéger concrètement les modèles et l'infrastructure de l'IA. 

Cette approche garantit une gestion holistique des risques liés à l'humain et aux technologies. En faisant référence dans votre politique aux normes de sécurité technique, vous pouvez vous assurer de la participation de chacun de vos employés à un ensemble commun d'objectifs en faveur d'une adoption sécurisée de l'IA.

Corriger les principaux risques de sécurité liés à l'IA

Votre politique d'utilisation acceptable de l'IA doit reconnaître les vulnérabilités techniques sous-jacentes inhérentes aux systèmes d'IA. 

Le Top 10 de l'OWASP pour les LLM (en anglais) constitue un excellent cadre pour comprendre ces menaces actuelles. Pourtant, à mesure que l'IA évolue de modèles simples vers des systèmes « agentiques » autonomes (ou agents IA), le nouveau projet OWASP Agentic AI Security devient la norme critique pour les risques futurs.

Des risques tels que l'injection de prompts, la fuite de données et le traitement non sécurisé des résultats peuvent exposer votre entreprise à des attaques, même si les employés suivent les règles. Votre politique doit mentionner la nécessité d'une approbation de tous les nouveaux outils afin de vérifier qu'ils ne présentent pas ces risques connus et émergents en matière de sécurité de l'IA.

Une gestion efficace de ces risques implique une visibilité sur la manière dont votre entreprise utilise l'IA et où celle-ci crée des expositions potentielles. Des solutions comme Tenable AI Exposure vous aident à découvrir et à évaluer l'utilisation des systèmes d'IA dans l'ensemble de votre environnement, afin que vous disposiez d'informations pour appliquer votre politique d'utilisation de l'IA et sécuriser votre infrastructure.

L'application de votre politique d'utilisation de l'IA nécessite un effort interfonctionnel pour s'assurer que les règles sont pratiques, bien comprises et appliquées de manière cohérente. 

Suivez ces quatre étapes pour concevoir et mettre en œuvre une politique efficace d'utilisation acceptable de l'IA (AIUAP) pour votre entreprise.

Étape 1 : Constituer une équipe de gouvernance de l'IA

Tout d'abord, identifiez les principales parties prenantes qui seront responsables de votre politique d'utilisation acceptable de l'IA. Cette équipe est généralement composée d'employés des départements IT, sécurité, juridique et ressources humaines, ainsi que de représentants des principales unités métier. 

Elle est chargée de rédiger la stratégie, d'approuver les nouveaux outils et de gérer les exceptions. 

Il est essentiel de désigner un point de contact clair pour les employés qui ont des questions ou qui doivent soumettre un nouvel outil pour approbation.

Étape 2 : Rédiger une politique d'utilisation de l'IA à l'aide de ce guide

À l'aide des éléments essentiels décrits ci-dessus, rédigez une première version de votre politique d'utilisation de l'IA. L'objectif est d'être clair et direct, et d'éviter un jargon trop spécifique qui pourrait dérouter les employés non techniques. 

De manière générale, ne pas aborder les aspects trop techniques est un bon conseil pour rédiger une politique d'utilisation de l'IA que les employés consulteront réellement. Pensez à donner des recommandations exploitables afin que vos équipes puissent prendre des décisions éclairées en utilisant l'IA.

Étape 3 : Définir la procédure de demande de nouveaux outils d'IA

Documentez précisément la procédure formelle permettant à un employé de demander un nouvel outil d'IA. Ce workflow doit indiquer clairement 1) les informations dont votre équipe en charge de l'approbation d'outils a besoin pour une soumission (par exemple l'objectif de l'outil, son fournisseur et un lien vers les politiques de sécurité et de confidentialité), ainsi que 2) l'accord SLA pour faciliter la prise de décision par l'équipe de gouvernance.

Votre procédure pourrait, par exemple, comporter les étapes suivantes :

• Soumettre un ticket via votre portail de services IT standard avec une catégorie spéciale « Approbation d'outils d'IA »
• Remplir un formulaire standardisé sur votre intranet qui recueille toutes les informations nécessaires à l'équipe de gouvernance
• Envoyer un e-mail à un alias dédié, par exemple [e-mail protégé]

Étape 4 : Communiquer et sensibiliser les employés

Une fois que vous avez finalisé votre politique, présentez-la à tous les employés. Organisez des séances de formation, publiez le document à un emplacement facile d'accès (et non enfoui quelque part dans un dossier intranet) et faites signer à vos employés une reconnaissance de votre politique d'utilisation de l'IA. Pour favoriser l'adoption de votre politique, vous devez réussir à la rendre pertinente et attrayante.

Vous souhaitez approfondir la question de la sécurité de l'IA ? Consultez ces articles de blog Tenable.

Il est essentiel d'obtenir le soutien de la direction pour conférer de l'autorité à votre politique d'utilisation de l'IA et s'assurer que son application soit une priorité à l'échelle de l'entreprise. Votre politique en matière d'IA doit être conçue comme un atout stratégique et non comme une restriction. 

Une politique claire en matière d'IA à destination des employés accélère l'adoption d'une IA sûre en remplaçant l'incertitude par un cadre d'action bien défini. Les employés peuvent s'y référer pour trouver des réponses à leurs interrogations, mais également pour s'aligner sur un processus approuvé afin d'innover de manière productive et en toute confiance. 

Une politique d'utilisation acceptable de l'IA (AI UAP) clairement définie contribue à directement réduire le risque par les moyens suivants :

• Prévenir les fuites de propriété intellectuelle dans les modèles publics
• Établir une responsabilité claire
• Veiller à ce que les outils d'IA fassent l'objet d'un contrôle complet en matière de sécurité et de confidentialité avant que vos employés ne les utilisent à grande échelle

La première étape consiste à obtenir une visibilité totale. 

La plateforme de gestion de l'exposition Tenable One offre à votre entreprise une vue unifiée de l'ensemble de votre surface d'attaque, y compris concernant les risques liés aux nouvelles technologies comme l'IA. 

Pour appliquer votre politique, vous devez d'abord savoir ce qui se trouve dans votre environnement. Tenable vous permet de découvrir les agents et outils de Shadow AI. Des produits comme Tenable AI Aware incluent des plug-ins qui détectent la présence d'outils populaires d'IA et de LLM, afin que vous ayez la visibilité nécessaire pour appliquer votre politique. 

L'équipe Tenable Research découvre et divulgue également activement les expositions dans les logiciels d'IA tiers pour aider à sécuriser l'ensemble de votre écosystème.

L'IA soulève de nombreuses questions, notamment en ce qui concerne les politiques d'utilisation acceptable. Et à ce jour, il n'existe pas toujours de réponse à chacune. Nous avons compilé pour vous certaines des questions les plus fréquemment posées, en essayant d'y répondre avec clarté afin que vous puissiez établir votre propre politique.

1. À quoi sert une politique d'utilisation acceptable de l'IA (AI UAP) ?

L'objectif principal d'une politique d'utilisation acceptable de l'IA est d'atténuer les risques en matière de sécurité et de confidentialité des données. Elle empêche les employés de communiquer des données confidentielles de l'entreprise, de la propriété intellectuelle ou des données personnelles de clients dans des modèles d'IA publics afin de diminuer l'exposition de votre entreprise à la perte de données.

2. Qui est responsable de l'élaboration d'une politique d'utilisation acceptable de l'IA (IA UAP) ?

La création d'une politique d'utilisation de l'IA est généralement un effort de collaboration mené par une équipe de gouvernance qui comprend des représentants des équipes IT, sécurité, juridique et ressources humaines, avec la contribution des principales unités métier de l'entreprise.

3. En quoi une politique d'utilisation acceptable de l'IA (IA UAP) diffère-t-elle d'une politique d'utilisation acceptable de l'IT en général ?

Alors qu'une politique IT générale couvre l'utilisation générale des technologies (messagerie électronique, internet, logiciels), une politique spécifique à l'IA aborde les risques uniques de l'IA générative. Il peut s'agir de problèmes de confidentialité des données avec l'injection de prompts, de fuites de propriété intellectuelle ou de production d'informations inexactes ou biaisées.

Une politique d'utilisation acceptable de l'IA complète permet à votre entreprise d'accélérer l'adoption de l'IA sans causer de préjudice. Elle offre à vos équipes les garde-fous dont elles ont besoin pour expérimenter en toute sécurité, protège vos ressources les plus précieuses et met en place un cadre de gouvernance de l'IA véritablement capable d'évoluer.

Vous pouvez utiliser le cadre et la checklist de ce guide comme éléments de base pour créer votre propre modèle de politique d'utilisation acceptable de l'IA. Voici des exemples d'éléments que vous pouvez intégrer :

• Champ d'application de la politique et responsabilités : définissez clairement les personnes et les ressources concernées par la politique d'utilisation de l'IA, et attribuez les responsabilités adéquates.
• Outils d'IA approuvés et restrictions d'utilisation : répertoriez toutes les technologies d'IA approuvées par l'entreprise et précisez comment vos employés doivent ou ne doivent pas utiliser l'IA.
• Normes en matière de protection des données et de respect de la vie privée : créez des règles claires qui expliquent comment traiter les informations sensibles et confidentielles.
• Lignes directrices pour une utilisation sûre et responsable : proposez des conseils pratiques et des exemples pour les interactions quotidiennes avec l'IA.
• Gouvernance et procédure d'approbation des nouveaux outils : définissez la procédure formelle d'examen et d'approbation de nouvelles applications d'IA.

En faisant évoluer ces lignes directrices en politiques et en pratiques cohérentes, vous transformez les risques liés à l'IA en outils opérationnels pleinement intégrés à votre culture de sécurité.

Lisez le guide : Sécurité de l'IA et sécurité par l'IA