Alors que l’année 2024 sera placée sous le signe de l’intelligence artificielle, notre chroniqueuse Anne Doré souligne la convergence des sujets IA et cybersécurité pour les dirigeants, en particulier en matière d’adoption de nouveaux réflexes et compétences.
Alors que nombre d’organisations peinent à développer la cyber-résilience de leur organisation ou que certains dirigeants ne l’ont pas encore intégrée au sein de leur gouvernance, l’intelligence artificielle (IA) arrive et est prête à bousculer beaucoup de choses en termes d’organisation, de métier, de business model et de cybersécurité.
Il serait vain et impossible de tout aborder en une chronique. Pour autant, il est intéressant de noter que l’IA et la cybersécurité convergent quant au fait d’impacter de manière significative et similaire les conseils d’administration, les comités de direction et la gestion des compétences au sein des organisations.
La cybersécurité et l’IA sont deux domaines interconnectés qui évoluent rapidement et qui offrent des défis similaires pour les conseils d’administration et les comités de direction.
A lire aussi : [Chronique] Développer les compétences cyber de tous, pour aller au-delà de la sensibilisation
Le Comex, la cybersécurité et l’IA
L’IA, y compris dans sa version d’IA générative, et la cybersécurité offrent de nouvelles possibilités stratégiques et de nouveaux risques opérationnels et de réputation à gérer. Le conseil d’administration, le comité de direction ont un rôle à jouer dans la supervision de systèmes d’IA fiables pour aider à protéger l’entreprise tout en offrant de la valeur.
Une confusion règne encore dans les Conseils d’Administration et les COMEX quant aux impacts de l’IA sur les modèles d’affaires et d’organisation, voire quant à ses définitions. Il n’y a pas qu’une seule IA, même si le singulier s’est imposé. Les impacts sont en effet très différents selon les cas d’usage (ex. maintenance prédictive, reconnaissance d’images…). Les niveaux de complexité, comme les implications éthiques, diffèrent largement.
En parallèle, les Conseils d’Administration et les COMEX n’ont souvent pas encore appréhendé les enjeux de la cybersécurité ou de manière partielle sans en avoir compris la valeur ajoutée.
À ce stade, l’adoption rapide de l’IA met surtout en évidence des risques associés à la technologie et la nécessité d’avoir une gouvernance robuste.
Certes, les réglementations (NIS, DORA) et les meilleures pratiques se renforcent en termes de cybersécurité et celles en matière d’IA s’améliorent également rapidement dans le monde entier, mais il faut reconnaître que l’amélioration des unes et des autres est malgré tout plus lente que le rythme de développement de la technologie.
Les entreprises et leurs conseils d’administration devront donc gérer la pression accrue des régulateurs et des actionnaires pour mettre en place des cadres internes de gouvernance de l’IA et de la cybersécurité et de manière homogène et convergente.
Par ailleurs, il est essentiel de ne pas dissocier ces deux domaines car ils ont un dénominateur commun : la donnée ; dont l’intégrité, la véracité et l’intégrité sont l’objectif principal de la cybersécurité.
Mais pour ce faire, les membres du comité de direction et les conseils d’administration doivent monter en compétences sur ces deux thématiques en même temps.
Les compétences, l’IA et la cybersécurité
Alors que les entreprises peinent à développer les compétences cyber sur l’ensemble de leurs collaborateurs ou à recruter les compétences cyber requises, les besoins évoluent déjà à grande échelle en raison de l’arrivée de l’IA.
L’un des facteurs les plus importants, en particulier au cours des deux dernières années, est la prévalence croissante de l’IA et des outils d’automatisation. Ils entraînent notamment le changement de certains rôles en cybersécurité.
L’intelligence artificielle intégrée dans les solutions cybersécurité élimine en effet la nécessité pour un analyste de la sécurité d’avoir un certain ensemble de compétences comme des compétences de codage et de script puisque maintenant les interrogations peuvent se faire en langage naturel. Cela ouvre de nouvelles opportunités pour les profils dotés de compétences non techniques. L’IA appliquée aux fonctions de support peut avoir un impact similaire sur l’ensemble des métiers et des fonctions de l’organisation.
En parallèle, l’IA fait apparaître de nouveaux besoins : les professionnels de la cybersécurité qui possèdent des compétences en intelligence artificielle sont de plus en plus recherchés et les professionnels qui développent doivent impérativement développer des compétences en cybersécurité.
Lors du recrutement, les DRH, les CISO ou les dirigeants métiers auront donc un objectif commun : rechercher des personnes ayant une capacité et une volonté d’apprentissage forte. L’approche par les compétences prônée pour répondre aux manques de ressources dans la cybersécurité doit être mise en œuvre rapidement et servir de modèle pour les autres entités ou fonctions transverses de l’entreprise.
La collaboration que les DRH vont développer avec le CISO sur la gestion des compétences pourra être dupliquée à l’échelle de l’entreprise pour répondre aux défis RH à venir à moyen terme.
Il est par ailleurs intéressant de noter que ces deux domaines ont des compétences communes telles que la gouvernance et la gestion de la donnée, l’éthique, la résolution de problèmes complexes.
L’IA et la cybersécurité ont donc un impact profond et significatif sur la gestion des ressources humaines et le développement de nouvelles compétences communes et structurantes pour les organisations.
L’IA et la cybersécurité, facteurs de transformation organisationnelle
L’intégration de l’intelligence artificielle et la cybersécurité ont en commun de transformer en profondeur l’organisation, la gestion des RH et la stratégie des entreprises publiques ou privées.
Il est donc vital que les instances de direction les intègrent rapidement dans la gouvernance de leur organisation et que les membres de ses instances se forment. Ces derniers doivent être à même d’en maîtriser les différentes dimensions sans les limiter à de simples sujets technologiques. Ce sont des enjeux métier à gérer en tant que tels !