Lancé par la Première ministre en septembre dernier, le comité de l’intelligence artificielle générative a pour objectif de présenter des propositions concrètes d'ici à six mois afin d'adapter la stratégie du Gouvernement au sujet de l'IA, en plein essor.

Selon la dernière enquête annuelle de McKinsey, un tiers des entreprises utilisent régulièrement l’IA générative dans au moins une fonction, et 60 % des organisations ayant déclaré avoir adopté l’IA utilisent l’IA générative.

Si les avantages de son utilisation sont considérables, elle n’est pas sans risque. En juin dernier, plus de 100 000 comptes ChatGPT ont été piratés, puis mis en vente sur le Dark Web. Il faut donc avoir conscience que ces outils ne garantissent pas la sécurité ou la confidentialité des données.

Selon Ray Canzanese, Threat Research Director du Threat Labs de Netskope, si les applications d'IA générative ont le potentiel de faciliter le quotidien des collaborateurs, elles peuvent également exposer de manière significative les données sensibles et les organisations à des risques de compromissions de données et de non-conformité :

« Selon nos recherches, pour 10 000 utilisateurs, les entreprises subissent chaque mois environ 183 incidents de partage de données sensibles avec l’application ChatGPT. Les codes source sont les plus partagées dans ChatGPT, avec un taux mensuel de 158 incidents pour 10 000 utilisateurs.

On dénombre également des données réglementées, notamment financières ou médicales, et des informations personnellement identifiables (IPI). Les organisations doivent donc prendre des contre-mesures sérieuses pour préserver la confidentialité et la sécurité de leurs données sensibles.

Cela implique de surveiller l'utilisation et l'abus potentiel d'applications d’Intelligence Artificielle générative, en limitant l'exposition d'informations sensibles par leur intermédiaire et en sécurisant les documents confidentiels contre la perte accidentelle et le vol.

Pour relever le défi, la visibilité sera clé. Les équipes de sécurité doivent en effet s'appuyer sur des outils automatisés capables de surveiller en permanence les applications telles que ChatGPT auxquelles les utilisateurs de l'entreprise accèdent ; et plus particulièrement comment, quand, à partir d'où et à quelle fréquence.

Il est essentiel de comprendre également les différents niveaux de risque que chaque outil représente pour l'organisation et d'avoir la capacité de définir des politiques de contrôle d'accès granulaires, en temps réel sur la base de cette catégorisation ainsi que des conditions de sécurité qui peuvent changer au fil du temps.

Alors que les applications plus explicitement malveillantes devraient être bloquées, la responsabilité de l'utilisation d’applications d’IA générative devrait être confiée aux utilisateurs. Il n’y aura en effet pas de futur sans ces technologies, l’objectif est donc de permettre, mais de restreindre leur utilisation à des activités définies et pertinentes.

En parallèle, les équipes de sécurité ont la responsabilité de sensibiliser les collaborateurs aux applications et aux activités jugées risquées. Cela peut se faire via des alertes en temps réel et des workloads automatisés de formation, en impliquant l'utilisateur dans les décisions d'accès après avoir reconnu le risque.

Les utilisateurs commettent des erreurs et peuvent, par négligence, mettre en danger des données sensibles. Par conséquent, il est primordial de limiter le téléchargement et la publication de données hautement sensibles via ChatGPT et autres outils similaires.

Seules des techniques modernes de prévention des pertes de données (DLP) permettent d'y parvenir, car elles sont capables d'identifier automatiquement les flux de données critiques et de catégoriser les messages sensibles avec un niveau de précision très élevé. »