La gouvernance plutôt que le Shadow AI

L'intelligence artificielle est depuis longtemps une réalité en Suisse : près d'une personne sur deux utilise déjà des outils d'IA, et ce chiffre dépasse les 80 % chez les jeunes. Mais alors que l'utilisation privée est en plein essor, les entreprises sont à la traîne : seule une fraction d'entre elles dispose de stratégies claires en matière d'IA. Le plus grand risque ? Le Shadow AI (ou IA fantôme). Plus de la moitié des employés dans le monde utilisent des applications d'IA non autorisées, souvent avec des données sensibles. En Suisse aussi, cette utilisation parallèle connaît une croissance rapide et met en péril la conformité et la sécurité. Les entreprises doivent agir dès maintenant pour concilier innovation et gouvernance.

Ce défi est exacerbé par le développement extrêmement dynamique du paysage de l'IA. De nouveaux modèles, services et fournisseurs apparaissent à un rythme qui dépasse les capacités des processus traditionnels de gouvernance informatique. Dans le même temps, cela exerce une pression encore plus forte sur les budgets informatiques, tandis que la marge de manœuvre en matière d'investissement reste limitée. Entre innovation, risque et coûts, les défis suivants se posent tout particulièrement :

• Les collaborateurs apportent presque quotidiennement de nouvelles idées pour l'utilisation d'applications d'IA et souhaitent les exploiter comme ils le font déjà dans leur vie privée.

   

• Les dirigeants ne veulent pas passer à côté de cette technologie clé sur le plan stratégique. Ils reçoivent des offres d'entreprises qui semblent très attrayantes à première vue et sont souvent dépassés lorsqu'il s'agit de les évaluer de manière critique.

   

• Les organisations informatiques ne sont souvent pas encore prêtes pour l'exploitation sécurisée et l'intégration d'applications d'IA. Le défi : pour les décideurs, il s'agit désormais avant tout de trouver un équilibre dans le « triangle magique » que constituent l'innovation, les risques et les coûts. Ils ont besoin de solutions qui libèrent la force d'innovation de leur organisation tout en rendant les risques et les coûts associés maîtrisables. La clé réside dans une gouvernance IA bien pensée, qui allie flexibilité et contrôle.

L'utilisation de l'IA générative comporte souvent une série de risques dont tout le monde n'a pas toujours conscience et qui sont rarement gérés de manière active :

• Shadow AI : une utilisation non réglementée par les employés entraîne une perte de contrôle et des risques pour la sécurité.
• Coûts incontrôlés : l'absence de règles relatives aux licences, à l'utilisation des tokens et aux contrats cloud peut faire exploser les budgets.
• Risques liés à la conformité et à la protection des données : directives floues ou inexistantes pour empêcher le transfert de données sensibles à des fournisseurs externes.
• Dépendances stratégiques : l'utilisation non coordonnée de nombreux outils crée des dépendances difficiles à contrôler.

Pour réussir la mise en place d'une IA générative, il faut une approche qui permette d'acquérir de l'expérience, de conserver une certaine flexibilité et de garantir l'indépendance, tout en optimisant les investissements.

L'approche pragmatique d'une « plateforme pour les services centraux d'IA » combine trois niveaux : 

• Interface utilisateur :  une plateforme centrale servant de point d'accès unique et de catalogue de services pour toutes les applications d'IA. Elle abstrait la complexité technique et offre des services standardisés via l'intranet.
• Couche de contrôle : elle sert d'intermédiaire entre les cas d'utilisation et la mise en œuvre technique. Elle permet le contrôle, la surveillance et garantit les bases d'une utilisation sûre et rentable.
• Mise en œuvre technique (backend): architecture flexible pour la mise en œuvre des services d'IA, des solutions cloud (« IA en tant que service ») aux modèles hébergés en passant par les options sur site.

• Contrôle stratégique : la plateforme IA permet de tester différentes possibilités d'implémentation technique les unes par rapport aux autres et de les évaluer de manière centralisée. Le concept modulaire permet également l'intégration progressive de nouvelles fonctions et de nouveaux cas d'utilisation.

   

• Optimisation des achats : la plateforme IA permet de collecter des informations importantes telles que la consommation de tokens, la demande effective des utilisateurs pour les cas d'utilisation, etc. Grâce au volume d'investissement raisonnable nécessaire pour la plateforme, il est possible d'éviter une mauvaise allocation et d'optimiser l'acquisition d'une plateforme opérationnelle à grande échelle. Comme la plateforme IA permet également l'utilisation de modèles AI générative chez différents fournisseurs et l'intégration de plusieurs licences, la position de négociation vis-à-vis des fournisseurs s'améliore.

   

• Contrôle des coûts : grâce au tableau de bord de la plateforme IA et à l'intégration de systèmes IAM, il est non seulement possible de contrôler l'accès à la plateforme, mais aussi de mesurer efficacement son utilisation. Cela permet un contrôle granulaire des coûts, contrairement à l'approche consistant à acquérir des licences ou des infrastructures de manière opportuniste.

   

• Gestion des risques : dans le cadre de la mise en œuvre de cas d'utilisation, les risques individuels peuvent être enregistrés et évalués, et la couche de contrôle de la plateforme IA permet l'application de certaines règles de conformité.

La mise en place d'une plateforme d'IA basée sur l'architecture présentée aide les organisations à acquérir une première expérience de l'IA générative. Elle offre un accès centralisé et simple aux collaborateurs. Elle simplifie également l'administration, contribue à l'optimisation des coûts et réduit le risque d'IA fantôme (ou Shadow AI).

Une telle plateforme d'IA a également ses limites :

• Pas de substitut à une stratégie d'IA : La plateforme d'IA ne remplace pas une stratégie d'IA globale et des structures de gouvernance. Les structures de gouvernance et la transformation des processus doivent être définies séparément.

   

• Choix des cas d'utilisation appropriés : Une analyse du potentiel est nécessaire au préalable afin d'utiliser une telle plateforme d'IA de manière judicieuse. La limitation à des cas d'utilisation individuels doit être adaptée à l'organisation. L'architecture proposée est particulièrement nécessaire lorsque l'IA doit être utilisée pour des données confidentielles ou secrètes. Toutefois, si l'utilisation de solutions intégrées telles que Copilot ou des agents IA est possible, c'est-à-dire si les exigences en matière de protection des données et les directives légales le permettent, l'utilisation d'une telle plateforme IA n'a guère de sens. C'est pourquoi il convient de réaliser au préalable une analyse du potentiel afin de déterminer les cas d'utilisation et les groupes d'utilisateurs pour lesquels cette approche est pertinente.

   

• Pas de substitut à la gestion du changement : Même si la plateforme d'IA facilite l'accès aux technologies d'IA, des mesures supplémentaires de gestion du changement sont nécessaires. Outre les cours destinés à tous les collaborateurs sur l'utilisation de l'IA pour créer de la valeur ajoutée, des cours sur l'IA sont également pertinents pour les cadres afin de comprendre les défis stratégiques et organisationnels liés à l'utilisation de l'IA ainsi que ses opportunités, et d'avoir les bases nécessaires pour prendre des décisions dans ce domaine.

Nadine Tschichold dirige notre entité de conseil dédié au secteur public et nos équipes de Professional Services. Elle s'engage à stimuler l'innovation et la transformation digitale au sein du secteur public en Suisse, qui inclue le gouvernement fédéral, les cantons et les municipalités. Avant de rejoindre ELCA, Nadine a dirigé la mise en place du bureau de gestion de projet chez MétéoSuisse, où elle a guidé et géré de nombreux programmes, y compris des projets inter-organisationnels en collaboration avec divers offices fédéraux. Nadine a commencé sa carrière professionnelle dans une grande société de conseil après avoir obtenu un Master en informatique et un Doctorat en (Artificial Intelligence and Robotics) à l'ETH Zürich.

Nicolas Zahn est Senior Manager dans nos bureaux de Zürich. Nicolas est titulaire d'un Master of Arts en affaires internationales de l'IHEID de Genève. Il s'intéresse de près à la transformation numérique dans le secteur public et a effectué des séjours professionnels à l'OCDE, à Singapour, en Estonie et au sein d'un think tank Allemand. Chez ELCA, il se concentre sur le conseil en matière de transformation numérique, y compris l'IA, couvrant divers aspects, allant de l'élaboration de stratégies, à la gestion et la mise en œuvre de ces stratégies et concepts.