Shadow GenAI menace les données des entreprises

par | Juil 21, 2024 | Tech | 0 commentaires

"

Voir plus

Derniers Articles

Les experts en cyber s

D’après une recherche effectuée par Cyberhaven Labs, les salariés exploitent de plus en plus des documents juridiques, des informations relatives aux ressources humaines ou du code source provenant de leurs sociétés pour utiliser des intelligences artificielles génératives disponibles sur le marché, et ce sans l’approbation du département informatique. Un phénomène de Shadow IA qui s’amplifie rapidement, mettant en péril la sécurité des données sensibles ou même confidentielles des entreprises.

Un nombre croissant d’employés intègrent l’IA générative à leur travail quotidien, souvent sans l’approbation de leurs responsables informatiques ou de leur service de sécurité. Ces employés partagent des documents juridiques, du code source et des données de ressources humaines avec des versions non autorisées d’IA, notamment ChatGPT et Google Gemini. Cela peut causer de graves problèmes aux équipes informatiques et représente un risque important pour l’entreprise.

D’après le rapport AI Adoption and Risk Report Q2 2024 publié par Cyberhaven Labs, spécialiste de la sécurité des données, environ 74 % des utilisations de ChatGPT, qui permettent en théorie aux algorithmes de se former sur les données de l’entreprise, sont effectuées via des comptes non professionnels. Ce rapport se base sur les pratiques réelles de 3 millions d’employés en matière d’IA. Pour Google Gemini et Bard, ce taux atteint même 94 %.

Où vont les données ?

Le rapport indique que près de 83 % de tous les documents juridiques partagés avec ces IA passent par des comptes non professionnels. Près de la moitié du code source, des documents de recherche et développement et des dossiers d’employés sont également envoyés à des IA non validées par l’entreprise. Le volume de données injectées dans ces outils d’IA a presque quintuplé. « Les utilisateurs adoptent ces solutions si rapidement que les services informatiques ne peuvent pas suivre, ce qui augmente le volume de l’IA non autorisée », ajoute le rapport.

Beaucoup d’utilisateurs ignorent ce qu’il advient des données de leur entreprise une fois qu’ils les ont partagées avec une IA sans licence. Par exemple, les conditions d’utilisation de ChatGPT stipulent que le contenu saisi reste la propriété des utilisateurs. Cependant, les algorithmes d’OpenAI peuvent utiliser ce contenu pour fournir, maintenir, développer et améliorer leurs services, ce qui signifie qu’ils peuvent s’entraîner sur des dossiers d’employés par exemple. Pourtant, il est tout à fait possible de demander à ChatGPT de ne pas s’entraîner avec ces données.

Pour le moment, tout va bien

Jusqu’à présent, aucune fuite majeure de secrets d’entreprise par l’une de ces IA publiques n’a été signalée. Cependant, les experts en sécurité commencent à s’inquiéter. Le 28 mai, OpenAI a annoncé la création d’un nouveau comité de sûreté et de sécurité. « Évaluer le risque associé au partage d’informations confidentielles ou sensibles avec des IA publiques est difficile », explique Brian Vecci, CTO de Varonis, une entreprise de sécurité cloud. Il semble peu probable que des entreprises comme Google ou OpenAI permettent à leurs IA de divulguer des données sensibles, étant donné le scandale que cela causerait. Cependant, il existe peu de règles régissant ce que les fournisseurs d’IA peuvent faire avec ces informations fournies par les utilisateurs.

A découvrir :  Thoma Bravo acquiert Darktrace pour 5,3 Md$

Mais surtout, de nombreux autres modèles d’IA arriveront sur le marché dans les prochaines années, selon Brian Vecci. « On verra de plus en plus de Gen AI qui n’appartiendront ni à Google, ni à OpenAI », explique-t-il. « Elles auront probablement moins de scrupules à ne pas prendre de responsabilité sur ces sujets, car elles seront moins exposées ». Les prochaines vagues d’IA pourraient être utilisées par des groupes de pirates ou par toute autre organisation intéressée par la vente d’informations confidentielles sur certaines entreprises, ou elles pourraient tout simplement ne pas disposer de protections de cybersécurité suffisantes. Le CTO de Varonis affirme qu’il existe déjà un LLM similaire à ChatGPT, gratuit et facile à utiliser, mais dont on ne sait pas qui le contrôle. « Si vos employés l’utilisent et qu’ils partagent du code source ou des informations financières, cela pourrait représenter un risque encore plus élevé », prévient-il.

Un comportement à risque

Le fait de partager les données de l’entreprise ou des clients avec une IA non autorisée représente un risque, que le modèle d’IA s’entraîne sur ces données ou les partage avec d’autres. Cela est dû au fait que ces données sortent de l’environnement contrôlé de l’entreprise », ajoute Pranava Adduri, PDG de Bedrock Security. Il recommande aux organisations de signer des accords de licence avec les fournisseurs d’IA qui contiennent des restrictions d’utilisation des données, afin que les employés puissent expérimenter avec l’IA de manière sécurisée. « Le problème vient du manque de contrôle. Si les données sont envoyées vers un système sur lequel vous n’avez pas de contrôle direct, le risque est généralement géré par des contrats et des accords juridiques ».

Avepoint, une entreprise de gestion de données dans le cloud, a signé un contrat d’IA pour prévenir l’utilisation de l’IA non autorisée, comme l’explique Dana Simberkoff, sa responsable des risques, de la confidentialité et de la sécurité de l’information. AvePoint a examiné en détail les conditions de licence, y compris la restriction d’utilisation des données, avant de signer.

Pour Dana Simberkoff, l’un des principaux problèmes de l’IA non autorisée est que les utilisateurs ne lisent jamais la politique de confidentialité ou les conditions d’utilisation avant d’envoyer directement les données de l’entreprise à l’outil. « On ne sait pas toujours clairement où vont ces données, comment elles sont stockées et à quoi elles pourraient servir à l’avenir », résume-t-elle. « Et la plupart des utilisateurs ne comprennent pas nécessairement que ces technologies d’IA ouvertes, issues de nombreux acteurs, que vous pouvez utiliser dans votre navigateur, se nourrissent des données qu’elles ingèrent ».

L’IA : un ami ou un ennemi pour le responsable de la sécurité ?

Avepoint a essayé de dissuader ses employés d’utiliser des IA non autorisées par divers moyens : un programme de formation, des contrôles d’accès stricts aux données sensibles et d’autres protections de cybersécurité empêchant le partage des données. L’entreprise a également travaillé sur une politique d’utilisation acceptable de l’IA. La formation des employés se concentre sur les pratiques courantes, comme l’octroi d’un accès général à un document sensible. Même si un employé ne permet qu’à trois de ses collègues de consulter ce document, autoriser un accès général peut permettre à une IA d’absorber les données. « Ces algorithmes sont comme des bêtes affamées qui absorbent tout ce qu’elles peuvent », insiste Dana Simberkoff. L’utilisation de l’IA, même sous licence officielle, doit inciter les organisations à adopter de bonnes pratiques de gestion des données, ajoute-t-elle. Les contrôles d’accès doivent empêcher les employés de voir des informations sensibles qui ne leur sont pas nécessaires pour leur travail. « Les meilleures pratiques de longue date en matière de sécurité et de confidentialité sont toujours applicables à l’ère de l’IA ».

A découvrir :  UGAP choisit Crayon pour le cloud public suite à un appel d'offre

« Le déploiement d’une IA qui absorbe constamment des données est un bon test de résistance pour les plans de sécurité et de confidentialité d’une entreprise », ajoute-t-elle. « C’est devenu mon mantra : l’IA est soit le meilleur ami, soit le pire ennemi d’un responsable de la sécurité ou de la protection de la vie privée ». Dana Simberkoff a travaillé avec plusieurs clients d’AvePoint qui ont abandonné des projets d’IA parce qu’ils ne disposaient pas de contrôles de base, pas même d’une politique d’utilisation acceptable. « Ils ne comprenaient pas les conséquences de ce qu’ils faisaient jusqu’à ce que quelque chose de grave se produise », raconte-t-elle. « Si je devais donner un seul conseil important, ce serait qu’il est bon de prendre une pause. Il y a beaucoup de pression sur les entreprises pour déployer l’IA trop rapidement ».

Articles relatifs:

  1. Titre : « Les 60 principales banques mondiales détiennent 1 350 milliards de dollars en « actifs fossiles », selon une récente recherche »

    Selon une recherche récente, les 60 banques les plus importantes à travers le monde sont liées à des « actifs fossiles » évalués à 1 350 milliards de dollars. Cette situation présente un risque considérable pour l’économie mondiale. Les actifs fossiles comprennent les investissements dans les industries du charbon, du pétrole et du gaz, qui sont des sources majeures de gaz à effet de serre, responsables du changement climatique.

    L’étude indique que malgré les promesses de nombreuses banques de réduire leur empreinte carbone et de soutenir les objectifs de l’accord de Paris sur le climat, elles continuent à financer massivement les énergies fossiles. Cela met en lumière le décalage entre les engagements de ces institutions financières et leurs actions concrètes.

    Il est à noter que l’exposition des banques aux actifs fossiles peut avoir des conséquences financières négatives. En effet, avec les efforts mondiaux pour réduire les émissions de gaz à effet de serre et passer à des sources d’énergie renouvelables, ces actifs pourraient devenir « stranded », c’est-à-dire qu’ils pourraient perdre leur valeur et devenir des actifs toxiques pour les banques.

    De plus, l’étude souligne que les banques jouent un rôle clé dans le financement de la transition vers une économie à faible émission de carbone. Cela signifie qu’elles ont une responsabilité importante dans la lutte contre le changement climatique. Elles doivent donc prendre des mesures concrètes pour réduire leur exposition aux actifs fossiles et augmenter leurs investissements dans les énergies renouvelables.

    En conclusion, cette étude met en évidence le rôle crucial des banques dans la lutte contre le changement climatique et la nécessité pour elles de revoir leurs pratiques d’investissement. Il est clair que le secteur financier a un rôle à jouer dans la transition vers une économie verte et durable, et que les banques doivent prendre des mesures concrètes pour aligner leurs actions avec leurs engagements en matière de climat.
  2. Protéger la France d’une crise des ‘subprimes fossiles’ avec 6,5 mois de bénéfices bancaires
  3. Donnée précieuse encore mal exploitée : un matériau sous-utilisé
  4. Titre réécrit : UNC3944 : Mandiant dévoile les nouvelles tactiques du groupe de cybercriminels

    Mandiant, une entreprise leader dans le domaine de la sécurité informatique, a récemment révélé les nouvelles méthodes employées par UNC3944, un groupe de cybercriminels notoire.

    Les chercheurs de Mandiant ont réussi à identifier la manière dont le groupe UNC3944 a adapté ses stratégies pour mener des attaques plus sophistiquées. Le groupe de cybercriminels est connu pour cibler des entreprises et des organisations à travers le monde, exploitant les vulnérabilités des systèmes informatiques pour voler des données sensibles et causer des dommages importants.

    Ces nouvelles informations sur les modes opératoires de UNC3944 sont d’une grande importance pour la communauté de la cybersécurité, car elles permettent de mieux comprendre les tactiques des cybercriminels et donc de mettre en place des mesures de défense plus efficaces.

    Selon les experts de Mandiant, UNC3944 a modifié ses techniques d’attaque pour devenir plus imprévisible et difficile à détecter. Le groupe a également commencé à utiliser de nouveaux outils et logiciels malveillants pour infiltrer les systèmes de ses cibles.

    Les chercheurs de Mandiant ont également découvert que UNC3944 a commencé à exploiter des failles de sécurité plus complexes et moins connues, ce qui rend leur détection et leur prévention encore plus difficile.

    Ces nouvelles tactiques du groupe de cybercriminels UNC3944 montrent l’évolution constante des menaces en matière de cybersécurité. Les entreprises et les organisations doivent donc rester vigilantes et continuer à investir dans des solutions de sécurité informatique robustes pour se protéger contre ces menaces.

    En révélant les nouvelles méthodes de UNC3944, Mandiant espère aider la communauté de la cybersécurité à anticiper et à prévenir les futures attaques de ce groupe de cybercriminels. La société encourage également les entreprises à partager leurs propres expériences et connaissances en matière de cybersécurité pour contribuer à la lutte collective contre les cybercriminels.

    En conclusion, la divulgation par Mandiant des dernières tactiques de UNC3944 souligne l’importance de la coopération et de l’échange d’informations dans le domaine de la cybersécurité. Cela permet non seulement de renforcer les défenses contre les cyberattaques, mais aussi de sensibiliser davantage aux menaces en constante évolution dans le paysage numérique.
A découvrir :  Terra Computer : Résultats 2023 affectés par le recul des ventes de PC
Tech

Derniers articles catégorie "Tech"

alain-barru
Mathilde Précault

Auteur

Mathilde Précault est une figure passionnée et reconnue dans le monde de la formation en technologies et compétences numériques pour les entreprises. Dotée d'une expertise approfondie en matière de nouvelles technologies, Mathilde a consacré sa carrière à aider les professionnels à naviguer et à exceller dans le paysage numérique en constante évolution. Sa pédagogie unique, alliant théorie et pratique, permet aux apprenants de tous niveaux d'acquérir des compétences essentielles, de la maîtrise des outils de base à l'exploration des dernières innovations technologiques. En tant qu'autrice pour Techdécouverte.com, Mathilde partage ses connaissances et son enthousiasme pour la technologie, offrant aux lecteurs des perspectives enrichissantes et des conseils pratiques pour rester à la pointe de l'ère numérique

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *