Netskope, leader sur le marché du SASE (Secure Access Service Edge), dévoile les conclusions d’une nouvelle étude selon laquelle pour 10 000 utilisateurs, les entreprises subissent chaque mois environ 183 incidents de partage de données sensibles avec l’application ChatGPT. Le code source représente la part la plus importante des données sensibles compromises.

Cette information figure parmi les conclusions du rapport Cloud & Threat Report: AI Apps in the Enterprise, première analyse complète du Threat Labs de Netskope consacrée à l’utilisation de l’intelligence artificielle en entreprise et aux risques pour la sécurité.

Sur la base des données générées par des millions d’employés d’organisations du monde entier, Netskope a constaté que l’utilisation des applications d’IA générative augmente rapidement. Elle a en effet augmenté de 22,5 % au cours des deux derniers mois, une accélération qui entraine un risque croissant que des utilisateurs compromettent des données sensibles.

L’usage croissant des applications d’IA

Netskope a constaté que les entreprises d’au moins 10 000 collaborateurs emploient en moyenne cinq IA applicatives par jour, ChatGPT comptant à elle seule plus de huit fois plus d’utilisateurs quotidiens actifs que toute autre application. Au rythme actuel de croissance, ce nombre d’utilisateurs devrait doubler au cours des sept prochains mois.

Au cours des deux derniers mois, Google Bard est l’application d’IA qui a enregistré la croissance la plus soutenue, avec une hausse hebdomadaire du nombre d’utilisateurs de 7,1 %, contre 1,6 % pour ChatGPT. 

A ce rythme, Google ne devrait pas rattraper ChatGPT avant plus d’un an, sachant que le monde des applications d’IA générative va probablement évoluer de façon significative au cours de cette période, un grand nombre de plateformes étant en cours de développement.

Les utilisateurs alimentent ChatGPT en données sensibles

Au cours de son étude, Netskope a constaté que les codes source sont publiés dans ChatGPT, plus que tout autre type de données sensibles, avec un taux mensuel de 158 incidents pour 10 000 utilisateurs. 

Parmi les autres données confidentielles partagées sur ChatGPT figurent des données réglementées, notamment financières, ou médicales, et des informations personnellement identifiables (IPI).

C’est aussi le cas de blocs de propriété intellectuelle, à l’exclusion du code source et, ce qui est encore plus préoccupant, des mots de passe et des clés généralement intégrés dans le code source.

« Il est inévitable que certains utilisateurs téléversent du code source propriétaire ou du texte contenant des données sensibles vers des outils d’IA qui promettent de les aider à programmer ou à rédiger des contenus, concède Ray Canzanese, Threat Research Director, Netskope Threat Labs.

Il est par conséquent impératif que les entreprises mettent en place des contrôles autour de l’IA afin de pallier toute fuite de données sensibles, l’objectif ultime étant de déployer des contrôles qui permettent aux utilisateurs de bénéficier des avantages de l’intelligence artificielle en rationalisant les opérations et en améliorant leur efficacité, tout en atténuant les risques. 

Les contrôles les plus efficaces combinent la prévention des pertes de données (DLP) et un encadrement interactif des utilisateurs. »

Bloquer ou permettre l’accès à ChatGPT

Le Threat Labs de Netskope suit actuellement les proxies de ChatGPT ainsi que plus d’un millier d’adresses URL et de domaines malveillants associés à des cybercriminels opportunistes qui cherchent à exploiter l’engouement suscité par l’IA au travers de campagnes de phishing et de distribution de malware, ou de la création de spam et de sites internet frauduleux.

Le blocage de l’accès aux applications d’IA et aux contenus liés à l’intelligence artificielle est une solution à court terme pour minimiser les risques au détriment des avantages potentiels qu’offrent ces nouvelles applications pour l’innovation des entreprises et la productivité de leurs employés.

Les données collectées par Netskope montrent que dans des secteurs fortement réglementés tels que les services financiers et la santé, près d’une entreprise sur cinq interdit purement et simplement à ses employés d’utiliser ChatGPT, contre seulement une sur vingt dans le secteur technologique.

« En tant que leaders sur le marché de la sécurité, nous ne pouvons tout simplement pas décider d’interdire des applications sans influencer sur l’expérience et la productivité des utilisateurs, ajoute James Robinson, Deputy Chief Information Security Officer.

Les entreprises doivent se concentrer sur la sensibilisation de leurs collaborateurs et leurs politiques de données afin de répondre aux besoins des employés qui utilisent ces technologies de manière productive. En conjuguant les bons outils et le bon état d’esprit, il est tout à fait possible de profiter des atouts de l’intelligence artificielle générative en toute sécurité. »

Pour pouvoir adopter les applications d’IA dans des conditions de sécurité maximales, les entreprises doivent centrer leur approche sur l’identification des applications autorisées et la mise en place de contrôles permettant aux utilisateurs d’en exploiter pleinement le potentiel, tout en se protégeant contre les risques.

Une telle approche inclut le filtrage de domaines, le filtrage des adresses URL et l’inspection des contenus pour neutraliser les attaques. D’autres mesures permettent de défendre les données et d’utiliser les outils d’IA en toute sécurité :

• Le blocage de l’accès aux applications qui ne répondent à aucun objectif professionnel légitime ou présentent un risque disproportionné pour l’entreprise ;
• L’encadrement des utilisateurs et le rappel des règles de l’entreprise relatives à l’utilisation des applications d’IA ;

• L’utilisation de technologies de prévention des pertes de données (DLP) de nouvelle génération pour détecter les publications contenant des informations potentiellement sensibles.

Plus d'info.