L’ère numérique actuelle est placée sous le signe de l’intelligence artificielle et ses capacités de transformation des opérations quotidiennes, ainsi que des stratégies de gestion des données. Pour commencer avec les bonnes nouvelles, les cas d’utilisation montrent comment les applications GenAI transforment les processus commerciaux traditionnels en tirant parti des technologies d’intelligence artificielle pour améliorer la productivité, la créativité et l’efficacité dans les entreprises.
Que ce soit pour leurs besoins opérationnels, leurs besoins commerciaux, ou pour mieux satisfaire leurs clients et leurs partenaires, les entreprises adoptent certains cas d’usage à un rythme qui s’accélère.
Selon cette étude du Netskope Threat Labs, les données suggèrent une adoption rapide et généralisée des applications GenAI, avec une augmentation significative à la fois du nombre d’applications utilisées et des niveaux d’engagement des utilisateurs au cours d’une année. Entre juin 2023 et juin 2024, le taux d’utilisation de la GenAI est passé de
74 % à 96 % des organisations interrogées.
Le nombre d’applications utilisées par les organisations a également connu une augmentation notable. Le nombre médian d’applications de GenAI différentes utilisées par organisation est passé de 3 en juin 2023 à plus de 9,6 en juin 2024. Un taux de progression de 3,2 fois de la variété des applications GenAI utilisées.
1/3 des données partagées avec la GenAI sont réglementées
Si les taux ont autant progressé, cela signifie que les entreprises ont trouvé les cas d’usage qui leur conviennent. L’utilisation opérationnelle des applications de GenAI s’est étendue à diverses tâches telles que l’assistance à la programmation, le support à l’écriture, la création de présentations et la génération d’images/vidéos.Ces cas d’utilisation qui se généralisent représentent aussi un risque sécuritaire multiforme. Nous évoquons souvent le partage d’informations sensibles, voire confidentielles. D’après l’étude, plus d’un tiers des données sensibles partagées avec les applications d’IA générative sont des données réglementées. La protection de ces informations, que les entreprises sont légalement tenues de protéger, devient un enjeu critique dans un contexte où 96 % des entreprises utilisent désormais l’IA générative.
Au fur et à mesure que les usages s’étendent, les entreprises tendent à mettre en place des contrôles plus fins de l’utilisation des applications autorisées. Sans surprise, les outils de contrôle DLP (Data Loss Prevention) sont de plus en plus utilisés en tant que contrôle des risques liés aux données, passant de 24 % en juin 2023 à plus de 42 % des organisations utilisant la DLP en juin 2024. Une croissance fulgurante de plus de 75 % d’une année sur l’autre.
Le recours au coaching révèle des comportements à risque
Plus insidieux que le partage de données sensibles, le rapport met en évidence une tendance liée aux coaching des utilisateurs. Il fait référence aux fonctions de sécurité qui utilise des messages d’avertissement interactifs ou d’invites affichés aux utilisateurs pendant leur interaction avec des applications d’IA générative.Pour les organisations disposant de politiques de contrôle de l’utilisation des applications, 31 % d’entre elles utilisaient des fonctions de coaching en juin 2024, contre 20 % des organisations en juin 2023, soit une augmentation de plus de 50 % de l’adoption. Dommage que le rapport ne mentionne pas le pourcentage d’entreprises du panel qui utilisent les coaching d’utilisation.
Ces coachs servent de guide et de formateurs, en fournissant aux utilisateurs des informations sur les risques, les bonnes pratiques et la conformité aux politiques liées à l’utilisation des applications. Pour ce faire, ils doivent scruter le comportement de l’utilisateur, et c’est que réside le risque, selon l’étude.
« Nous observons les premiers signes de détections de comportements utilisateur suspects en matière de mouvements de données, détectés par des moteurs de détection comportementale. Les mouvements de données suspects comprennent souvent plusieurs indicateurs de comportements suspects ou inattendus de la part d’un utilisateur par rapport à l’activité normale de l’utilisateur ou de l’organisation. Ces indicateurs peuvent inclure des activités de téléchargement ou de téléversement anormales, de nouvelles sources ou cibles de données suspectes, telles que de nouvelles applications d’IA générative, ainsi que d’autres comportements suspects tels que l’utilisation d’une adresse IP ou d’un agent utilisateur inattendu ou masqué ».
Un accompagnement pour guider les utilisateurs
En examinant en détail les mouvements de données sensibles, les chercheurs de Netskope ont constaté que les principales applications d’où proviennent les données sensibles reflètent la popularité des applications les plus utilisées : OneDrive (34 %) et Google Drive (29 %), SharePoint (21 %), Outlook (8 %) et Gmail (6 %).L’étude souligne également une augmentation alarmante du partage de codes sources propriétaires dans les applications d’IA générative, représentant 46 % des violations de politiques de données documentées. Cette tendance, associée à l’augmentation du nombre moyen d’applications d’IA générative utilisées par les entreprises (près de 10, contre trois l’année précédente), complique la gestion des risques.
Cependant, des signes encourageants ont été enregistrés par les enquêteurs. Par exemple, 65 % des entreprises ont mis en place un accompagnement en temps réel pour guider les utilisateurs dans leurs interactions avec les applications d’IA générative. Cet accompagnement a montré son efficacité, avec 57 % des utilisateurs modifiant leurs actions après avoir reçu une alerte de coaching.
James Robinson, RSSI chez Netskope, insiste sur l’importance d’investissements accrus et d’une vigilance renforcée pour sécuriser l’IA générative. Il souligne que les informations produites par ces technologies peuvent involontairement révéler des données sensibles, propager des informations erronées, ou même diffuser des contenus malveillants. Ainsi, une approche rigoureuse de gestion des risques est indispensable pour protéger les données, la réputation des entreprises, et assurer la continuité des activités.