L'utilisation de l'IA ne devrait pas nous empêcher de réfléchir.
Nous sommes tous d'accord pour dire que « nous devons utiliser notre cerveau » et discerner quand l'IA est appropriée et quand elle ne l'est pas. Cependant, il y a ici une question plus subtile qui entre en jeu.
Nous avons tendance à suspendre notre jugement lorsque nous sommes confrontés aux capacités de l'IA.
Et... les fournisseurs le savent bien, et ne communiquent souvent que les points forts de leurs produits d'IA, sans évoquer leurs inconvénients.
Résultat : les gens ont des attentes irréalistes que l'IA ne peut pas satisfaire. Ils achètent un outil en pensant qu'il résoudra tous leurs problèmes et finissent par être déçus.
Comme le souligne le blog Eight2Late, les fournisseurs devraient se concentrer sur :
- Ne pas exagérer les capacités de l'IA
- Être transparent sur les limites des produits
- Montrer aux clients comment interagir de manière significative avec l'IA (compléter, ne pas remplacer)
Cela est particulièrement pertinent dans le domaine de la sécurité de l'information et de la préparation à la norme ISO 27001. Au cours de l'année écoulée, j'ai vu de nombreux outils d'IA promettant la « conformité à la norme ».
Ceux qui connaissent bien la norme ISO 27001 savent que l'IA peut aider, mais aucun outil ne peut garantir la conformité, en particulier lorsque des actions humaines sont nécessaires : réalisation de plans d'action, revues de direction, etc.
Je comprends l'envie de « survendre » ses capacités. La concurrence et l'enthousiasme suscité par l'offre d'une nouvelle solution peuvent être à l'origine de cela.
Mais au final, c'est une stratégie perdante, car les promesses non tenues entraînent la déception des clients.
De plus, dans des domaines cruciaux tels que la sécurité de l'information, il est essentiel d'être transparent quant aux limites des produits. Il peut être utile de documenter ces limites sur les pages produits et dans le produit lui-même. Il est également essentiel de fournir aux utilisateurs des conseils sur les domaines dans lesquels ils doivent « continuer à faire preuve de bon sens ».
En bref, nous sommes encore en train de déterminer le rôle de l'IA dans notre vie professionnelle. Le marketing a souvent tendance à exagérer ce rôle, ce qui n'est pas toujours bénéfique pour l'acheteur.
En matière de sécurité de l'information, voici ce que je recherche désormais, à la fois en tant qu'acheteur et fabricant :
- Transparence concernant les limites de l'IA
- Domaines dans lesquels l'IA n'est pas fiable (susceptible de produire des informations erronées)
- Encourager l'engagement critique, et non la confiance aveugle
- Recommandations pour des sources de connaissances supplémentaires au-delà de l'IA, telles que des cours dispensés par des experts
- Éviter le battage médiatique ; l'IA n'est qu'un outil, pas une entité pensante.
- Mettre en évidence les dangers et les risques associés à l'utilisation du système d'IA
Ces mesures peuvent rendre l'utilisation de l'IA plus éthique dans le domaine de la sécurité.
Vous vous posez peut-être la question.
Comment ISMS Copilot s'inscrit-il dans cette vision ?
Le copilote ISMS a été conçu dans le respect de ces principes. Il garantit que l'IA constitue un outil précieux sans pour autant éclipser l'expertise humaine.
- Transparence sur les limites : ISMS Copilot indique clairement ce qu'il peut et ne peut pas faire. Il aide à la documentation, fournit des conseils et rationalise les processus, mais ne remplace pas le jugement et la prise de décision humains.
- Encourager l'engagement critique : Copilot encourage les utilisateurs à adopter une approche critique vis-à-vis des informations qu'il fournit. Nous avons clairement indiqué dans l'interface utilisateur que l'assistant peut commettre des erreurs. Nous avons également publié une série de ressources permettant de repérer les erreurs courantes commises lors du processus de mise en œuvre de la norme ISO 27001. Nous pensons que ces efforts pédagogiques soulignent l'importance de la supervision et de la validation humaines.
- Sources de connaissances complémentaires : Copilot recommande souvent des ressources supplémentaires telles que des cours dispensés par des experts ou la documentation officielle ISO, afin de garantir aux utilisateurs une compréhension approfondie de la norme ISO 27001. Il reconnaît que l'IA est un outil permettant d'enrichir l'expertise humaine, et non une solution autonome.
- Éviter le battage médiatique : ISMS Copilot évite de se présenter comme une solution miracle (c'est exactement ce que nous faisons actuellement, mais nous l'avons également fait ici). Nous insistons sur le fait qu'ISMS Copilot n'est qu'un assistant qui traite les données et fournit des conseils structurés basés sur des modèles entraînés. Les utilisateurs restent les décideurs, ils sont propriétaires de leur ISMS.
- Mise en évidence des dangers : nous sommes transparents quant aux risques potentiels liés à l'utilisation de l'IA. Nous invitons nos utilisateurs à suivre les principes d'interaction sécurisée avec les systèmes d'IA. Nous disposons également d'un centre de confiance pour aider nos clients à comprendre les risques liés à l'utilisation de l'ISMS Copilot.
En adhérant à ces principes, ISMS Copilot s'aligne sur une approche plus éthique et réaliste de l'IA dans le domaine de la sécurité de l'information. Il aide les utilisateurs à naviguer dans les complexités de la conformité à la norme ISO 27001 tout en leur permettant de garder le contrôle et de prendre des décisions éclairées en s'appuyant à la fois sur l'aide de l'IA et sur leur expertise.
Nous espérons que vous apprécierez cette clarification.