Itdaily - Erik Prusch, PDG d’ISACA : « Nous n’avons pas de bouton d’arrêt pour l’IA »

Erik Prusch, PDG d’ISACA : « Nous n’avons pas de bouton d’arrêt pour l’IA »

Erik Prusch, PDG d’ISACA : « Nous n’avons pas de bouton d’arrêt pour l’IA »

Le PDG d’ISACA, Erik Prusch, se montre particulièrement franc sur le revers de l’explosion de l’IA : la plupart des organisations ne savent même pas comment désactiver leur IA en cas de problème. Lors d’un entretien avec ITdaily, il dépeint un monde où les risques croissent plus vite que les contrôles, et où les gouvernements se contentent principalement d’observer.

ISACA est par essence une organisation professionnelle de membres qui développe des certifications, des cadres de référence et des ressources pour les professionnels de l’audit informatique, de la cybersécurité, de la gestion des risques, de la gouvernance et de la protection de la vie privée. L’IA est le facteur de liaison entre tous ces domaines.

Selon le PDG Erik Prusch, c’est précisément cette influence croissante qui justifie le besoin d’une gouvernance, d’une surveillance et de contrôles plus stricts à un moment où presque tout le monde a le pied sur l’accélérateur.

C’est dangereux

D’énormes capitaux affluent vers l’IA, et toute l’attention se porte sur la productivité. Bien moins d’énergie est consacrée aux cadres de référence, ainsi qu’à la détection et à l’identification des risques en cours de route. « Aux États-Unis, c’est zero bridled, c’est presque encouragé, un free for all, aussi loin que l’argent le permet », résume Prusch à propos de la situation américaine. Il n’y a pratiquement aucune limite, et selon lui, nous testons donc collectivement en ce moment même où se situe la limite de cette croissance.

Prusch cite des acteurs comme Anthropic et les modèles les plus avancés qu’ils mettent aujourd’hui à la disposition du public pour illustrer le rythme actuel. « Chaque nouveau bond de capacité souligne la question de savoir si autant d’argent est investi dans la protection que dans la recherche de rendement. »

Son jugement est inhabituellement direct pour un PDG. « C’est dangereux », répète-t-il. « Je suis enthousiasmé par la croissance et par les opportunités pour nos membres, mais je crains qu’en tant que pays, nous n’ayons pas un contrôle suffisant sur ce qui est injecté actuellement dans ces systèmes. »

Le bouton d’arrêt que personne ne connaît

Le signal le plus concret de cette perte de contrôle provient de la propre enquête d’ISACA auprès de ses membres. Lorsque l’organisation a demandé combien d’entreprises étaient prêtes à désactiver leur IA, il s’est avéré que seulement 10 % disposaient d’un processus documenté et régulièrement testé. Un chiffre que Prusch qualifie de purement et simplement dangereux.

Il remonte à l’époque des mainframes pour illustrer son propos. Autrefois, quand quelque chose tournait vraiment mal, il suffisait de débrancher la prise. Ce n’était pas la solution la plus élégante, admet-il, mais cela fonctionnait.

Il ne suffit plus de savoir à quel point l’IA est ancrée dans votre propre entreprise. Vous devez également connaître toutes les ramifications et toutes les connexions qui entrent dans l’organisation.

Erik Prusch, PDG d’ISACA

« Ce frein d’urgence a aujourd’hui disparu. Il ne suffit plus de savoir à quel point l’IA est ancrée dans votre propre entreprise. Vous devez également connaître toutes les ramifications et toutes les connexions qui entrent dans l’organisation, et savoir exactement où elles arrivent. Il n’y a pas de bouton d’arrêt, pas plus qu’il n’y a de plan pour démêler le problème s’il survient. »

Auditer l’IA reste un défi

Prusch touche ici à ce qui est peut-être l’essentiel : les organisations ont besoin de plus de visibilité et de contrôle sur les systèmes d’IA pour gérer efficacement les risques. « Si vous ne pouvez pas soumettre un système d’IA à un audit et dire avec certitude ce qui y entre, ce qui entraîne les modèles et ce qui en sort, alors le risque s’accumule inévitablement. À terme, un risque mal maîtrisé freine précisément cette croissance dont tout le monde est si avide. »

C’est là que réside l’argumentaire de l’organisation : selon Prusch, le contrôle n’est pas un frein, mais une condition de la croissance. Il souligne les 55 ans d’histoire d’ISACA et un principe qu’il a retenu de ses années dans le logiciel. Il y a trente ans, on intégrait la sécurité et les pratiques d’audit après coup, ce qui ralentissait tout.

La leçon : vous devez intégrer ces contrôles dans le code lui-même. Ce qui est gênant, c’est qu’aujourd’hui, le code est écrit quotidiennement et en grande partie sans contrôle, par l’IA. « C’est précisément pour cela que la fonction d’audit doit être impliquée tôt et souvent dans les projets d’IA, au lieu d’intervenir après coup. »

Une seule économie, quinze normes

Prusch est un fervent partisan de l’harmonisation des normes, et son argument est la chaîne d’approvisionnement. Selon lui, peu importe qu’une entreprise soit basée en Europe si la chaîne d’approvisionnement vient d’Asie, ou inversement. « C’est une économie mondiale unique, et tout le monde s’influence mutuellement. Avoir quinze normes différentes n’aide personne. Le gain réside dans le fait de se rapprocher le plus possible d’une norme unique. »

Ce qui le frappe, c’est le silence de nombreux gouvernements. Selon Prusch, ils ne savent tout simplement pas encore quoi faire, et certains espèrent secrètement que les créateurs des grands modèles de langage résoudront le problème pour eux. « La partie qui développe la technologie et en tire profit n’instaurera pas d’elle-même tous les freins et toutes les limites. Pour cela, il estime que des organisations indépendantes et à but non lucratif, n’ayant qu’un seul moteur, sont nécessaires. »

Regarder vers l’avenir sans frein d’urgence

Le point le plus honnête de cet entretien est que Prusch ne prétend pas avoir de solution au problème du bouton d’arrêt. « Notre réponse n’est pas de faire marche arrière, car c’est impossible, mais d’y faire face. Nous voulons surveiller en amont de la chaîne, auditer là où c’est possible, et préparer les professionnels qui poseront les bonnes questions. C’est de la prévention, faute de frein d’urgence. »

Qui trace la ligne ? Et où se trouve le bouton en cas de problème ?

Erik Prusch, PDG d’ISACA

Pour les organisations européennes, la question embarrassante que pose Prusch lui-même reste donc posée : qui trace la ligne, et où se trouve le bouton en cas de problème ? Pour l’instant, reconnaît-il, personne n’a de réponse. Le fait qu’une organisation ayant un intérêt commercial dans une réglementation accrue le formule de manière aussi tranchée ne rend pas la question moins urgente. Bien au contraire.