L’outil conversationnel dopé à l’intelligence artificielle (IA) ChatGPT a fait sensation début 2023, en atteignant 100 millions d’utilisateurs actifs mensuels en janvier et devenant l’application grand public avec la croissance la plus rapide jamais connue. Ce pic de popularité a notamment encouragé les entreprises à l’intégrer dans leurs solutions informatiques afin d’améliorer l’expérience de leurs clients et salariés. Malgré ces avantages, de nombreuses questions de confidentialité et de protection des données se posent. En effet, d’après une récente étude de l’Ifop pour Talan, 68 % des Français qui utilisent les IA génératives en entreprise, le cachent à leur supérieur hiérarchique, ce qui peut notamment causer des problèmes en termes de crédibilité des informations relayées, de cybersécurité, et de fuites d’informations.

 Si les organisations choisissent de suivre les tendances émergentes et d’intégrer des outils d’IA dans leurs applications, elles devront revoir leurs systèmes de sécurité pour ne pas se mettre en danger.

Une course contre la montre

Afin d’augmenter leur productivité, de plus en plus d’entreprises utilisent des outils d’IA. Seulement, cela augmente les possibilités de fuites de données sensibles. Dans le cas de l’OpenAI, qui stocke par défaut toutes les conversations tenues sur sa plateforme, un cybercriminel infiltrant les systèmes aurait en effet à sa disposition des données possiblement sensibles de milliers d’utilisateurs et d’organisations. En mars dernier, un bug sur ChatGPT a, par exemple, divulgué l’historique de conversations de certains utilisateurs à d’autres. Depuis cet épisode, les données ne sont conservées que 90 jours et elles peuvent être également supprimées du système par les usagers.

L’IA générative est une technologie qui évolue rapidement, mais les lois protégeant les utilisateurs se comptent avec parcimonie. La loi sur l’IA proposée actuellement par l’Union Européenne (UE) reconnaît l’impact qu’elle pourrait avoir sur les droits des citoyens et prévoit ainsi que les organismes de surveillance imposent le retrait d’un système d’IA, ou son reclassement, s’il est considéré comme présentant un risque élevé. Cette disposition ajoute un niveau de protection supplémentaire au RGPD (règlement général sur la protection des données) et garantit que les systèmes d’IA utilisés dans l’UE soient conformes aux droits de l’Homme fondamentaux. Cependant, le sujet du traitement et du stockage des données par les entreprises offrant des services d’IA n’a pas encore été abordé. Or, cette technologie se développe rapidement et certaines organisations ont pris les devants et limité l’utilisation d’outils d’IA au sein de leur structure.

L’essor du « Shadow AI »

Alors que ces plateformes deviennent de plus en plus utiles aux professionnels de tous secteurs, il devient difficile d’en interdire complètement l’utilisation au sein des entreprises. Par conséquent, un phénomène de plus en plus courant se dégage : « le Shadow AI ». Il fait référence à une utilisation non connue et autorisée par les équipes IT d’outils d’IA générative par des employés. Dans ce contexte, les systèmes de sécurité des organisations doivent être revus afin d’être à même d’identifier et de surveiller le flux de données en provenance et à destination de l’outil d’intelligence artificielle. Si les entreprises intègrent sciemment ces technologies innovantes, il convient donc d’investir dans de nouvelles solutions de sécurité en conséquence, plutôt que d’interdire complètement l’utilisation de l’IA.

Une collaboration entre fournisseurs et équipes de cybersécurité

Afin de protéger leurs systèmes au mieux, une collaboration entre les entreprises et les fournisseurs est indispensable. En effet, une fois que les données de l’entreprise sont entrées sur des outils d’IA, il est essentiel que les équipes en charge de la sécurité puissent les localiser, connaître leur durée de conservation et qui pourra y avoir accès. Par ailleurs, elles s’assurent que l’utilisation de ces technologies d’IA est conforme aux politiques de protection des données de l’organisation et que les fournisseurs respectent ces directives. Cette année, par exemple, JP Morgan restreint l’utilisation de ChatGPT par ses employés, pour non-conformité à son protocole de confidentialité des données sur les logiciels tiers.

Depuis l’émergence du cloud, le sujet de la protection des données et de la cybersécurité demeurent. Les entreprises en mesure d’appliquer une politique granulaire d’utilisation et de protection des données complète sur leurs applications, sont davantage préparées en cas d’infiltration. Cette approche constitue le modèle idéal pour mieux comprendre le fonctionnement et suivre l’utilisation de l’IA, application par application. Finalement, le maintien d’une culture de la vigilance face à des technologies « tendances » aidera à mieux appréhender les risques, du moins le temps que l’Union européenne mette en place des régulations.
____________________________

Par Neil Thacker, RSSI EMEA chez Netskope

 

À lire également :

Avec Security Copilot, Microsoft met l’IA GPT-4 au cœur de la Cybersécurité

IBM QRadar Suite, une nouvelle suite sécu boostée à l’IA

Google joue aussi la carte IA générative pour la cybersécurité

Veracode introduit une IA GPT pour corriger les codes vulnérables

5 idées reçues sur le passage du VPN au ZTNA

Cybersécurité : les exceptions ne doivent pas devenir la règle…

Des RSSI toujours en quête de reconnaissance au plus haut niveau