«L’IA a beaucoup de potentiel pour améliorer les processus et les expériences des utilisateurs (étudiants, corps professoral, chercheurs, employés, etc.), mais il est important d’avoir des politiques en place pour en régir l’utilisation.» (Photo: Dom Fou pour Unsplash)
Par André Gerges, MAP, Mini-MBA, Ph.D. (ABD), analyste en sécurité de l’information (soutien à la recherche), direction des technologies de l’information (DTI), bureau du numérique en recherche (BNR), Université Laval, Québec (QC), Canada
COURRIER DES LECTEURS. Pour le personnel qui œuvre au sein de l’enseignement supérieur, l’intelligence artificielle (IA) générative est devenue un objectif clé, résultant en grande partie du dévoilement de ChatGPT en novembre 2022 et d’autres grands modèles de langage (LLM) similaires.
Ces outils ont le potentiel d’optimiser les processus dans tous les départements/secteurs et d’offrir de meilleures expériences d’apprentissage notamment aux étudiant(e)s et à d’autres utilisateurs.
Bien que son potentiel soit énorme, la technologie de l’IA demeure encore quelque peu brute, et il n’y a pas eu suffisamment de temps pour bien comprendre les implications de ces nouveaux outils en matière de sécurité, de fiabilité et de confidentialité. Cependant, il existe des considérations connues, et les universités et collèges devraient les examiner lorsqu’ils envisagent l’intégration de l’IA, et plus particulièrement des LLM, dans leurs processus opérationnels.
Risques de cybersécurité associés à l’IA et aux LLM
Certains problèmes inhérents à la sécurité ont été soulignés par des agences gouvernementales, des groupes de réflexion et des entreprises de cybersécurité. Le Centre Canadien pour la Cybersécurité (CCCS) souligne les graves failles des LLM, notamment:
- ils peuvent se tromper et « halluciner » des faits incorrects;
- ils peuvent être biaisés et sont souvent crédules (en répondant à des questions suggestives, par exemple);
- ils nécessitent d’énormes ressources de calcul et de vastes données pour s’entraîner à partir de zéro ;
- ils peuvent être poussés à créer un contenu toxique et sont sujets aux attaques par injection (SQL Injection).
Certains des risques de cybersécurité les plus importants en IA incluent:
- l’utilisation de l’IA générative pour créer des cyberattaques complexes et évolutives;
- l’utilisation de l’IA pour la diffusion automatisée de logiciels malveillants;
- la fuite de l’historique de chat privé des utilisateurs (cela s’est déjà produit avec ChatGPT);
- la manipulation et l’empoisonnement des données;
- l’usurpation d’identité;
- l’atteinte à la réputation par perte de données, les dysfonctionnements technologiques, le partage d’informations erronées, etc. ;
- les risques imprévus liés à l’utilisation de l’IA pour des choses telles que la prise de notes et la transcription de réunions ou d’appels téléphoniques.
Les outils de prise de notes de l’IA comme ceux fournis dans les principaux logiciels de téléconférence sont un exemple de la facilité avec laquelle elle peut être intégrée à nos routines quotidiennes sans penser aux conséquences, y compris l’endroit où l’information est stockée et qui peut y accéder. C’est pourquoi il est si important que les autorités responsables communiquent avec leur personnel au sujet des risques potentiels et des meilleures pratiques en la matière.
Comment réduire les risques des chatbots IA et de l’IA générative
Bien que cette technologie soit nouvelle et expérimentale, il existe des méthodes qui peuvent réduire les risques associés à son utilisation. Voici les recommandations les plus essentielles:
- éviter de partager des données institutionnelles sensibles et des renseignements personnels avec l’IA;
- se concentrer sur les sauvegardes immuables, les technologies de contrôle d’accès solides et le chiffrement pour s’assurer que les données ne sont pas divulguées ou empoisonnées;
- former le personnel à reconnaître les risques de l’IA, des LLM et de l’IA générative, et surveiller les problèmes;
- dialoguer avec des tiers pour surveiller/auditer leur utilisation de l’IA;
- construire une procédure solide de réponse aux incidents d’IA pour gérer les incidents et exercer ces procédures;
- tirer parti des outils d’IA pour aider à gérer la sécurité et la confidentialité, y compris la détection des menaces, la surveillance des utilisateurs, etc.;
- mettre en œuvre un contrôle d’accès supplémentaire pour les principaux utilisateurs de l’IA, en particulier ceux qui interagissent avec les données de l’institution et les systèmes autonomes;
- publier des politiques et des lignes directrices sur l’utilisation des outils d’IA à l’échelle de l’institution;
- construire des systèmes pour appliquer les directives d’utilisation dans son établissement ;
- documenter et partager publiquement l’utilisation des outils d’IA et tout incident qui découle d’un préjudice causé par l’IA.
Procéder avec prudence… et excitation
L’IA a beaucoup de potentiel pour améliorer les processus et les expériences des utilisateurs (étudiants, corps professoral, chercheurs, employés, etc.), mais il est important d’avoir des politiques en place pour régir l’utilisation de l’IA en utilisant les recommandations susmentionnées.