Cas Zlotim

Cas Zlotim

• Projet stratégique = Chatbot, robots conversationnels et IA.
• Besson et Rowe = processus de transformation en 4 étapes

• Phase de déracinement
• Phase d’exploration / construction
• Phase de stabilisation / institutionnalisation
• Phase d’optimisation /routinisation

•  Typologie des risques en lien avec ce projet de transformation

• GRH (RPS, management, compétences)
• Financiers (perte de CA, compétitivité)
• Juridiques (réglementation RGPD, contentieux, assurances)
• Image de marque et confiance (gestion de crise)
• Politiques et géopolitiques
• Environnementaux
• Technologiques
• Sanitaires
• SI :

• sinistre électrique (coupures, surtension)
• vol physique (notamment en ce qui concerne les PC portables et autres interfaces "nomades")
• virus, programmes malveillants (cheval de troie...), intrusion informatique, piratage
• espionnage industriel
• erreur de manipulation humaine
• panne matérielle

Guides essentiels et bonnes pratiques de cybersécurité : par où commencer ? | ANSSI

[pic 1]

Maîtrise du risque numérique - l’atout confiance | ANSSI (cyber.gouv.fr)

Dans le cas présent : chatbot/IA

Risques de Sécurité :

• Violation de Données : Les chatbots peuvent collecter des informations sensibles des utilisateurs. Si ces données ne sont pas correctement sécurisées, elles peuvent être exposées à des cyberattaques.
• Attaques par Injection : Les chatbots peuvent être vulnérables à des attaques par injection, comme le SQL injection, où des attaquants injectent des codes malveillants pour accéder à la base de données.
• Hameçonnage (Phishing) : Les chatbots peuvent être utilisés pour distribuer des liens de phishing ou inciter les utilisateurs à divulguer des informations sensibles.

Risques de Confidentialité :

• Collecte Excessive de Données : Les chatbots peuvent collecter plus de données que nécessaire, ce qui pose des risques en termes de conformité avec les régulations sur la protection des données (comme le RGPD en Europe).
• Mauvaise Gestion des Données : Une gestion inappropriée des données utilisateur peut entraîner des fuites de données ou des usages non autorisés.

Risques de Fiabilité et de Fonctionnement :

• Pannes Systémiques : Les chatbots peuvent être sujets à des pannes techniques, affectant leur disponibilité et leur capacité à fournir des services aux utilisateurs.
• Réponses Erronées ou Trompeuses : Des erreurs dans les algorithmes ou des bases de connaissances incomplètes peuvent conduire à des réponses incorrectes, ce qui peut nuire à la réputation de l'entreprise et entraîner des décisions erronées de la part des utilisateurs.

Risques de Conformité :

• Non-Conformité aux Régulations : Les chatbots doivent être conformes aux lois et régulations locales et internationales sur la protection des données, la confidentialité et la transparence des algorithmes.
• Responsabilité Légale : En cas de fausse information donnée par un chatbot qui mène à des pertes ou des dommages, l'entreprise pourrait être tenue légalement responsable.

Risques de Manipulation et d’Abus :

• Manipulation par des Utilisateurs Malveillants : Des utilisateurs peuvent manipuler les chatbots pour obtenir des avantages indus, des informations sensibles ou pour perturber les services.
• Utilisation Abusive : Les chatbots peuvent être exploités pour des campagnes de spam ou pour la diffusion de contenus inappropriés ou illicites.

Risques de Dépendance Technologique :

• Dépendance à des Fournisseurs Tiers : Si une entreprise utilise des solutions de chatbot fournies par des tiers, elle peut devenir dépendante de ces fournisseurs, ce qui peut poser des problèmes en cas de défaillance ou de changement des conditions d’utilisation.
• Évolution Technologique : Les entreprises doivent suivre les évolutions technologiques pour maintenir la pertinence et la sécurité de leurs chatbots, ce qui peut nécessiter des investissements continus.

Matrice des risques

[pic 2]

Actions correctives

En prenant en compte ces risques, le management des systèmes d'information doit mettre en place des stratégies de mitigation, incluant des mesures de sécurité renforcées, des audits réguliers, des politiques de gestion des données, et une veille juridique et technologique active.

...