Éviter l'IA fantôme sur le campus

Éviter l'IA fantôme sur le campus

Dans l'enseignement supérieur, le sujet de l'intelligence artificielle suscite souvent de l'enthousiasme. Les étudiants, le personnel et les enseignants sont de plus en plus enthousiastes à propos des nouveaux outils, des capacités et des possibilités pour l'enseignement et la recherche. Cet enthousiasme peut amener les utilisateurs à vouloir essayer de nouveaux outils plus rapidement que le service informatique ne peut les évaluer — ou sans l'approbation de ce dernier.

Vous avez entendu parler de l'IT fantôme : des outils technologiques que les utilisateurs mettent en œuvre en dehors des canaux informatiques officiels. L'IA fantôme est similaire, englobant tous les outils d'IA que les enseignants, le personnel, les étudiants ou même les visiteurs du campus utilisent en dehors de la visibilité et du contrôle du service informatique central.

Dans la pratique, cela se manifeste de plusieurs manières. C'est un étudiant qui colle des détails sensibles d'un projet dans un chatbot public. C'est un chercheur qui déploie un outil d'IA basé sur le cloud avec des fonds de subvention et le connecte discrètement à des données institutionnelles. C'est un administrateur bien intentionné qui expérimente un outil gratuit promettant des gains de productivité sans réaliser ce qui arrive aux données en arrière-plan.

D'où vient l'IA fantôme ?

Nous avons tendance à voir l'IA fantôme émerger de deux manières. La première est dirigée par les étudiants. Les étudiants, étant des natifs numériques, utilisent naturellement des modèles de langage public. Ils recherchent des outils qui les aideront à accomplir leur travail plus rapidement et mieux. À moins qu'une université n'explique clairement ce qui est acceptable ou non à coller dans ces outils, de nombreux étudiants ne connaissent tout simplement pas les limites, notamment en ce qui concerne les informations protégées par la Family Educational Rights and Privacy Act ou d'autres données sensibles.

La deuxième source de l'IA fantôme provient des employés, y compris des enseignants, des chercheurs et des administrateurs. Les chercheurs seniors ont souvent leurs propres budgets et subventions, ainsi que la latitude de choisir les outils qu'ils souhaitent. Mais ils utilisent toujours les réseaux, les données et la propriété intellectuelle de l'université. Lorsqu'une personne dans cette position s'inscrit à un service d'IA basé sur le cloud et le connecte à des ensembles de données institutionnelles, elle n'informe pas toujours le service informatique. Parfois, elle demande au service informatique de soutenir ou d'intégrer ces outils après coup, lorsque ceux-ci sont déjà profondément intégrés dans un flux de travail.

Bien sûr, la plupart de ces comportements ne sont pas malveillants. Il y a toujours quelques personnes qui ignoreront la politique, mais la plupart des utilisations de l'IA fantôme proviennent d'un mélange de bonnes intentions, de commodité et de simple ignorance. Les politiques, lorsqu'elles existent, sont souvent de longs documents denses que les gens parcourent lors de formations obligatoires et n'y pensent plus jamais. Le résultat est un fossé entre les règles formelles et la réalité quotidienne.

Quels sont les risques de l'IA fantôme ?

Du point de vue de l'IA générative, la plus grande préoccupation est la fuite de données. Lorsque quelqu'un colle des dossiers d'étudiants, des informations de santé, des recherches propriétaires ou des données opérationnelles internes dans un outil d'IA, il peut exposer des informations personnellement identifiables, des données protégées par la FERPA ou des matériaux soumis à d'autres réglementations fédérales. Selon l'outil, ces données peuvent être conservées, utilisées pour former des modèles futurs ou traitées d'une manière incompatible avec les obligations ou les valeurs de l'institution. Une fois que les données sont diffusées, il est impossible de les récupérer.

Comprendre l'utilisation des données et la politique de confidentialité d'un outil est crucial. Ce fournisseur se réserve-t-il le droit d'utiliser vos requêtes et résultats pour former ses modèles ? Votre institution conserve-t-elle la propriété du contenu ? Combien de temps les données sont-elles stockées ? Pour de nombreux outils publics, tout ce que vous leur envoyez devient effectivement partie de leur écosystème. Cela peut convenir pour une requête de brainstorming occasionnelle, mais pas pour un ensemble de données lié à de véritables étudiants ou sujets de recherche.

Comment identifier et contrôler l'IA fantôme

Identifier l'IA fantôme nécessite de penser en termes de technologie et de culture.

Sur le plan technologique, la sécurité périmétrique traditionnelle, les journaux de pare-feu, les outils de prévention des pertes de données et le filtrage web peuvent tous jouer un rôle. Les équipes informatiques peuvent surveiller le trafic sortant vers des services d'IA connus, bloquer l'accès si nécessaire et mettre en place des contrôles qui limitent ce qui peut être envoyé en dehors du réseau. Les outils d'observabilité peuvent fournir des tableaux de bord montrant quels services d'IA sont utilisés, d'où et par qui. Cela ne résout pas le problème à lui seul, mais cela donne au service informatique une compréhension de base de l'ampleur du problème.

CDW collabore avec des partenaires en sécurité et en observabilité pour offrir des outils qui surveillent le trafic vers les applications d'IA, identifient les services d'IA utilisés et aident les équipes informatiques à comprendre où les données sensibles pourraient être à risque. Nous pouvons proposer des meilleures pratiques pour l'implémentation et les configurations logicielles afin d'aider votre équipe à prendre des décisions éclairées plutôt que de réagir à l'aveugle.

Culturellement, le service informatique doit être perçu comme un partenaire, pas seulement comme un agent d'application. Lorsque les enseignants et le personnel estiment que s'adresser au service informatique ne mènera qu'à un refus, ils chercheront une autre solution. L'équipe informatique doit être considérée comme un véritable collaborateur et source de conseils afin que les utilisateurs soient prêts à impliquer le personnel informatique dès le début de la conversation.

Une manière efficace d'encourager la conformité est de rendre les outils approuvés meilleurs que les non officiels. Si votre plateforme d'IA sanctionnée donne aux étudiants et aux enseignants accès à des connaissances institutionnelles en plus des capacités d'IA générales, elle devient immédiatement l'option la plus utile. Lorsque les outils de niveau entreprise sont rapides, fiables et plus précieux, les gens les choisiront naturellement parce qu'ils fonctionnent mieux.

Pour les institutions qui estiment que l'utilisation de l'IA est déjà hors de contrôle, la première étape n'est pas de tout verrouiller ; il s'agit d'obtenir de la visibilité. Vous devez savoir ce qui se passe avant de pouvoir concevoir des politiques réalistes et des voies de remédiation. À partir de là, établissez un Centre d'Excellence en IA ou un organe similaire interfonctionnel qui inclut le personnel informatique, la direction académique, les chercheurs et les voix administratives. Lorsque les politiques sont co-créées avec les parties prenantes au lieu d'être imposées unilatéralement par le service informatique, elles sont plus susceptibles d'être comprises et suivies.

L'IA dans l'enseignement supérieur n'est pas une mode. Les employeurs s'attendront à ce que les diplômés sachent utiliser les outils d'IA de manière responsable. Les universités qui considèrent l'IA comme une menace à réprimer risquent de laisser leurs étudiants mal préparés et de pousser l'utilisation sous terre au lieu de la façonner. S'engager de manière réfléchie, sécurisée et en accord avec les valeurs institutionnelles est le seul chemin réaliste à suivre.