De nombreux CIO estimaient que le plus dur était passé : les PC sont enfin sous contrôle, le développement anarchique de l’internet a fait place à des politiques de sécurité, le tsunami du smartphone a été endigué grâce à des MDM et même le RGPD – en son temps le cauchemar de tout département IT – est désormais digéré. Mais voici que sont apparus les agents IA.
Vous vous demandez sans doute pourtant en parler au passé ? Ce n’est pas une faute de frappe : ils sont déjà présents. Peut-être pas encore officiellement dans votre entreprise ou votre organisation, mais dans vos équipes. Sans doute pas à grande échelle et ouvertement dans chaque bureau, mais plutôt tapis dans l’ombre et modestement. Mais ils sont bien là. Et ils sont exploités, avec les conséquences que cela implique.
À nos yeux, il ne s’agit rien moins que d’un retour de la ‘shadow IT’ : des collaborateurs qui, en dépit de la politique d’entreprise et sans le moindre frein technique, installaient leur propre logiciel pour être plus productifs ou plus efficaces. Ou qui estimaient qu’il s’agissait d’outils meilleurs, plus confortables ou plus conviviaux par rapport aux logiciels d’entreprise. Aujourd’hui, tout CIO connaît cette ‘shadow IT’ et cherche à la dompter. Certains en verrouillant davantage encore les laptops, d’autres en cartographiant plutôt cette ‘shadow IT’, en analysant son usage dans l’organisation et en l’encadrant le cas échéant.
Or dans le cas de la ‘shadow AI’, la situation est nettement plus complexe puisqu’il s’agit d’une menace insidieuse et bien plus difficile à détecter. Lorsqu’un employé installait un outil cloud, le CIO finissait bien par en voir la facture. Mais un agent IA ?Celui-ci tourne dans un navigateur ou est un service externe qui accède allègrement aux applications d’entreprise. Jusqu’à ce qu’un collaborateur se demande pourquoi tel client reçoit subitement un courriel bizarre. Et s’aperçoive que celui-ci a été envoyé par un agent IA, soit au nom de l’employé lui-même, soit de sa propre initiative. Un peu comme si vous découvriez un nouvel employé dans votre organisation. Un employé engagé par un collègue sans en informer la direction.
De tels agents IA ne sont plus désormais des outils relativement inoffensifs. Non, ils sont devenus des collaborateurs numériques autonomes qui peuvent associer ensemble des API, préparer des décisions, envoyer des courriels et démarrer des processus. Le tout sans intervention humaine. Voilà qui est certes pratique, mais il s’agit là de boîtes noires qui accèdent tant aux données qu’aux systèmes.
L’histoire de l’IT nous enseigne que chaque évolution finit par trouversa place.
C’est un peu retour à la case départ pour le CIO : alors qu’il pensait que le plus dur était passé, des agents IA le confrontent aux mêmes problèmes d’antan et à des défis qui prennent une nouvelle forme. Des plateformes externes qui dépendent d’algorithmes inconnus : qui est responsable en cas de faute ? Sans parler de la rapidité de l’évolution : avant que le département de sécurité ait procédé à une analyse des risques, la technologie aura fait un bond gigantesque en avant. La gouvernance classique est sur la touche.
Le CIO qui pensait que le cloud était sous contrôle et que le RGPD était bétonné dans les processus aura une impression de déjà-vu : l’histoire se répète. Le retour des bons vieux soucis :sécurité, conformité, vie privée, gestion des versions, authentification, etc.
Mais tout comme certains CIO y verront une opportunité de découvrir ce que les utilisateurs finaux veulent vraiment, cette ‘shadow IT’ est aussi une chance puisqu’en maîtrisant l’intégration des agents IA, l’organisation pourra non seulement mieux se protéger, mais prendre une longueur d’avance.
Quid alors d’une attitude défensive en interdisant tout ? L’histoire de l’IT nous enseigne que chaque évolution finit par trouver sa place. Le défi reste donc bien présent : mettre en place des cadres sans entraver l’innovation. Des environnements de bacs à sable, de l’authentification obligatoire, des politiques claires et surtout, former les collaborateurs à ce que les agents numériques peuvent et ne peuvent pas faire. Et une culture d’entreprise où les collaborateurs osent préciser en quoi de tels agents IA peuvent vraiment les aider dans leur travail. Au CIO de définir ensuite une politique en identifiant les possibilités tout en prévoyant des garde-fous pour la sécurité et les données de la vie privée. Mais celui qui pense qu’il suffit d’interdire purement et simplement de tels agents peut tout aussi bien couper l’électricité et en revenir à la machine à écrire.