Exploiter les données organisationnelles pour l'IA/ML et les LLM : un cadre stratégique

Jul 9, 2024
Share

Dans le précédent articleJ'ai souligné que les modèles de langage à grande échelle (LLM) ne constituent pas un simple enjeu technique, mais un impératif stratégique. Dans cette discussion, j'explorerai comment les entreprises peuvent exploiter efficacement leurs données pour l'IA/ML et les cas d'usage des LLM. Fort de ma longue expérience en tant que RSSI et désormais en tant que conseiller en stratégie IA/ML, j'ai constaté que de nombreuses organisations manquent d'une approche globale de la gestion des données.

Le dilemme des données

Dans de nombreuses organisations, les données sont souvent considérées comme uniformément sensibles, autrement dit, tout est jugé important. Pourtant, un décalage flagrant persiste : les équipes de sécurité et les unités opérationnelles doivent impérativement comprendre où se trouvent les données et comment elles sont utilisées. Chaque service fonctionne en silos, créant, utilisant et stockant les données indépendamment, souvent sans processus standardisés. Ce scénario est tout aussi fréquent dans les cas d’usage de l’IA/ML et du LLM, où les équipes techniques ont besoin d’une meilleure visibilité sur l’environnement de données de l’organisation. Dès lors, une question se pose : qui est responsable de l’organisation, de la structuration et de la protection des données de l’organisation ?

La nécessité d'un responsable des données

Il est urgent de créer un poste dédié à la gestion du cycle de vie des données de l'organisation, de leur création à leur suppression, dans le respect des obligations légales. Ce rôle doit être distinct de celui du DSI ou du RSSI. Le DSI privilégie l'efficacité opérationnelle, et la réduction des coûts peut entrer en conflit avec la nécessité d'une gestion exhaustive des données. De même, l'attention portée par le RSSI à la protection des données peut limiter l'utilisation innovante des données. Par conséquent, la création d'un nouveau poste, idéalement celui de Responsable de la gestion des données, est essentielle. Cette personne devra posséder une connaissance approfondie de l'entreprise et être capable d'appréhender les liens entre la création, l'utilisation et la suppression des données.

Une étape cruciale, « étape zéro » : comprendre le paysage des données

Une fois la structure organisationnelle établie, il est essentiel de comprendre l'environnement de données dans son ensemble. Les organisations devraient réaliser un audit complet des données afin de cartographier l'état actuel des données dans tous les services, ce qui implique :

  • Sources de données du catalogue : Répertoriez toutes les sources de données, y compris les données d'ingénierie, les bases de données, les applications, les services tiers et les points de saisie manuelle de données.
  • Formats de données : Identifier les différents formats sous lesquels les données existent, tels que structurées, non structurées, semi-structurées, etc.
  • Flux de données : Comprendre comment les données circulent à travers les différents processus au sein de l'organisation, en mettant en évidence les points d'intégration et les goulots d'étranglement potentiels.

Étapes pratiques pour exploiter pleinement le potentiel de vos données

Étape 1 : Identifier stockage de données Lieux

  • La première étape consiste pour chaque service à définir clairement ses données importantes. Les services sont les mieux placés pour identifier les données qu'ils produisent et utilisent, ainsi que les conditions de leur suppression. Cette étape implique de déterminer les données les plus précieuses au niveau du service et de localiser leur emplacement de stockage.

Étape 2 : Découvrir et classer les données 

  • Définissez des classifications de données claires et simples, idéalement limitées à trois niveaux, afin de garantir leur utilisation à l'échelle de l'organisation. Les systèmes de classification simples ont plus de chances de succès et sont plus faciles à gérer. Une fois les données critiques, ou « données stratégiques », classées et identifiées, lancez le processus de découverte et d'étiquetage. Le choix de la technologie appropriée pour cette étape est crucial, car de nombreuses organisations peinent à l'atteindre, ce qui en fait une étape importante. L'utilisation de solutions de gestion de la posture de sécurité des données (DSPM) permet d'étiqueter automatiquement les données découvertes, rationalisant ainsi davantage le processus. De plus, les données classées et étiquetées simplifient la tâche de l'équipe de prévention des pertes de données (DLP) en matière d'identification des anomalies et des tentatives d'exfiltration, offrant un avantage concret aux RSSI.

Étape 3 : Plateforme centralisée de visibilité des données

  • Les organisations devraient privilégier la mise en place d'une plateforme centralisée offrant une visibilité complète sur l'ensemble de leurs données. Cette approche contribue à réduire les risques identifiés, tels que l'utilisation involontaire de données sensibles par des modèles non autorisés ou l'accès non autorisé à des outils d'IA et à des données. Par exemple, une plateforme de visibilité centralisée peut alerter les administrateurs si un utilisateur non autorisé tente d'accéder à des informations confidentielles sur les clients via un outil d'IA.

Il y a quelques années, lors d'une mission d'accompagnement d'un grand groupe de télécommunications, nous avons mis en lumière un problème majeur : les données clients étaient stockées à différents endroits, selon les besoins de chaque service. Marketing, finance et ingénierie disposaient chacun de leurs propres bases de données, ce qui engendrait de multiples copies d'un même ensemble de données. Cette situation a créé un écosystème complexe, posant d'importants problèmes de sécurité et de conformité. La mise en place d'une plateforme centralisée offrant une visibilité complète aurait permis de simplifier considérablement ce problème. En évitant la création de silos de données, en garantissant la conformité et en renforçant la sécurité, une telle plateforme offre une vue d'ensemble complète des accès aux données et de leur utilisation, protégeant ainsi le patrimoine informationnel de l'entreprise.

Étape 4 : Mettre en œuvre les meilleures pratiques techniques de base

  • Mettre en œuvre la normalisation et l'obfuscation des données entre les environnements de production et de développement.
  • Sauvegardez régulièrement vos données pour garantir leur intégrité et leur disponibilité.
  • Utilisez le contrôle d'accès basé sur les rôles (RBAC) et l'authentification à deux facteurs (2FA) pour améliorer la sécurité des données.
  • Effectuer des audits périodiques et des tests d'intrusion pour identifier les vulnérabilités du système et les accès non autorisés.

Adopter cette approche structurée permettra aux organisations de jeter des bases solides pour exploiter leurs données dans leur transition vers l'IA et le ML. Ce cadre atténue les risques de sécurité et minimise l'accumulation de dette technique.

Comment aideriez-vous les organisations à exploiter pleinement le potentiel de leurs données, à stimuler l'innovation et à acquérir un avantage concurrentiel ? Parlons-en.

Share