30 jours d'essai gratuit, risques IA générative :Commencer
Demander une démo
Professional ServicesProfessional Services

Guide de sécurité de l'IA pour les services professionnels

Protégez la confidentialité des clients et maintenez les normes professionnelles tout en gouvernant l'IA dans les activités de conseil, de comptabilité, d'audit et de conseil

APES 110 Code of Ethics for Professional AccountantsCorporations Act 2001 (exigences d'audit)Privacy Act 1988Tax Agent Services Act 2009ASIC Regulatory GuidesAuditing Standards ASA 500, ASA 620Australian Privacy Principles

Audio version

Listen: Guide de sécurité de l'IA pour les services professionnels

Prefer audio? Play the narrated version of this guide.

Les cabinets de services professionnels, conseil, comptabilité, audit et conseil, font face à l'exposition au Shadow AI la plus extrême de tous les secteurs. Les praticiens travaillent de manière autonome avec des données clients sensibles, et les outils d'IA offrent des gains de productivité irrésistibles. Ce guide couvre la gouvernance de l'IA pour les risques uniques auxquels sont confrontés les cabinets de services professionnels australiens.

L'adoption de l'IA dans les services professionnels

Les cabinets de services professionnels, les Big Four (Deloitte, PwC, EY, KPMG), les cabinets intermédiaires (BDO, Grant Thornton, Pitcher Partners, RSM), les sociétés de conseil en management (McKinsey, BCG, Bain) et les cabinets de conseil spécialisés, comptent parmi les adoptants les plus agressifs et les plus répandus de la technologie de l'IA. La nature du travail des services professionnels, analyse, synthèse, documentation et conseil, le rend exceptionnellement bien adapté à l'augmentation par l'IA.

Les applications de l'IA dans les services professionnels incluent l'analytique d'audit et les tests automatisés utilisant l'IA pour analyser des populations complètes de transactions plutôt que des échantillons ; l'IA de conformité fiscale et de planification qui identifie les opportunités d'optimisation et prépare des projets de déclarations ; l'automatisation de la due diligence qui analyse des centaines de contrats et de documents dans les transactions de fusion-acquisition ; la génération de livrables de conseil où l'IA rédige des cadres stratégiques, des analyses de marché et des documents de recommandation ; l'assistance à la modélisation financière où l'IA aide à construire, réviser et tester sous contrainte des modèles financiers ; le suivi de la conformité réglementaire avec l'IA suivant les évolutions réglementaires et évaluant l'impact sur les clients ; le conseil en risques et l'audit interne où l'IA analyse les environnements de contrôle et identifie les schémas de risque ; et le développement de propositions et de présentations où l'IA rédige des propositions destinées aux clients et du contenu de présentation.

Les Big Four ont réalisé des investissements massifs dans l'IA. La plateforme d'IA EY.ai d'EY, l'intégration de l'IA par Deloitte dans sa plateforme Omnia, l'investissement de PwC dans des capacités d'IA responsable et les outils d'audit et de conseil propulsés par l'IA de KPMG représentent des milliards d'investissement cumulé. Ces cabinets ne se contentent pas d'utiliser l'IA, ils vendent des services propulsés par l'IA à leurs clients.

Cependant, les cabinets de services professionnels font face à un paradoxe de gouvernance de l'IA. Leurs collaborateurs sont sophistiqués, technophiles et soumis à une intense pression temporelle, exactement le profil le plus susceptible d'adopter des outils d'IA de manière autonome. Les consultants, les auditeurs et les conseillers travaillent régulièrement avec les données les plus sensibles que possèdent leurs clients : dossiers financiers, plans stratégiques, cibles de fusion-acquisition, positions fiscales, expositions réglementaires et enquêtes internes. Lorsqu'un consultant colle le plan stratégique d'un client dans ChatGPT pour l'aider à rédiger une recommandation, ou qu'un auditeur introduit des données financières d'un client dans un outil d'analytique d'IA, la violation de confidentialité est immédiate et potentiellement dévastatrice à la fois pour la relation client et pour la réputation du cabinet.

Principaux risques de sécurité de l'IA dans les services professionnels

Les cabinets de services professionnels font face à des risques de sécurité de l'IA qui sont amplifiés par la nature de leurs relations clients, de leurs obligations professionnelles et de leur modèle opérationnel.

Violation de la confidentialité des clients via l'IA : le risque le plus critique est l'exposition d'informations confidentielles des clients par le biais d'outils d'IA. Les cabinets de services professionnels ont des devoirs fiduciaires et contractuels de confidentialité qui s'étendent à tous les engagements clients. Lorsque les praticiens collent des données clients, états financiers, détails de transactions, plans stratégiques, conclusions d'enquêtes, positions fiscales, dans des outils d'IA, ils risquent de violer des accords de confidentialité, de manquer à des devoirs fiduciaires et potentiellement de renoncer au secret professionnel juridique sur les travaux de conseil. Le risque est aggravé par la nature multi-clients des services professionnels, une seule interaction avec un outil d'IA pourrait exposer des informations confidentielles de plusieurs clients si les praticiens font des copier-coller entre engagements sans contrôles adéquats.

APES 110 et violations de l'éthique professionnelle : le code de déontologie APES 110 Code of Ethics for Professional Accountants établit des principes fondamentaux, notamment la confidentialité (Section 114), la compétence professionnelle et la diligence requise (Section 113) et l'intégrité (Section 111). L'utilisation de l'IA qui compromet la confidentialité des clients viole la Section 114 indépendamment de l'intention. Les résultats de l'IA sur lesquels on s'appuie sans vérification adéquate peuvent enfreindre l'exigence de compétence professionnelle et de diligence requise. L'Accounting Professional and Ethical Standards Board (APESB) n'a pas encore publié d'orientations spécifiques sur l'IA, mais le cadre existant s'applique clairement, les obligations de confidentialité sont neutres sur le plan technologique.

Indépendance de l'audit et IA : les auditeurs font face à des risques spécifiques lors de l'utilisation de l'IA dans le processus d'audit. La norme d'audit ASA 500 (Audit Evidence) exige que les éléments probants soient suffisants et appropriés, l'analyse générée par l'IA doit respecter cette norme. ASA 620 (Using the Work of an Auditor's Expert) peut s'appliquer lorsque les systèmes d'IA remplissent des fonctions équivalentes à celles d'un expert. Le programme d'inspection des audits de l'ASIC examine de plus en plus l'utilisation de la technologie dans l'audit, et les outils d'IA qui influencent les opinions d'audit sans documentation et validation adéquates créent un risque réglementaire. L'utilisation de données fournies par le client dans des systèmes d'IA pourrait également créer des menaces pour l'indépendance au titre de l'APES 110 Section 600 si la relation avec le fournisseur d'IA crée une menace liée à l'intérêt personnel ou à la défense d'intérêts.

Contamination inter-engagements : les cabinets de services professionnels servent des clients concurrents au sein des mêmes secteurs. Les outils d'IA qui conservent des données ou apprennent à partir des entrées créent le risque d'une fuite d'informations entre engagements. Une IA de conseil qui a été exposée au plan stratégique d'un client pourrait théoriquement influencer le conseil donné à un concurrent. Ce risque de contamination croisée est fondamental et nécessite une isolation stricte des données dans tout déploiement d'IA.

Shadow AI à une échelle extrême : les cabinets de services professionnels présentent l'exposition au Shadow AI la plus élevée de tous les secteurs. Chaque consultant, auditeur et conseiller est un travailleur du savoir fortement incité à utiliser l'IA. Contrairement à l'industrie manufacturière ou à l'énergie, il n'existe aucun système physique limitant l'adoption de l'IA, c'est purement une question de comportement individuel. Des enquêtes indiquent que plus de 70% des travailleurs des services professionnels ont utilisé l'IA générative pour des tâches professionnelles, et la majorité a utilisé des outils grand public plutôt que des plateformes approuvées par le cabinet.

Risques liés à la propriété intellectuelle et aux produits de travail : les cadres de conseil, les méthodologies d'audit, les approches analytiques propriétaires et les livrables clients représentent une propriété intellectuelle importante. Lorsque les praticiens utilisent des outils d'IA avec ces éléments, ils risquent d'exposer la PI du cabinet aux fournisseurs d'IA et potentiellement de permettre à des concurrents de tirer profit des méthodologies du cabinet par le biais de l'entraînement des modèles d'IA.

APES 110 et conformité réglementaire pour l'IA dans les services professionnels

Le cadre réglementaire régissant les services professionnels impose des obligations spécifiques qui affectent directement la gouvernance de l'IA.

Confidentialité de l'APES 110 (Section 114) : la Section 114 exige des experts-comptables qu'ils respectent la confidentialité des informations acquises à la suite de relations professionnelles et commerciales. Cette obligation perdure même après la fin de la relation professionnelle. Pour l'IA, cela signifie que tous les outils d'IA traitant des informations des clients doivent maintenir la confidentialité, y compris en veillant à ce que les fournisseurs d'IA ne conservent pas, n'utilisent pas et n'entraînent pas leurs modèles sur les données des clients. L'obligation de confidentialité s'étend à l'ensemble du personnel, des sous-traitants et des systèmes technologiques utilisés dans l'engagement. Les cabinets doivent évaluer si l'utilisation d'un outil d'IA constitue une divulgation d'informations confidentielles à un tiers, ce qui requiert le consentement du client, sauf si une obligation légale ou professionnelle permet ou exige la divulgation.

Compétence professionnelle et diligence requise de l'APES 110 (Section 113) : la Section 113 exige des experts-comptables qu'ils maintiennent leurs connaissances et leurs compétences professionnelles au niveau requis pour garantir que les clients reçoivent un service professionnel compétent. Pour l'IA, cela crée une double obligation, les praticiens doivent être compétents dans l'utilisation des outils d'IA (en comprenant leurs capacités et leurs limites) et doivent faire preuve de diligence requise pour vérifier les résultats de l'IA avant de s'y appuyer dans leur travail professionnel. Un auditeur qui s'appuie sur une analyse générée par l'IA sans comprendre la méthodologie de l'IA ni valider ses résultats par rapport aux données sources manque à l'exigence de diligence requise.

Exigences d'audit du Corporations Act : le Corporations Act 2001, Partie 2M.3, impose aux auditeurs des exigences qui affectent l'utilisation de l'IA. La Section 307C exige des auditeurs qu'ils conduisent les audits conformément aux normes d'audit, les outils d'IA utilisés dans l'audit doivent se conformer aux exigences ASA. La Section 307A exige que l'auditeur forme une opinion fondée sur des éléments probants, l'analyse assistée par l'IA doit produire des éléments probants qui répondent aux tests de suffisance et de caractère approprié au titre de l'ASA 500. L'ASIC a indiqué dans ses rapports d'inspection des audits qu'elle examinera l'utilisation des outils automatisés et de l'analytique des données dans l'audit, y compris la question de savoir si les cabinets disposent d'un contrôle qualité adéquat sur les procédures d'audit assistées par l'IA.

Tax Agent Services Act 2009 : les agents fiscaux et agents BAS enregistrés doivent se conformer au code de conduite professionnelle au titre du Tax Agent Services Act. Cela inclut le maintien de la confidentialité des informations des clients et l'exercice de la compétence professionnelle. Les outils d'IA utilisés dans la préparation fiscale, la planification fiscale et la conformité doivent maintenir la confidentialité des données et produire des résultats exacts, un conseil fiscal généré par l'IA qui est incorrect pourrait constituer une violation du code et entraîner des sanctions du Tax Practitioners Board (TPB).

Obligations du Privacy Act : les cabinets de services professionnels qui collectent et traitent des informations personnelles pour le compte de clients doivent se conformer au Privacy Act 1988. Cela inclut les restrictions de l'APP 6 (utilisation et divulgation) sur le traitement des informations personnelles des clients au moyen d'outils d'IA, les exigences de l'APP 11 (sécurité) visant à protéger les informations personnelles dans les systèmes d'IA, et le dispositif Notifiable Data Breaches exigeant la notification des violations de données éligibles, y compris l'exposition de données liée à l'IA, à l'OAIC et aux personnes concernées.

Normes professionnelles émergentes : bien que des normes spécifiques à l'IA pour les services professionnels soient encore en cours d'élaboration, l'orientation est claire. CA ANZ (Chartered Accountants Australia and New Zealand), CPA Australia et l'Institute of Public Accountants élaborent tous des orientations sur l'IA. L'International Auditing and Assurance Standards Board (IAASB) examine comment les normes d'audit s'appliquent à l'IA. Les cabinets devraient anticiper une divulgation obligatoire de l'IA, des exigences de compétence en matière d'IA et des normes de gouvernance de l'IA au sein des cadres comptables et d'audit professionnels.

Construire un cadre de gouvernance de l'IA pour les cabinets de services professionnels

Les cabinets de services professionnels ont besoin de cadres de gouvernance de l'IA qui placent la confidentialité des clients en leur cœur tout en permettant les bénéfices de productivité que l'IA apporte.

Comité de gouvernance de l'IA des services professionnels : établissez une gouvernance qui reflète la structure de partenariat et les obligations professionnelles. Incluez le Managing Partner ou le CEO, le Chief Risk Officer ou le National Risk Management Partner, le Chief Information Security Officer, les responsables de practice (Audit, Fiscalité, Conseil, Consulting), le National Quality and Compliance Partner, le General Counsel et la direction de la technologie et de l'innovation. Ce comité doit avoir le pouvoir d'approuver les outils d'IA destinés à un usage dans les engagements clients, de fixer les normes de traitement des données, d'imposer les exigences de formation, et de faire appliquer des conséquences en cas de violation des politiques, y compris l'utilisation du Shadow AI avec des données clients.

Classification des outils d'IA pour les services professionnels : mettez en œuvre un système de classification reflétant le risque de confidentialité des clients. Le Tier 1 (IA d'engagement client) inclut les outils d'IA utilisés au sein des engagements clients qui traitent des données clients, ceux-ci requièrent la gouvernance la plus élevée, y compris l'évaluation du consentement du client, la vérification de l'isolation des données, la revue d'indépendance (pour l'audit) et la validation d'un associé. Le Tier 2 (IA de connaissance du cabinet) inclut les outils d'IA utilisés avec la propriété intellectuelle, les méthodologies et les données non clients du cabinet, ceux-ci requièrent une revue de sécurité, une évaluation de la protection de la PI et l'approbation de la direction de la practice. Le Tier 3 (IA de productivité personnelle) inclut les outils d'IA utilisés pour des tâches générales sans aucune donnée client ou propriétaire du cabinet, ceux-ci requièrent une revue de sécurité de base et une reconnaissance de l'utilisation acceptable.

Contrôles de confidentialité des clients pour l'IA : mettez en œuvre des contrôles techniques et procéduraux qui protègent la confidentialité des clients dans les interactions avec l'IA. Les déploiements d'IA d'entreprise doivent inclure une isolation des données garantissant l'absence de fuite de données inter-clients, des engagements contractuels selon lesquels les fournisseurs d'IA ne conserveront pas, n'utiliseront pas et n'entraîneront pas leurs modèles sur les données des clients, des contrôles de résidence des données garantissant que les données des clients restent dans les juridictions convenues, des contrôles d'accès limitant l'accès aux outils d'IA aux membres autorisés de l'équipe d'engagement, et la journalisation d'audit de toutes les interactions avec l'IA impliquant des données clients.

Politiques d'IA au niveau de l'engagement : différents engagements peuvent avoir des exigences d'IA différentes selon les préférences du client, le contexte réglementaire et la sensibilité des données. Incluez des dispositions d'utilisation de l'IA dans les lettres de mission et les accords clients. Établissez un processus permettant aux clients de spécifier des restrictions ou des préférences en matière d'IA. Mettez en œuvre des contrôles d'accès aux outils d'IA au niveau de l'engagement lorsque cela est possible. Documentez l'utilisation de l'IA dans les dossiers d'engagement pour la revue qualité et l'inspection réglementaire. Réalisez une évaluation des risques de l'IA dans le cadre des procédures d'acceptation et de maintien de l'engagement.

Gouvernance de l'IA spécifique à l'audit : les engagements d'audit requièrent une gouvernance de l'IA supplémentaire reflétant les exigences réglementaires. Les outils d'IA utilisés dans l'audit doivent se conformer aux Australian Auditing Standards, en particulier ASA 500 (éléments probants) et ASA 315 (identification et évaluation des risques). Documentez la méthodologie de l'IA, y compris les données d'entrée, les algorithmes et les procédures de validation, dans le cadre du dossier d'audit. Veillez à ce que l'analyse de l'IA soit revue par des membres qualifiés de l'équipe d'audit avant d'influencer les conclusions d'audit. Maintenez l'indépendance en évaluant si les relations avec les fournisseurs d'IA créent des menaces au titre de l'APES 110 Section 600. Préparez-vous à l'inspection de l'ASIC en documentant l'utilisation de l'IA dans la méthodologie d'audit et les procédures de contrôle qualité.

Responsabilité des associés et de la direction : dans les cabinets de services professionnels, les associés assument une responsabilité personnelle pour la qualité des engagements et la confidentialité des clients. La gouvernance de l'IA doit clairement attribuer la responsabilité des associés pour l'utilisation de l'IA au sein de leurs engagements, exiger la revue par un associé des livrables assistés par l'IA avant leur remise au client, inclure la gouvernance de l'IA dans l'évaluation de la performance des associés, et veiller à ce que les associés comprennent leurs obligations de supervision concernant l'utilisation de l'IA par les équipes d'engagement.

Prévention du Shadow AI dans les services professionnels

Le Shadow AI dans les services professionnels est omniprésent, persistant et exceptionnellement difficile à contrôler. La combinaison de travailleurs hautement qualifiés et autonomes, d'une intense pression temporelle et d'un accès constant à des données clients sensibles crée les conditions parfaites pour une adoption non gouvernée de l'IA.

Scénarios courants de Shadow AI dans les services professionnels : des consultants collant des plans stratégiques de clients, des données financières et des renseignements concurrentiels dans ChatGPT pour aider à structurer l'analyse et rédiger des livrables. Des auditeurs introduisant des balances générales, des écritures de journal et des états financiers de clients dans une IA à des fins d'analyse et de détection d'anomalies en dehors des outils approuvés par le cabinet. Des fiscalistes téléversant des déclarations fiscales, des dossiers financiers et des actes de fiducie de clients dans une IA à des fins de recherche et de vérification de conformité. Des équipes de due diligence collant des données d'entreprises cibles, des contrats et des modèles financiers dans une IA en vue d'une analyse rapide lors de transactions sous pression temporelle. Des associés conseil dictant des notes de réunion client et des discussions stratégiques dans des outils d'IA de transcription et de synthèse. Du personnel junior utilisant l'IA pour rédiger de la correspondance client, des notes et des diapositives de présentation intégrant des informations confidentielles d'engagement.

Le défi du travailleur autonome : les cabinets de services professionnels ne peuvent pas s'appuyer principalement sur des contrôles techniques pour prévenir le Shadow AI. Les consultants travaillent sur les sites des clients, sur des appareils personnels, via des réseaux clients et dans de multiples juridictions. De nombreux praticiens disposent d'abonnements personnels à l'IA invisibles pour le service informatique du cabinet. L'approche la plus efficace combine des contrôles techniques ciblés avec une forte culture professionnelle, des conséquences claires et des alternatives approuvées véritablement utiles.

Contrôles techniques pour les services professionnels : déployez des règles DLP configurées pour des modèles de données propres aux services professionnels, noms de clients, numéros ABN/ACN, chiffres financiers, références d'engagement. Mettez en œuvre la gestion des terminaux sur tous les appareils du cabinet avec des contrôles d'applications d'IA. Utilisez un CASB (Cloud Access Security Broker) pour surveiller et contrôler l'utilisation des services d'IA dans le cloud. Surveillez la messagerie et les plateformes de collaboration du cabinet pour détecter des indicateurs d'utilisation d'outils d'IA. Mettez en œuvre l'isolation du navigateur ou des contrôles de proxy web sur les réseaux du cabinet bloquant les services d'IA non approuvés. Réalisez des audits périodiques des notes de frais et des services par abonnement pour détecter les achats d'outils d'IA.

Fournir une IA d'entreprise approuvée : la contre-mesure la plus efficace contre le Shadow AI est de fournir des outils d'IA d'entreprise véritablement utiles pour le travail des services professionnels. Déployez une plateforme d'IA d'entreprise à l'échelle du cabinet (telle que Microsoft Copilot pour Microsoft 365, ou un déploiement GPT propre au cabinet sur Azure OpenAI) avec protection des données clients, isolation des données et absence d'entraînement des modèles sur les données du cabinet. Fournissez des outils d'IA approuvés pour des flux de travail spécifiques des services professionnels, recherche, analyse, rédaction et revue, intégrés aux systèmes de gestion des connaissances du cabinet. Créez des bibliothèques d'invites et des modèles d'IA propres au cabinet adaptés aux flux de travail de conseil, d'audit, de fiscalité et de conseil. Veillez à ce que les outils d'IA approuvés soient aussi faciles d'accès et d'utilisation que les alternatives grand public, la friction favorise l'adoption du Shadow AI.

Culture, formation et conséquences : construisez une culture professionnelle où l'utilisation gouvernée de l'IA est attendue et l'utilisation non gouvernée de l'IA est traitée comme un grave problème de conduite professionnelle. Faites de la gouvernance de l'IA une partie de l'intégration de tous les nouveaux collaborateurs, y compris les recrues latérales provenant d'autres cabinets. Menez une formation régulière soulignant que les violations de confidentialité liées à l'IA équivalent à l'envoi de dossiers clients vers des comptes personnels par e-mail, une violation grave indépendamment de l'intention. Incluez la conformité à la gouvernance de l'IA dans les évaluations de performance et les critères de promotion. Établissez des conséquences claires pour l'utilisation du Shadow AI avec des données clients, proportionnées à la gravité de la violation. Reconnaissez et récompensez les équipes qui innovent efficacement au sein de cadres d'IA gouvernés.

Principaux risques de sécurité de l'IA dans le secteur Professional Services

Violation de la confidentialité des clients

Des données financières, des plans stratégiques et des informations d'engagement de clients exposés au moyen d'outils d'IA, en violation des devoirs fiduciaires et des obligations de confidentialité de l'APES 110

Qualité et indépendance de l'audit

Des outils d'IA utilisés dans l'audit sans validation adéquate créant des risques pour la qualité des éléments probants et des menaces potentielles pour l'indépendance au titre de l'APES 110

Contamination inter-engagements

Des outils d'IA conservant ou apprenant à partir des données clients, créant un risque de fuite d'informations entre des engagements de clients concurrents

Exposition extrême au Shadow AI

Plus de 70% des travailleurs des services professionnels utilisant des outils d'IA grand public avec des données clients, créant des flux de données non gouvernés omniprésents

Violations de l'éthique professionnelle

Une utilisation de l'IA qui ne respecte pas les normes de compétence professionnelle et de diligence requise au titre de l'APES 110, des exigences de l'ASIC ou du code de conduite du Tax Practitioners Board

Exposition de la PI et des méthodologies du cabinet

Des cadres de conseil propriétaires, des méthodologies d'audit et des approches analytiques exposés au moyen d'interactions avec des outils d'IA

Liste de conformité IA pour le secteur Professional Services

  • 1
    Évaluer tous les outils d'IA au regard des obligations de confidentialité de l'APES 110 avant tout déploiement avec des données clients
  • 2
    Mettre en œuvre des contrôles d'isolation des données garantissant l'absence de fuite de données inter-clients dans les plateformes d'IA d'entreprise
  • 3
    Déployer une IA d'entreprise à l'échelle du cabinet avec des engagements contractuels contre la conservation des données et l'entraînement des modèles
  • 4
    Établir des politiques d'IA au niveau de l'engagement avec des dispositions de consentement du client dans les lettres de mission
  • 5
    Documenter la méthodologie de l'IA dans les dossiers d'audit pour la conformité ASA et la préparation à l'inspection de l'ASIC
  • 6
    Réaliser des évaluations d'indépendance pour les relations avec les fournisseurs d'IA dans les engagements d'audit
  • 7
    Déployer des contrôles DLP et CASB détectant les données clients dans le trafic des outils d'IA non approuvés
  • 8
    Former l'ensemble du personnel aux obligations de confidentialité de l'IA de l'APES 110 lors de l'intégration et chaque année
  • 9
    Inclure la conformité à la gouvernance de l'IA dans la responsabilité des associés et l'évaluation de la performance
  • 10
    Évaluer et gérer l'utilisation de l'IA dans les relations avec les courtiers, les intermédiaires et les sous-traitants

Guides sectoriels associés

À découvrir

Sécurisez l'IA dans votre organisation du secteur Professional Services

Aona AI aide les organisations du secteur professional services à découvrir, surveiller et gouverner l'usage de l'IA grâce à des contrôles de conformité propres au secteur.