Shadow GenAI menace les données des entreprises

par | Juil 21, 2024 | Tech | 0 commentaires

Les experts en cyber s

D’après une recherche effectuée par Cyberhaven Labs, les salariés exploitent de plus en plus des documents juridiques, des informations relatives aux ressources humaines ou du code source provenant de leurs sociétés pour utiliser des intelligences artificielles génératives disponibles sur le marché, et ce sans l’approbation du département informatique. Un phénomène de Shadow IA qui s’amplifie rapidement, mettant en péril la sécurité des données sensibles ou même confidentielles des entreprises.

Un nombre croissant d’employés intègrent l’IA générative à leur travail quotidien, souvent sans l’approbation de leurs responsables informatiques ou de leur service de sécurité. Ces employés partagent des documents juridiques, du code source et des données de ressources humaines avec des versions non autorisées d’IA, notamment ChatGPT et Google Gemini. Cela peut causer de graves problèmes aux équipes informatiques et représente un risque important pour l’entreprise.

D’après le rapport AI Adoption and Risk Report Q2 2024 publié par Cyberhaven Labs, spécialiste de la sécurité des données, environ 74 % des utilisations de ChatGPT, qui permettent en théorie aux algorithmes de se former sur les données de l’entreprise, sont effectuées via des comptes non professionnels. Ce rapport se base sur les pratiques réelles de 3 millions d’employés en matière d’IA. Pour Google Gemini et Bard, ce taux atteint même 94 %.

Où vont les données ?

Le rapport indique que près de 83 % de tous les documents juridiques partagés avec ces IA passent par des comptes non professionnels. Près de la moitié du code source, des documents de recherche et développement et des dossiers d’employés sont également envoyés à des IA non validées par l’entreprise. Le volume de données injectées dans ces outils d’IA a presque quintuplé. « Les utilisateurs adoptent ces solutions si rapidement que les services informatiques ne peuvent pas suivre, ce qui augmente le volume de l’IA non autorisée », ajoute le rapport.

A découvrir :  Thoma Bravo acquiert Darktrace pour 5,3 Md$

Beaucoup d’utilisateurs ignorent ce qu’il advient des données de leur entreprise une fois qu’ils les ont partagées avec une IA sans licence. Par exemple, les conditions d’utilisation de ChatGPT stipulent que le contenu saisi reste la propriété des utilisateurs. Cependant, les algorithmes d’OpenAI peuvent utiliser ce contenu pour fournir, maintenir, développer et améliorer leurs services, ce qui signifie qu’ils peuvent s’entraîner sur des dossiers d’employés par exemple. Pourtant, il est tout à fait possible de demander à ChatGPT de ne pas s’entraîner avec ces données.

Pour le moment, tout va bien

Jusqu’à présent, aucune fuite majeure de secrets d’entreprise par l’une de ces IA publiques n’a été signalée. Cependant, les experts en sécurité commencent à s’inquiéter. Le 28 mai, OpenAI a annoncé la création d’un nouveau comité de sûreté et de sécurité. « Évaluer le risque associé au partage d’informations confidentielles ou sensibles avec des IA publiques est difficile », explique Brian Vecci, CTO de Varonis, une entreprise de sécurité cloud. Il semble peu probable que des entreprises comme Google ou OpenAI permettent à leurs IA de divulguer des données sensibles, étant donné le scandale que cela causerait. Cependant, il existe peu de règles régissant ce que les fournisseurs d’IA peuvent faire avec ces informations fournies par les utilisateurs.

Mais surtout, de nombreux autres modèles d’IA arriveront sur le marché dans les prochaines années, selon Brian Vecci. « On verra de plus en plus de Gen AI qui n’appartiendront ni à Google, ni à OpenAI », explique-t-il. « Elles auront probablement moins de scrupules à ne pas prendre de responsabilité sur ces sujets, car elles seront moins exposées ». Les prochaines vagues d’IA pourraient être utilisées par des groupes de pirates ou par toute autre organisation intéressée par la vente d’informations confidentielles sur certaines entreprises, ou elles pourraient tout simplement ne pas disposer de protections de cybersécurité suffisantes. Le CTO de Varonis affirme qu’il existe déjà un LLM similaire à ChatGPT, gratuit et facile à utiliser, mais dont on ne sait pas qui le contrôle. « Si vos employés l’utilisent et qu’ils partagent du code source ou des informations financières, cela pourrait représenter un risque encore plus élevé », prévient-il.

A découvrir :  UGAP choisit Crayon pour le cloud public suite à un appel d'offre

Un comportement à risque

Le fait de partager les données de l’entreprise ou des clients avec une IA non autorisée représente un risque, que le modèle d’IA s’entraîne sur ces données ou les partage avec d’autres. Cela est dû au fait que ces données sortent de l’environnement contrôlé de l’entreprise », ajoute Pranava Adduri, PDG de Bedrock Security. Il recommande aux organisations de signer des accords de licence avec les fournisseurs d’IA qui contiennent des restrictions d’utilisation des données, afin que les employés puissent expérimenter avec l’IA de manière sécurisée. « Le problème vient du manque de contrôle. Si les données sont envoyées vers un système sur lequel vous n’avez pas de contrôle direct, le risque est généralement géré par des contrats et des accords juridiques ».

Avepoint, une entreprise de gestion de données dans le cloud, a signé un contrat d’IA pour prévenir l’utilisation de l’IA non autorisée, comme l’explique Dana Simberkoff, sa responsable des risques, de la confidentialité et de la sécurité de l’information. AvePoint a examiné en détail les conditions de licence, y compris la restriction d’utilisation des données, avant de signer.

Pour Dana Simberkoff, l’un des principaux problèmes de l’IA non autorisée est que les utilisateurs ne lisent jamais la politique de confidentialité ou les conditions d’utilisation avant d’envoyer directement les données de l’entreprise à l’outil. « On ne sait pas toujours clairement où vont ces données, comment elles sont stockées et à quoi elles pourraient servir à l’avenir », résume-t-elle. « Et la plupart des utilisateurs ne comprennent pas nécessairement que ces technologies d’IA ouvertes, issues de nombreux acteurs, que vous pouvez utiliser dans votre navigateur, se nourrissent des données qu’elles ingèrent ».

L’IA : un ami ou un ennemi pour le responsable de la sécurité ?

Avepoint a essayé de dissuader ses employés d’utiliser des IA non autorisées par divers moyens : un programme de formation, des contrôles d’accès stricts aux données sensibles et d’autres protections de cybersécurité empêchant le partage des données. L’entreprise a également travaillé sur une politique d’utilisation acceptable de l’IA. La formation des employés se concentre sur les pratiques courantes, comme l’octroi d’un accès général à un document sensible. Même si un employé ne permet qu’à trois de ses collègues de consulter ce document, autoriser un accès général peut permettre à une IA d’absorber les données. « Ces algorithmes sont comme des bêtes affamées qui absorbent tout ce qu’elles peuvent », insiste Dana Simberkoff. L’utilisation de l’IA, même sous licence officielle, doit inciter les organisations à adopter de bonnes pratiques de gestion des données, ajoute-t-elle. Les contrôles d’accès doivent empêcher les employés de voir des informations sensibles qui ne leur sont pas nécessaires pour leur travail. « Les meilleures pratiques de longue date en matière de sécurité et de confidentialité sont toujours applicables à l’ère de l’IA ».

A découvrir :  Terra Computer : Résultats 2023 affectés par le recul des ventes de PC

« Le déploiement d’une IA qui absorbe constamment des données est un bon test de résistance pour les plans de sécurité et de confidentialité d’une entreprise », ajoute-t-elle. « C’est devenu mon mantra : l’IA est soit le meilleur ami, soit le pire ennemi d’un responsable de la sécurité ou de la protection de la vie privée ». Dana Simberkoff a travaillé avec plusieurs clients d’AvePoint qui ont abandonné des projets d’IA parce qu’ils ne disposaient pas de contrôles de base, pas même d’une politique d’utilisation acceptable. « Ils ne comprenaient pas les conséquences de ce qu’ils faisaient jusqu’à ce que quelque chose de grave se produise », raconte-t-elle. « Si je devais donner un seul conseil important, ce serait qu’il est bon de prendre une pause. Il y a beaucoup de pression sur les entreprises pour déployer l’IA trop rapidement ».

alain-barru
Mathilde Précault

Auteur

Mathilde Précault est une figure passionnée et reconnue dans le monde de la formation en technologies et compétences numériques pour les entreprises. Dotée d'une expertise approfondie en matière de nouvelles technologies, Mathilde a consacré sa carrière à aider les professionnels à naviguer et à exceller dans le paysage numérique en constante évolution. Sa pédagogie unique, alliant théorie et pratique, permet aux apprenants de tous niveaux d'acquérir des compétences essentielles, de la maîtrise des outils de base à l'exploration des dernières innovations technologiques. En tant qu'autrice pour Techdécouverte.com, Mathilde partage ses connaissances et son enthousiasme pour la technologie, offrant aux lecteurs des perspectives enrichissantes et des conseils pratiques pour rester à la pointe de l'ère numérique

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *