Administrations locales : mettre en œuvre des cadres de cybersécurité et de gouvernance efficaces pour l’IA

Même si l’IA offre des moyens de répondre à la fois à des besoins stratégiques et opérationnels, sa mise en œuvre et son utilisation soulèvent de nouvelles inquiétudes du point de vue de la cybersécurité et de la protection des données. Voici trois des enjeux auxquels les administrations locales sont confrontées à mesure que l’IA gagne du terrain.

Gouvernance et élaboration de politiques

Bon nombre d’organisations vont adopter des solutions d’IA avant d’avoir des cadres ou des politiques de gouvernance officiels pour encadrer leur utilisation. En l’absence de ces garde-fous, il y a risque d’utilisation inappropriée de ces solutions et d’atteinte à la confidentialité des données.

Formation et sensibilisation

Souvent, les employés d’une administration locale qui ne travaillent pas au service informatique seront moins impliqués dans la gestion de la cybersécurité. Il devient donc important de mettre sur pied des formations obligatoires pour que tous connaissent les risques liés à l’IA et leurs responsabilités de protection de données, notamment les renseignements confidentiels et personnels des employés et des citoyens.

Gouvernance des données et collaboration entre services

La gouvernance des données est encore aujourd’hui un important point faible pour les administrations locales, car l’utilisation de l’IA peut rendre des données sensibles vulnérables. Comme la gestion des dossiers et de la cybersécurité n’est pas souvent centralisée dans ces organisations, le risque de lacunes et d’angles morts s’en voit exacerbé. Une administration locale ne peut pas protéger les renseignements dont elle ignore l’existence. C’est pourquoi elle doit bien comprendre les données qui transitent dans chacun de ses services.

Vers une amélioration de la cybersécurité et de la gouvernance

Les systèmes d’IA peuvent amener de nouvelles vulnérabilités, comme des risques de piratage des données. Il est essentiel d’avoir un cadre de gouvernance exhaustif et des mesures de cybersécurité robustes pour atténuer ces risques et assurer une utilisation responsable de ces systèmes.

Les cinq étapes qui suivent peuvent aider une administration locale à mettre en place ce cadre et ces mesures.

1. Évaluer les risques

Une administration locale doit d’abord faire une évaluation des risques qui comprend l’analyse de ses données névralgiques et le recensement des outils et des applications d’IA qui sont utilisés. Ce dénombrement doit comprendre tout ce qui n’est pas autorisé ou qui a été jusqu’à présent utilisé à l’insu de l’organisation.

Ce travail permet d’établir le degré de risque de base et d’alimenter la formulation des politiques. Il faut ensuite utiliser les outils informatiques disponibles pour déterminer la fonction et l’emplacement des actifs. Il importe toutefois de comprendre qu’il peut être difficile de détecter certaines utilisations précises de l’IA.

Une évaluation exhaustive des risques doit inclure chacun des éléments suivants.

• Analyse des incidences sur les activités: repérer et mettre en ordre de priorité les actifs essentiels à la continuité des activités et à la prise de décisions.
• Découverte et mappage des données : réaliser des entretiens et utiliser des outils comme Microsoft Purview pour trouver les données sensibles dans les systèmes et les endroits où elles sont stockées.
• Établissement de contrôles en fonction du degré de risque : déterminer les risques auxquels les données névralgiques sont exposées et appliquer des contrôles de cybersécurité conséquents (p. ex., ceux recommandés par le Center for Internet Security). On s’assure ainsi que les actifs les plus importants profitent des protections les plus robustes.
• Conformité aux règlements de protection : tenir compte des règlements de protection des renseignements personnels (LPRPDE, RGPD, HIPAA, etc.) dans l’évaluation des données névralgiques. Inclure les registres des consentements et les protocoles d’intervention en cas de brèche de sécurité.

2. Établir des lignes directrices claires et bien les communiquer

L’administration locale doit dresser la liste des outils d’IA autorisés ou interdits et définir ce qu’elle considère être une utilisation appropriée de ceux-ci. Ces lignes directrices doivent ensuite être communiquées par divers canaux à l’ensemble de l’organisation pour que les employés puissent savoir précisément quels outils sont permis.

3. Renforcer les contrôles d’accès et la sécurité

Une fois que l’utilisation de l’IA est encadrée par des lignes directrices qui ont été rédigées et communiquées clairement, il faut mettre en œuvre un contrôle robuste des accès pour, par exemple, bloquer le téléchargement et l’utilisation d’outils et d’applications interdits.

Il est essentiel que les permissions soient correctement configurées pour empêcher tout accès non autorisé à des renseignements sensibles ou confidentiels, surtout au moyen d’outils d’IA comme Microsoft Copilot.

4. Formations et évaluations régulières

Il faut régulièrement donner des formations et faire des évaluations pour veiller à la connaissance et au respect des politiques et des règlements par les employés. Les formations doivent être ciblées et adaptées au degré de maturité de l’organisation et inclure des éléments tels que des examens, des attestations de formation, et des mises à jour fréquentes. Le recours à des simulations d’hameçonnage et la mise sur pied de campagnes de sensibilisation peuvent aider à renforcer les bonnes pratiques sécuritaires.

Il importe de comprendre que la formation doit être récurrente et qu’il faut en évaluer les retombées si l’on veut atténuer efficacement les risques auxquels une organisation est confrontée.

5. Viser l’amélioration continue

Le paysage numérique se transforme sans cesse, tout comme les menaces qu’il comporte. C’est pourquoi il faut viser l’amélioration continue des mesures de sécurité et de la protection des renseignements confidentiels. Une administration locale qui effectue régulièrement le bilan et la mise à jour de ses politiques, de ses contrôles et de ses formations pourra mieux s’adapter à l’évolution des technologies et des dangers. De plus, en se tenant au fait des nouveaux outils de détection et de gestion des risques, elle peut voir venir les changements dans le domaine de l’IA.

Problèmes de ressources et de financement

Le rapport souligne que bon nombre d’administrations locales sont aux prises avec un manque de ressources. On peut produire une évaluation des risques à l’appui d’une demande de financement déposée auprès de la direction ou du conseil d’administration afin de :

• sensibiliser ces décideurs aux dangers potentiels et ainsi recueillir du soutien pour des initiatives de cybersécurité;
• faire état des vulnérabilités et des besoins de l’organisation pour appuyer les demandes de ressources et de financement additionnels;
• défendre le caractère essentiel de l’amélioration de la cybersécurité afin de permettre une utilisation sûre de l’IA et d’assurer la résilience globale de l’organisation.

Prochaines étapes

L’IA offre aux administrations locales de nombreuses possibilités intéressantes pour améliorer l’expérience des citoyens et des employés. Cela dit, il est important d’avoir un plan en place pour assurer une gouvernance solide et des mesures de cybersécurité robustes avant de se lancer.

Si vous souhaitez passer à l’étape suivante, mais que vous ignorez par où commencer, consultez votre conseiller MNP pour savoir comment vous pouvez tirer profit de l’IA et augmenter l’efficience de votre administration locale.