Ces préoccupations vous sont-elles familières?

 

Savons-nous où vont nos données sensibles une fois traitées par un modèle d’IA?

Sans vue d’ensemble des flux de données utilisées par l’IA, les risques de fuite et les violations de la vie privée augmentent : les organisations pourraient voir des identifiants personnels ou leurs secrets commerciaux être ingérés par des modèles externes. 

Utilisons-nous encore des procédures de sécurité TI traditionnelles pour gérer les risques liés à l’IA?

Les cadres et outils habituels en cybersécurité ne prennent pas nécessairement en compte les vulnérabilités propres à l’IA, comme l’infiltration de requête ou l’attaque par empoisonnement, ce qui expose les organisations à des tentatives sophistiquées ciblant ces lacunes. 

Qui est ultimement responsable des décisions et des actions prises par nos agents autonomes?

Sans cadre de gouvernance ni supervision humaine, le déploiement « sauvage » (non contrôlé) de l’IA peut entraîner des décisions injustes, non vérifiées ou juridiquement contraignantes aux conséquences importantes.  

Notre stratégie en IA peut-elle s’adapter à l’évolution des réglementations provinciales et fédérales?

En raison de la transformation rapide des directives facultatives en cadres réglementaires contraignants (comme la Loi 25 au Québec), les systèmes d’IA non conformes constituent un risque financier et opérationnel majeur qui peut entraîner l’arrêt complet des services d’une organisation.  

Avons-nous fourni à nos équipes des directives claires sur l’utilisation autorisée ou proscrite de l’IA ou doivent-elles estimer par elles-mêmes la sécurité de leurs requêtes?

En l’absence de garde-fous clairement définis, le personnel se tourne généralement vers des « IA fantômes » qui ne sont pas protégées par les mécanismes de sécurité de l’entreprise, ce qui peut mener à la divulgation involontaire de secrets commerciaux sur le Web public. 

 

 

AI governance cyber

Si oui, vous n’êtes pas seul(e).

 

De nombreuses organisations ne sont pas suffisamment préparées à la réalisation sécurisée de leurs projets avec l’IA, faute d’avoir une stratégie cohérente en cybersécurité et les capacités techniques nécessaires pour se défendre contre les menaces exploitant l’IA.

L’émergence de l’IA agentique présente un risque encore plus important : les agents autonomes ne se contentent pas de traiter des données, ils prennent des décisions, déclenchent des actions et opèrent dans différents systèmes avec une supervision humaine minimale.

AI-driven initiatives

Services de CGI en gouvernance, risque et conformité de l’IA : l’adoption responsable de l’IA générative ou agentique est une obligation

CGI offre six services en gouvernance, risque et conformité de l’IA pour aider les responsables de la sécurité de l’information, les responsables des données et de l’analytique ainsi que les responsables de l’IA à mettre en place les structures, les politiques et les processus nécessaires à l’encadrement responsable de l’IA de bout en bout et à faciliter l’adoption d’une IA fiable et adaptable aux exigences réglementaires de chaque secteur.

Sessions de sensibilisation à la sécurité en IA

Fournir au personnel et à la direction les connaissances nécessaires pour utiliser l’IA de façon responsable

Audit interne du système de gestion de l’IA (AIMS) – ISO 42001

Préparer les organisations à la certification ISO/IEC 42001 et à une gouvernance solide de l’IA

Évaluation des menaces, des risques et des répercussions de l’IA sur la protection des données personnelles

Fournir une évaluation structurée des risques en matière de sécurité et de protection des données personnelles introduits par l’IA

Conseil en sécurité et gouvernance de l’IA

Établir des bases solides de gouvernance et des pratiques d’utilisation responsable de l’IA à l’échelle de l’organisation

Conseil en réglementation et conformité de l’IA

Assurer la conformité des projets d’IA aux nouveaux cadres réglementaires mondiaux

Développement d’un cadre de gestion des risques liés à l’IA

Élaborer des approches structurées pour identifier et gérer les risques en matière d’IA

Connaître les menaces émergentes facilite la mise en place des bons garde‑fous

 

Autrefois simples hypothèses, la mauvaise utilisation des données, les biais algorithmiques, la dérive incontrôlée des modèles et les violations réglementaires sont aujourd’hui des failles présentes dans chaque déploiement de l’IA. Il y a déjà de nombreux exemples montrant que l’IA peut devenir un risque pour les organisations.

Plusieurs incidents ont entraîné des dommages majeurs, comme l’exposition de données exclusives, la compromission d’activités, la suppression de données organisationnelles et même l’arrêt complet de services destinés à la clientèle.

L’Open Worldwide Application Security Project (OWASP) documente régulièrement les dix plus importantes vulnérabilités liées à l’IA, tandis que le National Institute of Standards and Technology (NIST) et l’Organisation internationale de normalisation (ISO) ont rédigé des normes pour guider les leaders du numérique face à la complexité croissante des risques.

NIST mentionne des risques liés à la chaîne de valeur et l’intégration des composants

Les flux de travail automatisés par l’IA peuvent involontairement intégrer des composants tiers non traçables, ainsi que des données de mauvaise qualité et non vérifiées.

OWASP met par exemple en garde contre l’infiltration de requête dans les applications de grands modèles de langage

L’injection d’instructions malveillantes dans les grands modèles de langage reste le moyen le plus courant de contourner les mécanismes de sécurité et d’exfiltrer des données.

OWASP signale aussi l’exploitation malveillante de la confiance des êtres humains dans l’agentique

Des acteurs malveillants abusent de « l’autorité » perçue des agents autonomes pour inciter des êtres humains à approuver des actions nuisibles.

 

Commencez votre parcours avec nous

 

AI GRC Canada