Vous ne devriez pas utiliser l'IA sans avoir vu cette vidéo.

L'utilisation de l'intelligence artificielle (IA) comporte des risques de sécurité importants, souvent méconnus des utilisateurs. Cette vidéo détaille cinq niveaux de sécurité pour une utilisation optimale de l'IA, couvrant la création d'une politique IA, la sécurisation des connexions d'outils, la protection des automatisations, la gestion de la dépendance stratégique et la sécurisation des applications et sites web créés avec l'IA. **Niveau 1 : Politique IA et Lutte contre le Shadow AI** Avant d'aborder les cinq niveaux, il est crucial de comprendre les risques liés au partage d'informations dans les conversations avec les IA (ChatGPT, Gemini, Claude, etc.). Selon l'abonnement, les données partagées peuvent être utilisées pour entraîner les modèles d'IA. Les abonnements gratuits ou individuels autorisent souvent cette utilisation par défaut, contrairement aux abonnements d'entreprise qui garantissent la non-utilisation des données pour l'entraînement. Pour contrer cela, il est possible de désactiver l'option "améliorer le modèle pour tous" dans les paramètres de confidentialité de chaque outil IA. En dehors de ces réglages, quatre solutions de bon sens existent : 1. **Anonymiser les données** avant de les partager. 2. Utiliser le **mode incognito** qui empêche la conservation et l'utilisation des données pour l'entraînement. Le premier niveau de sécurité consiste à créer une **politique IA interne**. Ce document cadre l'utilisation des outils IA au sein d'une entreprise et est essentiel pour plusieurs raisons : * **Lutter contre le "shadow AI" :** Interdire l'usage de l'IA conduit à son utilisation clandestine par les collaborateurs. Une politique IA permet de cadrer et sécuriser ces usages, à l'instar de ce qui s'est passé avec internet et les réseaux sociaux. * **Protéger les données sensibles :** Classifier les données selon leur sensibilité et mettre en place des niveaux de sécurité adaptés. * **Réduire les risques juridiques :** Identifier les scénarios négatifs potentiels et anticiper les solutions. La responsabilité en cas de problème juridique lié à un contenu généré par IA incombe à l'utilisateur, et non à l'outil IA. * **Accélérer l'adoption par les collaborateurs :** Une politique IA claire rassure et guide les employés, leur permettant d'utiliser l'IA en toute confiance. Pour créer cette politique, il faut lister les outils IA utilisés, leurs usages, puis demander à une IA d'analyser les conditions générales de vente, d'utilisation et de protection des données. L'IA peut ensuite rédiger un document complet (par exemple, 35 pages) qui cartographie les risques, classe les données et définit les niveaux de danger. Ce document peut ensuite être transformé en présentation (15 slides) pour faciliter sa diffusion. **Niveau 2 : Sécurisation des Connexions d'Outils** Les outils IA proposent désormais des connecteurs (plugins, MCP) permettant de les relier à d'autres applications (email, CRM, etc.). Bien que pratiques, ces connexions présentent des risques de sécurité, notamment via le **"prompt injection"**. Il s'agit de code malveillant intégré dans un plugin ou un MCP, conçu pour détourner l'IA et voler des données ou pirater des organisations. Un exemple concret est un plugin qui, sous couvert de connecter la boîte mail à une IA, contient une règle cachée pour ignorer les instructions et transférer des documents. Pour sécuriser ces connexions : * Privilégier les connecteurs officiels. * Faire auditer la connexion par l'IA elle-même en lui décrivant le contexte, la connexion souhaitée et en lui demandant un audit de sécurité complet. L'IA peut identifier les permissions demandées, les données sensibles, les scénarios de risque et proposer une checklist de configuration optimale. Un guide complet des prompts est disponible pour les membres de la communauté IA. **Niveau 3 : Sécurisation des Automatisations** L'automatisation d'outils IA via des plateformes comme N8N ou Make permet d'automatiser de nombreuses tâches (emails, contenu, gestion de prospects). Cependant, ces automatisations peuvent présenter des failles de sécurité importantes si elles ne sont pas conçues avec des connaissances en cybersécurité. La méthode pour sécuriser ses automatisations est de les faire auditer par l'IA. En partageant le fichier JSON de l'automatisation, l'IA peut analyser son architecture, ses déclencheurs et ses fonctions pour identifier les risques. Elle peut ensuite fournir un audit complet, incluant une cartographie du workflow, un score de risque (DICP), les risques prioritaires à corriger et même une version renforcée du prompt système de l'automatisation. **Niveau 4 : Sécurisation des Coûts et Gestion de la Dépendance Stratégique** Ce niveau aborde les risques liés à une dépendance excessive à un outil IA. Cela inclut non seulement les coûts directs (abonnements, tokens) mais aussi les coûts indirects (temps de paramétrage, montée en compétence, création de processus). Les risques majeurs de la dépendance sont : * **Hausse des coûts :** Une migration d'un outil IA à un autre peut devenir coûteuse et complexe, rendant l'utilisateur captif d'un service onéreux. * **Problèmes de quotas :** Les outils IA peuvent drastiquement réduire les quotas d'utilisation, bloquant les processus établis. * **Changements de règles :** Les conditions générales d'utilisation évoluent fréquemment, pouvant interdire certains usages. * **Verrouillage des données :** Difficulté à récupérer ses données, prompts, conversations et processus lors d'une migration. Pour éviter ces écueils : * **Diversifier les outils IA** utilisés. * Effectuer des **sauvegardes régulières des données** (exportation depuis les paramètres de l'outil IA). * Demander à une IA de réaliser un **audit de dépendance** en décrivant son utilisation d'un outil spécifique (ex: Claude Cowork) et en lui demandant d'identifier les risques liés à une hausse des coûts, une disparition de l'outil ou des changements de règles. L'audit peut fournir un verdict global, un score de dépendance, les risques prioritaires et un plan d'action sur 30 jours. **Niveau 5 : Sécurisation des Applications et Sites Web Créés avec l'IA** Avec les outils IA, il est désormais possible de créer rapidement des applications et des sites web sans être développeur ni expert en cybersécurité. Cependant, cela expose à des risques importants pour soi-même et pour ses clients. Il est crucial d'assurer la sécurité des applications et sites web selon le protocole **DICP (Disponibilité, Intégrité, Confidentialité, Preuve et Traçabilité)** : * **Disponibilité :** L'application doit être accessible 24/7. Des promesses de création rapide d'applications monnayables à prix élevé sans mentionner la disponibilité sont trompeuses. Il faut prévoir un plan d'action pour rétablir le service en cas de problème. * **Intégrité des données :** Les données utilisateurs doivent être stockées et traitées correctement pour éviter des résultats erronés et induire en erreur. * **Confidentialité :** Les données sensibles (clés API, informations clients, données bancaires, etc.) doivent être protégées. En cas de piratage, il y a une obligation légale d'informer les autorités (ex: CNIL) et de prouver que toutes les mesures ont été prises pour garantir la confidentialité. * **Preuve et Traçabilité :** Il doit être possible de récupérer et de produire l'intégralité des actions d'un utilisateur sur la plateforme. Ceci est crucial en cas de litige ou de drame impliquant un utilisateur. Pour sécuriser une application ou un site web créé avec l'IA, il faut demander à l'IA de réaliser un audit de sécurité DICP avant la publication. En lui fournissant l'application (souvent via son code source ou une description détaillée), l'IA peut auditer l'intégralité du code, la gestion des données et fournir des recommandations pour une sécurité optimale. En conclusion, cette vidéo souligne l'importance de la sensibilisation à la sécurité dans l'utilisation de l'IA. Elle propose des méthodes concrètes et souvent déléguées à l'IA elle-même pour sécuriser son utilisation, ses connexions, ses automatisations, sa dépendance et les créations numériques. L'objectif est de permettre à chacun de profiter des opportunités de l'IA en toute sécurité.