L’IA fantôme, bête noire des entreprises au Canada

Ce sont les résultats d’une étude menée par IBM et le Ponemon Institute, centre de recherche en cybersécurité basé aux États-Unis, qui le montrent. Menée auprès de 600 entreprises, l’enquête assure que pour la première fois en cinq ans, dans la plupart des pays, les sociétés ont un peu moins dépensé l’an dernier dans la cybersécurité (6,6 millions de dollars entre mars 2024 et février 2025 vs 6,4 un an plus tôt). À l’inverse, au Canada, ces sommes auraient grimpé de 10,4 % pour atteindre près de 7 millions de dollars, tout comme aux États-Unis, au Benelux, en Inde et en Asie du sud-est, mais dans une moindre mesure. « Cette augmentation des coûts liés aux violations et la multiplication des menaces poussent les organisations à investir davantage dans les mesures de sécurité, en particulier lorsqu’elles adoptent des technologies émergentes telles que l’IA et le cloud computing », détaille Daina Proctor, Daina Proctor, cheffe des services de sécurité pour IBM Canada. 

Main d’œuvre bon marché

« Cela dépeint surtout un manque de main d’œuvre qualifiée et de ressources en code, rétorque Steve Waterhouse, consultant et conférencier en cybersécurité à Montréal. Les entreprises ont jusqu’à présent souvent recours à une main d’œuvre bon marché en Inde ou au Maghreb, en principe qualifiée mais les employeurs ne le vérifient pas. C’est là où le bât blesse : en cas d’incident, cela se termine devant la justice ! » Mais tous les experts ne sont pas du même avis. « Les compagnies sont plus matures, observe à l’inverse Guillaume Clément, associé responsable des services de cyberdéfense au cabinet d’audit KPMG Canada, partenaire du forum INCYBERCanada à Montréal les 14 et 15 octobre prochains. Elles protègent mieux leurs sauvegardes de données et sont moins exposées. On n’est plus dans les années 2020 où les sociétés étaient complètement encryptées ou paralysées, parfois même mondialement. Il y a des cyberattaques de plus en plus sophistiquées mais les dommages sont moindres, ce qui diminue en vérité le coût. »  

Des employés avant-gardistes et innovants

Selon IBM, la particularité du Canada réside dans le fait que les travailleurs adoptent les outils d’IA plus rapidement que leurs employeurs. « Les organisations ont du mal à mettre en place une surveillance et une gestion adéquates à mesure que l’adoption de l’IA s’accélère, poursuit Mme Proctor, ce qui laisse des vulnérabilités qui nécessitent des mesures de cybersécurité plus strictes pour protéger les données sensibles. » D’après l’étude, les secteurs des soins de santé, des services financiers et du commerce de détail sont les plus vulnérables. « Les employés de ces secteurs utilisent souvent des outils d’IA pour améliorer les flux de travail », constate Mme Proctor. « Le Canada est une nation entrepreneuriale, reconnaît M. Clément. Les employés sont avant-gardistes et très innovants, ils veulent avancer et utilisent beaucoup d’outils à base d’IA mais ils sont de plus en plus sensibilisés aux risques. Il reste toutefois des efforts à faire dans la formation et l’encadrement. »                                                                           

Un point aveugle majeur

Dans de nombreux cas, en particulier au Canada, les hackers utilisent ces outils d’IA fantôme (ou Shadow AI) pour pénétrer au cœur des systèmes des sociétés. L’IA fantôme est un point aveugle majeur pour les organisations. « Selon notre étude, détaille Mme Proctor, 59 % des travailleurs canadiens utilisent des outils d’IA non autorisés à l’insu de leur employeur, ce qui crée des risques importants dont les organisations ne sont peut-être même pas conscientes. » Car ces logiciels non homologués traitent des données sensibles et interagissent avec des systèmes à la fois externes et internes à l’entreprise. « Les gens ne sont pas formés, regrette M. Waterhouse. Lorsqu’on crée de la donnée, il faut identifier sa sensibilité et mettre en place un protocole de protection de la transmission. Dans la vraie vie, M. et Mme Tout-le-monde confient aujourd’hui leurs données à n’importe quelle intelligence artificielle. » L’IA fantôme introduit aussi des risques de manquement à la conformité réglementaire, qui peuvent entraîner une atteinte à la réputation et, en fin de compte, une perte de marchés. 20 % des sociétés citées dans l’étude reconnaissent avoir subi une violation de données en raison d’outils d’IA fantôme. 

Des proies plus faciles

Ces IA peuvent servir à générer du texte, des photos ou vidéos, mais aussi à transformer des données en document ou à vérifier en quelques minutes qu’un élément est viable. Sans surprise, en tant que pays riche et développé, le Canada fait partie des pays le plus pris pour cible par les cyberpirates du monde entier. « Ici, le tissu économique est majoritairement composé de PME, précise M. Clément. Comme elles sont de taille plus modeste que les grands groupes, elles investissent moins dans la cybersécurité et sont des proies souvent plus faciles. On remarque qu’elles versent des rançons plus élevées qu’ailleurs dans le monde mais la couverture est très bonne ici et ce sont les assurances qui paient. » KPMG assure avoir mis en place depuis quelques années auprès de ses collaborateurs des règles très strictes et des restrictions technologiques sur l’utilisation des plateformes d’IA. Le cabinet a d’ailleurs développé AI Trust, son propre logiciel d’intelligence artificielle.