Le paradoxe de la sécurité
Intelligence humaine - l'IA pour les Ressources Humaines #19
Nous sommes Maxime Le Bras, Responsable du Recrutement d’Alan, et Charles Gorintin, Cofondateur et CTO d’Alan, pour vous donner de la tech et du RH. Ceci est une newsletter portant sur l’utilisation de l’Intelligence Artificielle (IA) par les spécialistes des ressources humaines. C’est promis, elle n’est pas générée par ChatGPT.
Vos employés utilisent déjà l'IA. La question n'est pas de savoir s'ils le font, mais comment : avec les outils sécurisés que vous leur fournissez, ou avec ChatGPT sur leur téléphone personnel pendant la pause café ?
Le piège de la prohibition
C'est le paradoxe fondamental de la sécurité en entreprise : vouloir trop protéger crée précisément le danger qu'on cherche à éviter. Comme ces banques qui interdisent l'accès à certains sites web, poussant leurs employés à utiliser leurs appareils personnels non sécurisés.
Ne pas proposer d'IA officielle, c'est garantir l'émergence d'une shadow IA (par analogie au shadow IT) - cet ensemble d'outils non validés, non contrôlés, où vos données confidentielles se baladent allègrement. La prohibition ne protège pas ; elle expose.
La tentation de la voiture en boîte à savon
Face à ce constat, certains optent pour l'autre extrême : proposer une IA tellement bridée qu'elle en devient inutile. C'est l'équivalent numérique de ces premières voitures limitées à 20 km/h "pour la sécurité". Résultat ? Des caisses à savon sur roues qui explosent au premier virage en descente.
Trop limiter l'IA sous prétexte de sécurité, c'est la rendre si peu performante que vos équipes retourneront... vers leurs outils personnels. Le cercle vicieux continue.
L'équilibre par la transparence
La solution émerge d'un paradoxe apparent : c'est en rendant l'IA puissante ET transparente qu'on la sécurise vraiment. Quand vous savez ce que fait l'IA, quand vous pouvez tracer ses actions, quand vous comprenez ses limites, vous pouvez la déployer en confiance.
Cette transparence transforme aussi la détection des abus.
L'IA devient elle-même gardienne : capable de repérer quand un employé tente soudainement de télécharger toute la documentation d'entreprise, ou quand des patterns d'usage anormaux émergent.
Le ciment encore frais
Mais soyons honnêtes : nous construisons l'avion en vol. Les questions fondamentales restent ouvertes :
Quels droits pour les agents IA ? Un agent peut-il engager l'entreprise ? Avoir accès aux mêmes données qu'un employé ? Faire les mêmes actions dans les interfaces ?
Quelle gouvernance ? Comment arbitrer entre innovation et protection ?
Le ciment n'est pas sec. Les réponses évoluent chaque jour. C'est précisément pourquoi il faut agir maintenant - non pas en attendant la solution parfaite, mais en construisant des systèmes évolutifs, transparents, puissants mais contrôlés.
Trois questions pour un expert
— Pouvez-vous vous présenter brièvement ?
Après une carrière dans l’industrie du développement logiciel pour les applications critiques, j’ai rejoint Alan au sortir du premier confinement COVID en tant que premier RSSI (Responsable de la Sécurité des Systèmes d’Informations). Depuis j’ai pu étoffer mon équipe, développer la fonction Sécurité et accompagner Alan dans sa montée en maturité. J’ai assisté à l’arrivée massive de l’IA dans tous les secteurs de notre activité : les usages internes (dans les processus RH tels que le recrutement et les entretiens de performance, la conformité, la recherche documentaire, la préparation de documents), les usages métier (traitement de documents, gestion de remboursements, support client, assistant en santé), et aussi les potentiels usages liés à la sécurité – aussi bien du côté de la menace que du côté de la défense.
Même s’il faut veiller à ne pas verser dans l’illusion que l’IA est une panacée, il est clair aujourd’hui qu’elle rencontre de nombreux cas d’usage pertinents et permet d’optimiser des tâches qui jusqu’ici restaient très laborieuses. Comme tous les outils, elle rend de grands services quand on l’applique aux bons problèmes.
— Quelles mesures de sécurité spécifiques sont prioritaires pour protéger les données des employés lors de l'utilisation de solutions RH basées sur l'IA ?
Il faut d’abord garder en tête que la plupart des outils basés sur l’IA sont d’abord des services Cloud, et qu’ils posent les mêmes questions, et appellent les mêmes mesures, que n’importe quel autre fournisseur. Pour maîtriser les risques liés à ces outils, il faut d’abord savoir quelle donnée est concernée, à qui on la partage, où et comment elle va être traitée, où et comment elle va être conservée, et ce tout au long de la chaîne de sous-traitance.
Pour les outils d’IA ces questions se posent de manière d’autant plus prégnante que les outils exigent d’ingérer une grande masse de données pour pouvoir fonctionner, et que les modèles sous-jacents sont la plupart du temps fournis par des fournisseurs ultérieurs qui vont eux aussi devoir y avoir accès : derrière le fournisseur de services basés sur l’IA, il y a un intégrateur de modèles, qui lui-même va utiliser un hébergeur de modèles, et encore plus loin les entités qui ont développé et entraîné le modèle. Le niveau de propagation des données dans les couches de sous-traitance est beaucoup plus important. La transparence de la chaîne d’approvisionnement est donc essentielle dans le cas de l’IA : par exemple, même si un fournisseur de service est hébergé en Europe, cela ne veut pas dire pour autant que les modèles qu’il utilise le sont. On ne peut pas le traiter comme une boîte noire, il faut aller regarder ce qui se passe à l’intérieur.
Les outils d’IA doivent aussi répondre aux exigences habituelles en matière de protection des données personnelles, notamment les obligations de transparence à l’égard des personnes concernées (droit d’être informé de la nature et des modalités de traitement des informations) et d’inscription dans une finalité légitime : une donnée personnelle ne peut être collectée que pour une finalité claire et bien définie, et ne peut pas être réutilisée à d’autres fins.
Le RGPD encadre aussi de façon stricte le profilage (l’évaluation des individus, la prédiction de leur comportement) et la prise de décision automatisés, et pose en principe le droit de faire appel à une intervention humaine, notamment pour éviter les risques de discrimination. Les outils d’IA y sont particulièrement sensibles, car leurs biais dépendent étroitement de la façon dont les modèles sous-jacents ont été entraînée, qui demeure le plus souvent très opaque et hors du contrôle des utilisateurs finaux.
— Quels sont selon vous les défis de sécurité émergents que les entreprises n'ont peut-être pas encore anticipés, et comment vous préparez-vous à y faire face ?
Jusqu’à présent les principaux usages de l’IA générative (synthèse, rédaction, recherche) ont été concentrés sur des contenus destinés en fin de compte à être lus par un humain. Une tendance actuelle, en tous cas dans les secteurs technologiques, consiste maintenant à les mettre à profit soit pour écrire du code (c’est-à-dire des programmes qui vont traiter les données de l’entreprise, et potentiellement les modifier), soit directement pour agir sur les systèmes d’information (via des “agents” qui connectent les modèles linguistiques aux applications) et leur permettent non seulement de décrire une action à effectuer, mais aussi de la déclencher directement de façon totalement automatisée.
Le vibe coding (faire écrire du code par des équipes métier qui n’ont pas d’expertise d’ingénierie) peut sembler une bonne idée, dans la mesure où cela raccourcit le chemin et le coût qui sépare une idée d’un prototype. Il pose néanmoins la question des risques associés : le code fait-il vraiment ce qu’on en attend ? Introduit-il des fonctions non souhaitées, c’est-à-dire des vulnérabilités ? Est-il inscrit dans une architecture cohérente qui va pouvoir fonctionner de manière fiable et robuste sur le long terme ? C’est un outil intéressant de maquettage et de prototypage, mais le jetable est-il toujours l’option la plus intéressante ?
Les IA agentiques, elles aussi, permettent de s’affranchir du facteur humain dans certains processus, par exemple la gestion d’une demande au support clients. Plutôt que d’avoir un humain qui suit une procédure et effectue une manipulation dans une application, l’IA peut directement se connecter à l’application et satisfaire sans délai la demande du client. Mais on doit alors se poser à l’égard de l’IA les mêmes questions difficiles qu’on se poserait au sujet d’un agent humain : est-elle digne de confiance ? Est-elle loyale ? Et qui endosse la responsabilité de ses actions ? Contrairement aux humains, les IA n’ont ni compas moral, ni bon sens, ni règles sociales. Il est donc nécessaire d’inventer d’autres moyens pour encadrer les pouvoirs qui leurs sont donnés . Il en va, en fin de compte, de la responsabilité portée par les entreprises qui décident de les mettre en action.
Dans le monde de l'IA ce mois-ci…
Ces derniers jours, nous avons trouvé intéressant :
La nouvelle version de Veo, le générateur de vidéo de Google (exemple ici).
Cette tribune claire de Sol Rashidi sur la nécessité de développer sa compréhension de ce que fait l’IA, et dépasser la hype et les peurs.
Cette slide, la meilleure pour résumer les cas pratiques l’IA x Recrutement?
👋 Rendez-vous dans un mois,
— Charles & Maxime
Toujours de très bonnes questions soulevées qui font réfléchir aux règles à cadrer lorsque l’on est pro IA et pro sécurité. Merci 🤩