L’utilisation de l’IA générative a explosé au cours de l’année écoulée. À cet égard, le changement de ton des articles de presse sur le sujet entre 2023 et 2024 est assez remarquable. L’année dernière, Forbes nous informait que JPMorgan Chase, Amazon et plusieurs universités américaines avaient décidé d’interdire ou de limiter l’utilisation de ChatGPT. La presse rapportait également qu’Amazon et Samsung avaient découvert que certains employés partageaient du code et d’autres données confidentielles avec le chatbot d’OpenAI.
Si l’on compare cela aux gros titres de 2024, l’accent est désormais mis sur la manière dont les assistants d’IA sont adoptés massivement par les entreprises. J.P. Morgan déploie ChatGPT à l’intention de 60 000 collaborateurs pour les aider à gagner en efficacité. Et Amazon a annoncé récemment qu’en utilisant l’IA générative pour migrer 30 000 applications vers une nouvelle plate-forme, il avait économisé l’équivalent de 4 500 années de développement et 260 millions de dollars.
L’enquête mondiale 2024 de McKinsey sur l’IA montre également à quel point la situation a évolué. Ainsi, elle dévoile que 65 % des sondés affirment que leur entreprise utilise désormais l’IA générative de façon régulière. Ce chiffre a presque doublé sur une période de 10 mois.
L’aspect le plus révélateur de cette tendance est que les entreprises adoptent l’IA générative sous l’effet de la pression concurrentielle, éperonnées par la crainte de se laisser distancer. Dans ce cas, comment peuvent-elles atténuer leurs risques ? C’est ce que nous allons voir dans cet article.
IA générative : un nouveau type de risque interne
Outil de productivité, l’IA générative ouvre la porte aux risques internes par le fait d’utilisateurs négligents, compromis ou malintentionnés.
- Utilisateurs internes négligents. Ces utilisateurs peuvent saisir des données sensibles (informations client, algorithmes propriétaires, stratégies internes, etc.) dans des outils d’IA générative. De même, ils peuvent créer des contenus qui ne respectent pas les normes juridiques ou réglementaires de l’entreprise, par exemple des documents contenant des propos discriminatoires ou des images déplacées. Cela crée des risques juridiques non négligeables. En outre, certains utilisateurs peuvent employer des outils d’IA générative non autorisés, ce qui peut conduire à des vulnérabilités de sécurité et à des problèmes de conformité.
- Utilisateurs internes compromis. L’accès aux outils d’IA générative peut être compromis par des cybercriminels. Ceux-ci exploitent alors cet accès pour extraire, générer ou partager des données sensibles avec des tiers.
- Utilisateurs internes malintentionnés. Certains utilisateurs internes sont animés d’une volonté de nuire et peuvent faire fuiter des informations sensibles dans des outils d’IA générative publics. De même, s’ils ont accès à des jeux de données ou modèles propriétaires, ils pourraient employer ces outils pour créer des produits concurrents. Ils peuvent aussi utiliser l’IA générative pour créer ou altérer des dossiers, dans le but d’empêcher les auditeurs d’identifier les écarts ou les problèmes de conformité.
Pour atténuer ces risques, les entreprises ont besoin à la fois de contrôles techniques, de règles internes et de stratégies centrées sur les personnes. Elles doivent non seulement surveiller l’utilisation de l’IA et l’accès aux données, mais également mettre en place des mesures adaptées (comme la formation du personnel), ainsi qu’un cadre éthique solide.
Sécurité centrée sur les personnes pour l’IA générative
L’adoption sécurisée de cette technologie est une priorité pour la plupart des RSSI. Proofpoint dispose d’une solution de protection des informations adaptative et centrée sur les personnes qui peut vous aider à cet égard. Cette solution vous offre à la fois visibilité et contrôle sur l’utilisation de l’IA générative dans votre entreprise. Qui plus est, cette visibilité s’étend aux endpoints, au cloud et au Web. Voici comment :
Dotez-vous d’une visibilité sur les outils d’IA générative non approuvés :
- Surveillez l’utilisation de plus de 600 sites d’IA générative par utilisateur, groupe ou département interne.
- Surveillez l’utilisation des applications d’IA générative avec un contexte reposant sur le risque utilisateur.
- Identifiez les autorisations des applications d’IA tierces liées à votre référentiel d’identités.
- Recevez des alertes lorsque les identifiants de connexion de l’entreprise sont utilisés pour des services d’IA générative.
Appliquez des règles d’utilisation acceptable pour les outils d’IA générative et empêchez les fuites de données :
- Bloquez les chargements Web et le collage de données sensibles sur les sites d’IA générative.
- Empêchez la saisie de données sensibles dans des outils tels que ChatGPT, Gemini, Claude, Copilot, etc.
- Révoquez les autorisations d’accès des applications d’IA générative tierces.
- Surveillez l’utilisation de Copilot pour Microsoft 365 et recevez des alertes en cas d’accès à des données sensibles via la messagerie, des fichiers et des messages Teams.
- Appliquez des étiquettes Microsoft Information Protection (MIP) aux fichiers sensibles et assurez-vous que Copilot utilise les mêmes étiquettes pour le contenu généré à partir de ces fichiers.
Surveillez et identifiez les menaces internes avec des règles d’IA générative dynamiques :
- Capturez des métadonnées et enregistrez des captures d’écran avant et après que les utilisateurs accèdent à des outils d’IA générative.
Formez les collaborateurs à l’utilisation acceptable des outils d’IA générative :
- Sensibilisez les utilisateurs à l’emploi en toute sécurité de l’IA générative à l’aide de vidéos, d’affiches, de modules interactifs et de newsletters.
- Automatisez la mise à disposition de formations personnalisées pour les utilisateurs les plus à risque.
Vous pouvez en outre tirer profit de l’expertise des services managés Proofpoint pour optimiser votre programme de protection des informations dans la perspective de l’adoption de l’IA générative et respecter les bonnes pratiques.
En savoir plus
Contactez votre responsable de compte pour découvrir comment Proofpoint peut vous aider à mettre en œuvre des règles d’utilisation acceptable pour les outils d’IA générative et tester notre solution.
Pour voir une démonstration de notre solution de protection des informations pour l’IA générative, regardez notre webinaire à la demande, « Top Data Loss User Cases on Endpoints ».