10-18, 09:00–09:50 (America/New_York), Track 1 (206b)
Language: Français
Le sujet de l'intelligence artificielle est une tendance et technologie assez présente aujourd'hui pour prétendre à prendre place dans la collection des politiques des entreprises. Elle entre en compétition avec les dernières politiques comme l'utilisation acceptable des technologies, la sécurité de l'information ou les appareils mobiles.
Est-ce que l'intelligence artificielle mérite sa propre politique? Certainement! Comment y arriver en tant que professionnel de la sécurité de l'information?
*Pourquoi une politique propre à l'intelligence artificielle? (5 minutes)
Est-ce qu'il est mieux d'intégrer l'IA à une politique existante comme celle de sécurité de l'information? Comment s'assurer que les autres politiques de l'entreprise sont respectées?
*Avoir un contexte et établir des valeurs fondatrices (10 minutes)
La première étape est d'établir clairement 3 à 4 phrases clefs le pourquoi la politique est importante pour nous. C'est là qu'il est bien de lancer les valeurs fondatrices qui sont la base de la politique. Le nombre de valeurs peut varier, voici 8 exemples : la bienveillance, la sécurité, la prudence, la transparence, l'équité, la non-discrimination et la confidentialité.
*Divulguer les objectifs, le public cible et le langage utilisé (5 minutes)
Bonne habitude de toute politique, la deuxième étape est d'établir le pourquoi la politique a été écrite dans 1 à 2 phrases. Le public cible doit ensuite être identifié : à qui s'appliquer cette politique, ses obligations et sanctions? Par la suite, un bref dictionnaire des termes utilisés qui sont nouveaux pour le public cible ou bien une référence à votre dictionnaire central. Il faut viser la simplicité et la compréhension.
*Rôles et responsabilités (10 minutes)
Qui fait quoi? Du CISO aux directeurs, des gestionnaires au personnel TI en n'oubliant pas tous les employés. Tout le monde doit avoir un rôle à jouer et le comprendre. Définir les rôles et responsabilités principaux en restant, encore une fois, simple. La politique peut être une belle introduction à un RACI plus complet si vous le souhaitez. Est-ce qu'un comité IA peut être efficace? Si oui, comment est-il composé?
*Principes directeurs (15 minutes)
Le cœur de la politique où il est important d'énoncer clairement ce qui est permis, les mises en garde, les règles d'utilisation générales de l'entreprise, les règles d'utilisation spécifiques et les utilisations interdites. Il faut donner des exemples concrets pour chaque règle d'utilisation et s'assurer que les mots sont clairs et non propre à interprétation. Il faut susciter la discussion via la politique avec toutes les classes d'employés pour les amener à divulguer leur utilisation de l'IA, leurs craintes par rapport à la sécurité de l'information ou le traitement de la propriété intellectuelle.
*L'application, la mise à jour, l'approbation, les sanctions et la poutine de fin de soirée (5 minutes)
Comme toute politique, il faut finir en beauté en définissant qui est responsable de son application dans l'entreprise, la fréquence de mise à jour, qui est l'approbateur et les sanctions prévues en cas de non-respect de la politique. Et finalement, c'est le plus important, la communication de la politique qui peut paraître si simple, mais qui peut aussi être très compliqué.
Dédié à l'industrie manufacturière depuis le début de sa carrière, Jean-François participe activement à l'évolution de la culture de sécurité de l'information dans ce secteur spécifique. Dans le domaine des technologies de l'information depuis plus de 25 ans avec plus de 10 années de focus sur la sécurité de l'information, la conformité et le légal, Jean-François est actuellement RSSI et RPRP pour les entreprises Soucy comptant 1600 employés dans le monde.