Libérer les pouvoirs de transformation de l’Intelligence Artificielle en toute sécurité

Les entreprises intègrent rapidement les outils d'IA et de ML dans divers domaines tels que l'ingénierie, l'informatique, le marketing, la finance et la relation client. Cependant, elles doivent concilier les nombreux risques inhérents à ces technologies pour en maximiser les performances. Afin de libérer le potentiel transformateur de l'IA, elles doivent instaurer des contrôles sécurisés pour protéger leurs données, empêcher la fuite d'informations sensibles, atténuer la prolifération de « l’IA fantôme ». Ainsi, l'IA représente un double tranchant pour les entreprises : en dehors de leurs murs, elle est devenue une force motrice pour les cybermenaces.

Nous l’avons constaté, ces outils permettent aux acteurs malveillants de lancer des attaques sophistiquées, plus rapidement et à plus grande échelle. Cependant, alors que les entreprises naviguent dans un paysage de menaces en constante évolution, l'IA semble également constituer une pièce maîtresse de la cyberdéfense. Nous avons mené une étude qui apporte un éclairage essentiel sur ces défis et opportunités majeurs liés à l'IA.

Les opérations liées à l'IA en augmentation de 600%

Les opérations d'IA et de ML au sein des entreprises ont augmenté de près de 600 % entre avril 2023 et janvier 2024, pour atteindre plus de 3 milliards d’opérations mensuelles. Pourtant, malgré un nombre croissant d'incidents de sécurité et de risques liés aux données associés à l'adoption de l'IA par les entreprises, il est clair que son potentiel de transformation est trop important pour être négligé. Les volumes de données que les entreprises échangent avec les outils d'IA apportent une nouvelle perspective à ces tendances. Ces outils consomment en effet un chiffre impressionnant de 569 téraoctets de données. Comme on pouvait s'y attendre, même si les organisations tendent à adopter l’IA de manière fulgurante, elles refusent de plus en plus les opérations liées à l'IA et au ML pour des questions de sécurité et de données. Aujourd'hui, elles bloquent 18,5 % de l’ensemble des opérations d'IA, soit une augmentation de 577 % entre avril et janvier pour un total de plus de 2,6 milliards d'opérations bloquées.

La finance et l'assurance représentent le secteur bloquant le plus grand nombre d’opérations impliquant l'IA/ML

Le pourcentage le plus élevé d'opérations d'IA bloquées concerne le secteur de la finance et de l'assurance, avec 37,2 % par rapport à une moyenne mondiale de 18,5 % : une tendance qui s’explique probablement par un environnement réglementaire strict et une gestion des données financières et personnelles sensibles.

Les institutions financières misent sur l'IA

Les sociétés de services financiers ont été les premières à se lancer dans l'ère de l'IA. McKinsey prévoit un chiffre d'affaires annuel potentiel de 200 à 340 milliards de dollars pour les initiatives d'IA générative dans le secteur bancaire, en grande partie en raison de la hausse de productivité. L'IA constitue une mine d'opportunités pour les banques et les services financiers. Les chatbots et assistants virtuels alimentés par l'IA ne sont pas nouveaux dans la finance (comme « Erica » de Bank of America lancée en 2018), mais les avancées de l'IA générative permettent d'élever ces outils de service à de nouveaux sommets de personnalisation. D'autres capacités de l'IA, telles que la modélisation prédictive et l'analyse des données, offrent des avantages considérables en termes de productivité pour les opérations financières, transformant notamment la détection des fraudes et l'évaluation des risques.

Protéger la propriété intellectuelle et les informations confidentielles

Les outils d'IA générative peuvent entraîner des fuites involontaires de données sensibles. La divulgation de données sensibles figure en sixième position dans le Top 10 des applications d'IA de l'Open Worldwide Application Security Project (OWASP). L'année dernière a été marquée par des fuites de données accidentelles ou des violations de données d'entraînement à l'IA, notamment en raison de mauvaises configurations du cloud chez certains grands fournisseurs d'outils d'IA.

Un autre risque est la menace d'inversion de modèle, où les attaquants utilisent les résultats des modèles de langage et leur structure pour déduire et potentiellement extraire des informations sur les données d'apprentissage. Les entreprises d'IA elles-mêmes peuvent aussi être victimes de violations, les identifiants de salariés ayant directement conduit à des fuites de données.

Les hackers peuvent lancer des attaques secondaires par malware, utilisant des infostealers comme Redline Stealer ou LummaC2 pour subtiliser les identifiants de connexion des collaborateurs et accéder à leurs comptes d'IA. Il a été récemment rapporté que près de 225 000 identifiants d'utilisateurs de ChatGPT étaient en vente sur le dark web après une attaque de ce type. La protection et la sécurité des données restent une priorité pour les fournisseurs d'outils d'IA, mais ces risques persistent et s'étendent également aux petites entreprises d'IA et aux fournisseurs de SaaS avec des fonctionnalités d'IA.

Les risques viennent également des utilisateurs de l'IA au sein des entreprises. Un utilisateur peut, sans le savoir, exposer des éléments de propriété intellectuelle ou des informations non publiques dans les ensembles de données utilisés pour entraîner les modèles de langage. Un développeur cherchant à optimiser un code source ou un membre de l'équipe commerciale cherchant des tendances de vente avec des données internes pourrait involontairement divulguer des informations protégées. Pour éviter de telles fuites, les entreprises doivent mettre en œuvre des mesures de protection des données robustes, telles que la prévention de la perte de données (DLP).

Risques liés à la confidentialité des données et à la sécurité des applications de l'IA

Pour garantir la confidentialité et la sécurité des données, les entreprises doivent évaluer et attribuer des notes de risque aux applications d'IA/ML qu'elles utilisent, en tenant compte de la protection des données et des mesures de sécurité de l'entreprise. La qualité et l'étendue des données utilisées pour former les applications d'IA doivent être minutieusement scrutées car elles déterminent directement la fiabilité des résultats. Tandis que des géants de l'IA comme OpenAI forment leurs outils sur des ressources largement accessibles comme Internet, les fournisseurs de solutions d'IA dans des secteurs spécialisés, notamment la cybersécurité, doivent entraîner leurs modèles sur des ensembles de données spécifiques, volumineux et souvent privés pour garantir des résultats fiables.

Problèmes d'empoisonnement des données et de qualité des données : à données inexactes, résultats erronés.

Les entreprises doivent donc se pencher attentivement sur la question de la qualité des données avant de choisir une solution d'IA car des données de mauvaise qualité produisent inévitablement des résultats de mauvaise qualité, illustrant parfaitement l'adage « à données inexactes, résultats erronés ». De manière plus générale, les entreprises doivent se méfier des risques d'empoisonnement des données. Lorsque les données d'entraînement sont contaminées, la fiabilité et la précision des résultats de l'IA sont compromises. Ainsi quel que soit l'outil d'IA, il est important d’établir une base de sécurité complexe pour parer à de telles éventualités et de vérifier en permanence que les données d'entraînement de l'IA et les résultats de GenAI répondent aux normes de qualité.