Éd. Remarque : Il s’agit du dernier article de la série Cybersécurité : conseils tirés des tranchées, rédigé par nos amis de Sensei Enterprises, un fournisseur spécialisé de services informatiques, de cybersécurité et d’investigation numérique.
Vous vous souvenez du Shadow IT ? Dites bonjour à Shadow AIDe nombreux articles ont été écrits sur le Shadow IT, défini par Cisco comme « l’utilisation de matériel ou de logiciels informatiques par un service ou un individu à l’insu du groupe informatique ou de sécurité au sein de l’organisation. » – Le Shadow IT comprenait des services cloud, des logiciels et du matériel.
Bienvenue dans l’essor soudain de Shadow AI. Son utilisation, comme celle du Shadow IT, est souvent méconnue du groupe informatique ou de sécurité d’un cabinet d’avocats. Alors que les avocats se sont précipités vers l’utilisation de l’IA générative en 2023, la conversation dans les cabinets d’avocats s’est rapidement tournée vers le contrôle de l’utilisation de l’IA fantôme.
Savez-vous combien d’employés de votre entreprise utilisent l’IA ? La réponse probable est non. Nous avons tous été tellement occupés à explorer ce que l’IA peut faire dans nos cabinets que seuls les plus grands cabinets d’avocats ont probablement réfléchi aux politiques en matière d’IA, et encore moins à suivre l’utilisation réelle de l’IA dans leur cabinet.
Alors que les cabinets d’avocats et les entreprises n’aiment pas signaler les problèmes de Shadow IT, Samsung a émis en 2023 une interdiction temporaire interdisant toute application d’IA non autorisée après une fuite de données interne. Nous sommes sûrs que des décrets similaires ont été publiés ailleurs, mais c’est le genre de sujet que les entreprises et les cabinets d’avocats préfèrent passer sous silence.
Pourquoi est-il si difficile de suivre l’IA fantôme ? L’IA est partout, mais elle n’est pas toujours visible. Nous oublions que l’IA est intégrée aux programmes de vidéoconférence, à de nombreux programmes de recherche juridique, à nos logiciels de découverte électronique, aux navigateurs que nous utilisons pour rechercher des informations, à nos smartphones – et la liste est longue.
Parfois, il est plus évident que nous utilisons l’IA – nous comprenons que nous l’utilisons lorsque nous travaillons avec ChatGPT, Harvey (que certains grands cabinets d’avocats utilisent), Bard, Bing Chat, etc.
Votre cabinet d’avocats vous a-t-il autorisé à utiliser une IA ? C’est là le problème. En général, les employeurs ignorent souvent quelle IA générative est utilisée par leurs employés. Et les employés aiment leur IA – vous pouvez envoyer une enquête demandant aux employés s’ils utilisent l’IA et ils pourraient très bien dire non, même si la bonne réponse est oui – ils ne veulent pas avoir d’ennuis, mais ils n’ont pas l’intention de donner leurs IA bien-aimées. Les IA sont devenues addictives.
Avez-vous besoin d’une politique d’utilisation de l’IA ? Absolument. Vous devez au moins documenter ce qui est autorisé et ce qui ne l’est pas. Vous pouvez choisir d’identifier des IA génératives que vos avocats et votre personnel peuvent utiliser. Cependant, vous souhaiterez certainement souligner certaines choses. Doivent-ils dire au client s’ils utilisent l’IA ? La plupart des éthiciens diraient oui. Doivent-ils obtenir une autorisation pour cette utilisation ? Si du temps est gagné, la facturation est-elle réduite ? Assurez-vous qu’aucune donnée confidentielle n’est transmise à l’IA, qu’elle soit placée dans sa base de données ou utilisée à des fins de formation ?
En fin de compte, votre politique constituera un ensemble de lignes directrices et de réglementations garantissant que l’utilisation de l’IA par le cabinet d’avocats est éthique et responsable. La politique doit aborder tous les problèmes de cybersécurité, les lois sur la confidentialité des données, les réglementations fédérales/étatiques, les considérations éthiques, etc.
Enfin, il convient de préciser qu’aucune IA non autorisée ne peut être utilisée. Cela peut réduire la quantité de Shadow AI dans votre entreprise, mais n’imaginez jamais qu’une simple politique mettra fin à l’utilisation de Shadow AI par des employés malveillants.
Un autre outil pour lutter contre l’IA fantôme : la formation des employés La formation en IA est une industrie de nos jours – et les dangers de l’IA fantôme peuvent certainement être abordés lors d’une session de formation. Nous suggérons également que Shadow AI soit abordé dans la formation de sensibilisation des employés à la cybersécurité.
De nombreuses compagnies de cyberassurance exigent une telle formation, c’est donc un « garde-fou » supplémentaire que d’inclure un segment sur les dangers de l’IA fantôme – en fait, sur les dangers de cybersécurité qui peuvent également accompagner les IA autorisées.
Même si la plupart des avocats savent qu’ils ne devraient pas donner d’informations sur leurs clients à une IA, ils ne réalisent peut-être pas à quel point il est dangereux de donner des informations sur le cabinet lui-même à une IA. À titre d’exemple, ne créez pas d’invite du type « Comment configurer un pare-feu SonicWall TZ500 pour autoriser le trafic FTP ? » Toute personne ayant accès à ces données (qu’elle soit autorisée ou non) peut utiliser ces informations dans le cadre d’une cyberattaque. Vous voudrez certainement souligner ce danger lors de la formation.
Comment pouvez-vous surveiller l’utilisation de Shadow AI ? C’est la question la plus difficile. Il existe des solutions qui offrent une visibilité complète sur les applications en cours d’exécution et sur qui les utilise. Fondamentalement, vous pouvez rechercher les logiciels installés et/ou les appareils utilisés pour accéder à vos données et à votre environnement. Que se passe-t-il si vous n’autorisez pas les appareils personnels à accéder aux informations de l’entreprise ? Il suffit de vérifier les « partenariats » d’appareils dans votre compte Microsoft 365 pour voir si l’un des téléphones semble être un appareil non émis par une entreprise, utilisé pour synchroniser la boîte aux lettres d’un utilisateur.
Il existe également des outils de surveillance logicielle pour capturer l’activité d’un utilisateur même si un navigateur est utilisé pour accéder à un environnement d’IA. Pour être totalement transparent, assurez-vous d’informer vos employés que vous surveillez peut-être leur activité. Certains États exigent même que cet avis soit donné aux employés de manière très visible.
Derniers motsAdopter l’IA sans réserve est tentant. Mais allez-y doucement et soyez prudent. Attendez-vous à un comportement malveillant et ayez un plan pour y faire face !
Sharon D. Nelson (snelson@senseient.com) est avocate en exercice et présidente de Sensei Enterprises, Inc. Elle est une ancienne présidente du Virginia State Bar, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA.
John W. Simek (jsimek@senseient.com) est vice-président de Sensei Enterprises, Inc. Il est un professionnel certifié en sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert de renommée nationale dans le domaine de la criminalistique numérique. . Lui et Sharon fournissent des services de technologie juridique, de cybersécurité et d’investigation numérique depuis leur cabinet de Fairfax, en Virginie.
Michael C. Maschke (mmaschke@senseient.com) est le PDG/directeur de la cybersécurité et de la criminalistique numérique de Sensei Enterprises, Inc. Il est un examinateur certifié EnCase, un examinateur informatique certifié (CCE #744), un hacker éthique certifié et un examinateur certifié AccessData. Il est également un professionnel certifié en sécurité des systèmes d’information.
