Shadow AI dans les collectivités : l’usage caché de ChatGPT inquiète les experts
Par Etienne Delouvrier, COO d’Avanoo
Un chiffre alarmant a émergé en avril dernier : dans une enquête menée auprès de 2 000 agents publics de neuf administrations, plus de la moitié a déclaré utiliser ChatGPT ou un outil similaire dans l’exercice de leurs fonctions, sans cadre ni supervision. De plus, 80 % des répondants souhaitent intensifier cet usage. Ce phénomène n’est pas anodin, mais témoigne d’un mouvement de fond dans la fonction publique.
Les agents publics, loin de commettre une faute professionnelle, adaptent leurs pratiques aux attentes de la population. Que ce soit pour reformuler des documents, traduire des courriers ou élaborer des projets, ils développent des usages que la doctrine institutionnelle n’a pas encore formalisés. Le défi réside dans l’écart entre cet enthousiasme et les risques cybernétiques auxquels les collectivités font face.
Les données de l’ANSSI révèlent que les ministères et collectivités territoriales représentent 24 % des incidents cyber traités, devenant ainsi le deuxième secteur le plus ciblé en France. En 2023, 144 communes ont subi des cyberattaques, dont 25 par ransomware. Les conséquences financières sont significatives : 1 million d’euros pour Lille, 230 000 euros pour Mitry-Mory, et 58 000 euros pour Villers-Saint-Paul. La ville de Gravelines a même vu ses services totalement paralysés.
Le phénomène de Shadow AI, qui désigne l’utilisation d’outils d’intelligence artificielle générative sans gouvernance adéquate, aggrave cette situation. Des données sensibles, telles que des fichiers RH ou des comptes rendus, transitent par des serveurs hors de l’Union européenne, posant des questions de sécurité majeures.
Cependant, il est crucial de noter que cette situation n’est pas imputable aux collectivités. Avec une moyenne de 8 000 habitants par commune, beaucoup n’ont qu’un DSI à temps partagé, voire aucun. Les élus, souvent peu formés, peinent à naviguer entre les différentes options technologiques. Pendant ce temps, l’État déploie des solutions d’IA pour ses agents, mais l’accès pour les collectivités reste limité.
Malgré ces défis, des initiatives positives émergent. Vingt-quatre collectivités ont lancé des concertations sur l’IA, et certaines régions, comme les Hauts-de-France et l’Occitanie, mettent en place des architectures de cybersécurité reconnues par la Cour des comptes.
Une réponse technologique française commence également à se dessiner, visant à encadrer l’usage des IA génératives tout en protégeant les données sensibles. Cette démarche pourrait répondre aux besoins des collectivités sans nécessiter des investissements colossaux.
En conclusion, le Shadow AI n’est pas le signe d’une fonction publique dépassée, mais plutôt d’une avance sur sa propre gouvernance. Les acteurs français de la cybersécurité doivent agir rapidement pour combler cet écart.
Source : Le Jour Guinée
