Une utilisation contrôlée de ces outils d’IA générative est aujourd’hui incontournable. Car si des entreprises se contentent d’interdire l’accès à ces technologies peuvent s’estimer à l’abri de tout risque, sur le long terme, elles se privent de leurs avantages et prennent du retard en termes d’innovation.
Utilisation contrôlée de ChatGPT
Avant novembre 2022, peu de monde s’intéressait à l’IA générative, à moins d’être un spécialiste de la sécurité, un développeur, un expert des données ou un passionné de technologie. Or, depuis la médiatisation dont a bénéficié ChatGPT, ces technologies sont désormais accessibles au grand public. Il suffit ainsi de disposer d’un navigateur pour découvrir en quelques minutes tout ce dont elles sont capables. Face à l’engouement généré et au niveau d’intérêt suscité en entreprise, deux voies s’offrent aux dirigeants : soit interdire ou limiter sévèrement l’utilisation de ces technologies, ou bien créer une culture qui permette à chacun d’en comprendre l’utilisation et de l’adopter sans faire courir de cyber-risque à l’entrepriseLes menaces liées à ces outils sont comparables à celles des premières années d’existence des moteurs de recherche il y a plusieurs décennies ; soit la divulgation d’une vaste quantité de données confidentielles. L’objectif fondamental de toute stratégie de sécurité est de protéger les données sensibles et leurs sources contre les accès non autorisés. Cela consiste notamment à mettre en place des systèmes modernes de prévention des pertes de données (DLP), qui empêchent l’utilisation abusive et l’exfiltration des données, tout en offrant aux équipes IT la possibilité de réagir rapidement en cas d’incident.
La solution DLP doit pouvoir définir deux niveaux de politiques : « ce qui ne doit jamais être divulgué », c’est-à-dire des données dont la publication représente un danger pour l’entreprise, et « ce qui ne doit pas être divulgué », soient les données qu’il est préférable de protéger, mais dont la compromission n’affecterait pas l’activité de façon significative. Ainsi, l’objectif est de pouvoir identifier automatiquement les flux de données sensibles et de les catégorise avec la plus grande précision. Par exemple, cela inclut la classification d’images basée sur l’IA ou le machine learning, ainsi que la capacité de construire des classificateurs personnalisés, sans oublier un système de contrôle en temps réel s’activant à chaque connexion d’utilisateur qui peut à la fois bloquer, de façon sélective, les transmissions d’informations sensibles, et afficher des messages conçus pour aider les utilisateurs à adopter un meilleur comportement.
Le contrôle des prestataires externes et internes
Actuellement, des experts en technologies s’inquiètent des risques posés par les prestataires externes et leurs propres prestataires. Les assistants IA, ou « copilotes », par exemple, sont appelés à une adoption généralisée. Mais combien d’entreprises, dans leur processus d’appel d’offres, demandent aujourd’hui à leurs fournisseurs, directs ou indirects, des informations précises sur la manière dont leurs outils exploitent ces outils ? Par exemple, si les fournisseurs ont des applications d’IA qui génèrent du contenu, il est important de savoir à qui appartient la technologie qu’ils utilisent, ou l’identité des propriétaires des contenus que produisent ces applications.C’est pourquoi le processus de gouvernance au niveau de ses propres normes internes doit être étroitement évalué et modifié si besoin pour le sécuriser de manière optimale. Le secteur de la sécurité a tout à gagner lorsque nous faisons preuve de transparence et de précision sur les objectifs que nous nous fixons et sur la façon dont nous comptons les atteindre.
Aujourd’hui, une entreprise ne doit plus envisager d’interdire l’utilisation d’outils d’IA générative, car ils sont présents partout et représentent une aide importante pour la productivité des équipes. Toutefois, le risque qu’ils représentent pour la protection des données doit être pris en compte, à tout moment et quel que soit le lieu où les solutions et les données se trouvent.
Par Neil Thacker, RSSI EMEA chez Netskope