Dans les allées du Forum InCyber, début avril, plusieurs dizaines d’entreprises présentaient des solutions dopées à l’intelligence artificielle. Une question de performance, d’abord, comme l’explique Sébastien Sivignon, CEO de Custocy. « Les solutions de network detection and response (NDR) sur le marché présentent des taux élevés de faux positifs. Nous avons construit un modèle d’intelligence artificielle afin de réduire ces faux positifs et faire ainsi perdre moins de temps aux ressources cyber en poste. »
Le dirigeant vante des algorithmes faits maison et regrette que beaucoup de start-up se contentent « d’acheter leurs modèles d’IA à d’autres fournisseurs cyber et de les intégrer à leurs solutions ». Une stratégie certes économique mais qui offre très peu de garanties sur le fonctionnement de ces outils ainsi bricolés. Or, « l’éthique est le corollaire à la performance du système d’intelligence artificielle, y compris financière », rappelle Magali Germond, co-fondatrice du cabinet de conseil GoodAlgo et spécialiste en éthique des systèmes d’intelligence artificielle (SIA).
L’éthique comme boussole de la performance
L’éthique ? Magali Germond et son associé en ont fait une méthodologie, que GoodAlgo applique à ses clients pour leur décerner un label – et ainsi valider leur démarche. « De l’idée du projet à son développement, puis au test, à la mise en production et à sa vie dans le temps, tout le cycle de développement du SIA doit être pensé selon des standards éthiques, avec l’évaluation de plusieurs items et des métriques. »
Cela permet d’abord de s’assurer que le système d’intelligence artificielle sera performant. « Un SIA est une combinaison de modèles algorithmiques, paramétrés de manière individuelle sur la base de théories scientifiques connues, en fonction de leur finalité d’utilisation », rappelle Magali Germond. Utiliser des modèles développés par d’autres pour un autre usage sans les reparamétrer est un dévoiement technologique.
Or beaucoup d’entreprises disent faire de l’IA sans disposer en interne des ressources nécessaire à un reparamétrage pourtant essentiel. Statisticiens, data scientists seniors, mathématiciens de haut niveau : faire de l’IA requiert des profils pointus. « Et ça coûte très cher, ce que la plupart des entreprises ne peuvent se permettre », souligne la co-fondatrice de GoodAlgo. Custocy en a pris son parti. « Sur 15 salariés, nous avons un tiers de doctorants ou docteurs, se réjouit Sébastien Sivignon. C’est une volonté stratégique. La croissance venant, on augmentera les ponts avec le monde de la recherche parce que nous voulons proposer une solution avec une vraie profondeur technologique. »
La transparence, contrainte nécessaire
Cette éthique de l’intelligence artificielle est aussi cruciale pour garantir leur transparence et donc leur explicabilité. Ce qui augmente leur pérennité. « Quand on ne comprend pas un outil, il crée de l’angoisse. Prenez la calculatrice : quand elle est arrivée, les gens en avaient peur parce qu’ils ne comprenaient pas comment les calculs s’effectuaient. Il faut pouvoir comprendre l’outil pour l’expliquer et en connaître les limites », souligne Magali Germond.
Une transparence qui peut rebuter certaines entreprises, peu habituées à l’exercice. « En étant transparents, on prend le risque que des concurrents puissent eux aussi comprendre ce que l’on fait et le reproduire », reconnaît Sébastien Sivignon. Ce qui n’a pas refroidi Custocy. « Il faut oser faire de l’IA explicable. Savoir pourquoi les IA ont caractérisé tel ou tel événement comme un incident de cybersécurité et pas tel autre, cela permet de l’utiliser comme une aide à la décision. Sans qu’il prenne la décision à la place de l’utilisateur. » De façon plus pragmatique, de nombreux grands groupes corrèlent un éventuel contrat à cette transparence.
Les plus réticents verront peut-être dans l’IA Act européen en préparation une motivation à prendre le sujet à bras le corps. « L’objectif est double. D’abord que les entreprises prennent conscience du niveau de risque de leurs SIA en les évaluant selon une pyramide des risques prédéfinie. Ensuite, qu’elles répondent à certaines exigences et obligations en adéquation avec le niveau de risques », analyse Magali Germond. Une façon pour les autorités de les obliger à une certaine responsabilité.
