Depuis le développement de Chat-GPT (OpenAI) et de ses concurrents (Copilot de Microsoft ou le Chat MistralAI par exemple), l’IA générative (IAG) dédiée au grand public se glisse dans vos smartphones et ordinateurs et dans ceux de vos collaborateurs. De quoi s’agit-il ? “L’IA générative est un sous-ensemble de l’intelligence artificielle, axé sur la création de modèles qui sont entraînés à générer du contenu (texte, images, vidéos, etc.) à partir d’un corpus spécifique de données d’entraînement”, selon le guide Anssi (agence nationale de la sécurité des systèmes d’information) Recommandations de sécurité pour un système d’IA générative, publié en 2024. Assistant personnel, automatisation de la création de contenu, réponse à des demandes de clients et personnalisation des communications … Les usages liés à l’IAG permettent de gagner du temps mais créent de nouveaux risques. Globalement, l’Anssi craint que l’IA générative rende possible des attaques à grande échelle et à moindre coût !
• Fuite de données : “Un sujet très important”, selon Dominique Périer, chargé des grands projets de la mandature du Cnoec et vice-président de la Commission numérique. Les échanges avec les IA génératives publiques peuvent enfreindre les règles de conformité et de confidentialité de la profession d’expert-comptable.
Ces interactions peuvent porter atteinte au respect du règlement général sur la protection des données (RGPD). “Une IA générative comme Chat-GPT peut s’avérer dangereuse pour les données personnelles. Il faut donc absolument éviter de saisir des noms de clients dans les requêtes”, martèle Céline Fernandes, expert-comptable stagiaire, qui rédige son mémoire sur la mise en place de l’IA générative dans les cabinets d’expertise comptable. L’anonymisation des données est la règle.
La fuite de données peut également aboutir à la violation du secret professionnel des experts-comptables. “L’injection de données dans une IA générative alimente le système dans son ensemble. Dans le cas d’un cabinet d’expertise comptable, le risque de violation du secret professionnel représente un enjeu considérable. Concrètement, il faut donc enlever des prompts toutes les mentions relevant du secret professionnel”, glisse François Millo, président du think-tank La Centrale 45-2, créé par Cegid.
• Réponses fausses ou erronées : “Un outil basé sur l’IA générative est susceptible de donner des réponses obtenues par hallucinations. Il faut donc vérifier les réponses avant de les valider”, indique Céline Fernandes. François Millo encourage les experts-comptables et leurs collaborateurs à faire preuve de discernement et à exercer leur esprit critique : “la profession comptable a un avantage énorme, c’est sa règlementation et notamment l’article 12 de l’ordonnance de 1945 qui indique que les experts-comptables assument la responsabilité de leurs travaux et activités”. Le recours à l’IA générative ne les en dispense pas.
• Deepfake & cyber attaque : “Les cabinets d’expertise comptable peuvent être victimes de fausses vidéos (fraude au président) ou d’images de faux virements ! Attention, il devient de plus en plus difficile de distinguer les vrais documents des faux, c’est pourquoi il est nécessaire de mettre en place des process de double, voire triple vérification, par différents canaux”, explique Sanaa Moussaïd, expert-comptable et Cac, dirigeante de World of Numeric & Crypto Accounting. Au-delà des deepfake (vidéo ou enregistrement audio réaliste qui stimule l’apparence ou la voix d’une personne réelle), les systèmes d’IA génératives présentent des vulnérabilités comme tout autre système d’information et peuvent faire l’objet d’attaques spécifiques. Ils fournissent de nouvelles opportunités aux cyberattaquants, en termes d’automatisation des attaques, de personnalisation et de mutation de la menace, selon l’Anssi.
• Problèmes managériaux : le «shadow IA» ou l’utilisation de solutions d’IAG grand public sans l’approbation ou la supervision des services informatiques et des directions peut semer le trouble au sein des organisations. “La mise à disposition d’outils très puissants entre les mains de collaborateurs qui n’ont pas les compétences suffisantes et nécessaires à leurs usages interpellent, c’est pourquoi nous devons les former, au prompt – car pour obtenir une réponse de qualité, la question doit être bien posée – et les sensibiliser également à l’évaluation des réponses”, commente Dominique Périer. L’Anssi pointe un risque de dépendance excessive à l’automatisation. François Millo évoque “un risque de perte de connaissances, consécutive à une certaine paresse intellectuelle”. Le recours «dissimulé» à Chat-GPT pourrait créer un décalage entre les dirigeants et leurs équipes. La pratique questionne…
