Si ces fonctionnalités peuvent grandement augmenter la productivité, aussi bien individuellement qu’à l’échelle de l’organisation, bannir son utilisation, comme certains ont pu le suggérer, n’est pas une solution viable. Par conséquent, les RSSI doivent gérer les risques liés à l’IA plutôt que d’essayer de restreindre son utilisation. Les risques inhérents à l’IA générative peuvent être regroupés selon trois domaines : juridique et conformité, éthique et sécurité.
Un cadre réglementaire flou
Les risques juridiques et de conformité découlent du fait que le paysage juridique et réglementaire entourant l’IA générative n’en est encore qu’à ses balbutiements. De ce fait, les entreprises ne sont peut-être pas au courant des dispositions légales à respecter. De plus, la confidentialité des données, les droits de propriété intellectuelle et les problèmes de responsabilité sont source de bon nombre de préoccupations.Les risques éthiques concernent eux l’usage potentiellement malsain ou discriminatoire de l’IA générative. Les préoccupations concernent par exemple les biais dans l’entraînement des datasets, menant à des résultats non représentatifs du monde réel ou aux bonnes mœurs. Le risque que l’IA générative soit utilisée pour créer des deepfakes ou d’autres formes de contenu modifié pour propager de fausses informations ou porter atteinte à des personnes existe également.
Des forts enjeux autour de la sécurité
En mars dernier, ChatGPT a affiché les prompts de recherche d’autres utilisateurs dans son interface pendant une courte durée, en raison d’un bug. Puis en avril, des employés d’un conglomérat industriel mondial ont accidentellement divulgué des informations confidentielles en utilisant ChatGPT pour vérifier du code source à la recherche d’erreurs et pour résumer des comptes rendus de réunions. Bien qu’aucune donnée sensible n’ait été divulguée publiquement après avoir été saisie dans ChatGPT, les données pourraient être utilisées par le créateur de ChatGPT, OpenAI, pour entraîner de prochains modèles, qui pourraient ensuite les révéler indirectement dans leurs réponses à des prompts.Ce risque de divulgation accidentelle par ChatGPT lui-même peut néanmoins être diminué. Ainsi, les entreprises devront prendre des mesures particulières telles que l’utilisation de copies de modèles hébergées localement ou sur le cloud et dont les conditions d’utilisation et la politique de confidentialité répondent davantage aux limites de risque acceptées. Si cette option n’est pas envisageable, des limites devront être imposées sur le volume de données envoyées sur les modèles publics. Cela permettrait l’utilisation de LLM tels que ChatGPT pour la plupart des tâches tout en empêchant un utilisateur de copier-coller de gros volumes de données propriétaires dans le modèle pour synthèse ou vérification.
Le risque d’exploitation de vulnérabilité n’est pas non plus négligeable. S’il existe plusieurs cas d’usage permettant d’utiliser l’IA générative pour analyser du code source à la recherche de vulnérabilités et produire des rapports, cette même fonctionnalité peut cependant permettre à des acteurs malveillants de déceler des vulnérabilités avant les défenseurs. De plus, les LLM peuvent également générer le code d’exploit pour les vulnérabilités découvertes, devenant ainsi des machines à créer des attaques zero-day. Ainsi, de nouvelles vulnérabilités pourraient potentiellement être exploitées en quelques minutes, voire quelques secondes, contre plusieurs jours ou semaines auparavant. La fenêtre d’attaque zero-day sera donc amenée à grandir pour les malfaiteurs, sauf si les défenseurs parviennent également à accélérer la vitesse à laquelle ils peuvent créer et publier des correctifs.
Enfin l’IA générative pourrait aussi devenir l’outil favoris des auteurs de phishing, l’une des sources les plus fréquentes de fuites de données. Le harponnage, un sous-ensemble du phishing, utilise des e-mails ayant besoin de deux composants pour réussir : des recherches poussées sur leur cible et un e-mail d’attaque personnalisé. Le taux de réponse pour ces attaques ciblées et personnalisées est invariablement plus élevé. Historiquement, ces attaques impliquent une quantité de travail préparatoire considérable pour les attaquants, mais malheureusement pour les défenseurs, elles sont désormais faciles à automatiser grâce à l’IA. Son rendement est très qualitatif, ce qui réduit encore davantage l’effort nécessaire pour mener des attaques de harponnage. L’atténuation des risques de phishing nécessite de déployer des logiciels anti-phishing, de sensibiliser les employés et de faire du signalement des e-mails suspects une composante essentielle de votre logiciel de messagerie.
Pour conclure, bien que l’IA générative ait le potentiel d’augmenter la productivité et la compétitivité des entreprises, les RSSI doivent avoir pleinement conscience de ses implications stratégiques, juridiques, éthiques et de cybersécurité. Pour autant, le ratio bénéfices/risques semble bien être en faveur de l’IA générative. Des mesures pour simplifier son bon fonctionnement en toute sécurité sont aujourd’hui possibles tels que le déploiement de protections et de contre-mesures pour réduire les risques liés à l’utilisation de l’IA mais aussi le fait d’opter pour des modèles de langage hébergés localement ou sur le cloud et intégrant des mesures de protection.
Par Johan Bjerke, Security Strategist chez Splunk