Intégrer des outils d’IA générative au sein de ses processus pose un défi de cybersécurité majeur pour les entreprises, notamment en matière de risque de fuite de données sensibles. Bloquer totalement l’accès à ces outils n’est a priori ni envisageable ni souhaitable,mais les RSSI ont désormais la délicate mission de trouver le bon équilibre pour permettre à leur organisation de tirer le meilleur parti de l’IA sans compromettre la sécurité de leurs données.
Comment tirer parti de l’IA générative sans compromettre ses données ?
Car si les outils d’IA générative boostent la productivité et stimulent l'innovation, ils exposent effectivement les entreprises à un risque accru de perte de données. Et les systèmes de prévention des pertes de données (DLP) traditionnels ne sont pas adaptés à ce nouveau défi.
L’IA générative augmente les risques de pertes de données
Les témoignages d’utilisateurs d'outils d’IA générative tels que ChatGPT, convaincus des gains de productivité de ces outils, ne manquent pas. Mais ces avantages ne doivent pas se faire au détriment de la sécurité des données. Or selon une récente enquête, l’IA générative est devenue l’une des principales sources d’inquiétude : 64 % des RSSI français estiment que l’IA générative présente un risque de sécurité accru pour leur organisation. Principale crainte ? Que les employés insèrent involontairement des informations confidentielles ou sensibles lorsqu'ils utilisent ces outils pour optimiser leurs tâches. Ainsi la « navigation au sein d’outils d’IA Générative » figure parmi les cinq scénarios d'alerte les plus fréquemment envisagés par les RSSI.
Le défi réside dans l'incapacité des solutions de cybersécurité traditionnelles à suivre le comportement des utilisateurs ou à réagir aux interfaces utilisateurs basées sur le traitement du langage naturel. Ce qui entraîne des failles en matière de sécurité. Prises de court, de nombreuses entreprises optent pour un simple filtrage web afin de restreindre l'accès aux applications d’IA générative. Mais il ne semble pas pertinent d’appliquer des politiques d'utilisation de l’IA générative sans comprendre l’usage qu’en font les collaborateurs.
Une approche centrée sur l'humain
Si le comportement des utilisateurs est la principale source d’inquiétude des RSSI, une approche de cybersécurité centrée sur l'humain semble particulièrement souhaitable, notamment pour permettre une détection rapide des risques de perte de données à travers les endpoints et les applications cloud les plus utilisées comme Microsoft 365, Google Workspace ou encore Salesforce.
Il est essentiel de commencer par baliser avec précision les contenus sensibles en utilisant des classificateurs de données. Ensuite, en mettant l'accent sur le « contexte » et « l'intention de l'utilisateur », les RSSI et leurs équipes peuvent réagir avec davantage de rapidité et d’efficacité aux nouveaux défis posés par l’IA générative.
Grâce à une analyse approfondie, il devient possible de mieux comprendre le comportement des utilisateurs et d'intervenir de manière appropriée face aux risques potentiels pour les données, sur tous les canaux importants tels que les boîtes de messagerie, le cloud et les endpoints. Le transfert de fichiers vers des clés USB non autorisées ou leur téléchargement vers des services cloud personnels sont les principaux comportements à risque à surveiller. Autre pratique d’apparence anodine qui arrive plus souvent qu’il ne devrait et qui s’avère source d’exfiltration de données : le transfert malencontreux de courriers électroniques légitimes à de mauvais destinataires. Il apparaît crucial non seulement de rappeler les bonnes pratiques de sécurité aux utilisateurs (à travers une formation continue et des simulations) mais aussi d’utiliser des outils de prévention des pertes de données capables de détecter tous ces comportements à risque. Car même un utilisateur averti peut représenter une faille !
En matière d’IA générative, il est important de promouvoir une utilisation responsable en interne, en mettant par exemple en place une extension qui, lorsqu'un utilisateur insère des données a priori sensibles dans un outil d’IA, demande une justification pour cette action, rappelle l'importance de respecter la politique de l'entreprise et bloque l'envoi de la requête si nécessaire.
Instaurer une politique d'utilisation « acceptable » pour les outils d’IA générative ne peut être suffisant, sans avoir une vision claire du contenu ni de la façon dont les employés interagissent avec ces outils. Pour assurer que les collaborateurs utilisent ces technologies sans compromettre la sécurité des données, il donc est crucial de considérer une approche de la cybersécurité centrée sur l'humain.