Barracuda full logo

Il est plus que temps d’avoir une conversation sur l’IA

Thèmes:
20 févr. 2024
|
Mike Vizard

Pour les professionnels de la cybersécurité, il est plus que temps d’avoir une conversation sérieuse avec les chefs d’entreprise sur la nécessité de mettre en place des contrôles et des processus pour sécuriser les plateformes et les services d’intelligence artificielle.

Comme d’habitude, les équipes de cybersécurité sont de nouveau confrontées à une autre technologie émergente qui est déjà largement employée sans tenir compte des conséquences pour la cybersécurité. En effet, les plateformes comme ChatGPT, qui sont facilement accessibles à des utilisateurs finaux peu conscients des risques potentiels, représentent un véritable défi. Certaines organisations sont même allées jusqu’à interdire l’utilisation de ces services tant que qu’elles n’ont pas mis en place des contrôles, mais comme toujours, les services cloud continuent d’exacerber les risques liés au shadow IT.

Le problème le plus immédiat consiste à s’assurer que les données sensibles ne puissent pas se retrouver dans une invite utilisée pour générer du texte, du code et bientôt des vidéos. Bien que les fournisseurs de services d’IA générative assurent que, dans le cas où les paramètres adéquats sont définis, les données présentes dans une invite ne sont pas utilisées pour entraîner la prochaine itération de leurs modèles d’IA, la plupart des utilisateurs finaux ne sont pas très attentifs aux conditions de service. De fait, la Federal Trade Commission vient d’émettre un avertissement à l’intention des fournisseurs de services d’IA leur enjoignant de ne pas modifier ultérieurement ces conditions générales en vue d’accéder aux données.

Bien entendu, les équipes de cybersécurité avisées vont s’employer à vérifier si les conditions générales dans ce domaine sont respectées. Il existe déjà de nombreuses variantes d’outils de prévention contre la fuite de données (DLP) spécialement conçus pour s’assurer que des données sensibles telles que les numéros de sécurité sociale ou, pire, des informations de propriété intellectuelle exclusive ne se retrouvent pas dans une invite.

Le problème se corse lorsque les organisations se lancent dans la personnalisation ou la création d’un grand modèle de langage (LLM) en utilisant leurs propres données. Les modèles d’IA ainsi créés feront partie de la propriété intellectuelle la plus précieuse d’une organisation. Ce n’est donc qu’une question de temps avant que les cybercriminels ne lancent des attaques par hameçonnage pour voler les identifiants qui leur permettront d’y accéder. Une fois munis des identifiants, ils pourront se contenter d’essayer de lancer une attaque par ransomware pour chiffrer des données de valeur ou infecter le pool de données utilisé pour entraîner un modèle d’IA afin qu’il « hallucine » de manière aléatoire.

Pire encore, ils peuvent simplement voler l’intégralité du LLM, puis le vendre au plus offrant sur le Dark Web.

Malheureusement, les équipes de science des données qui élaborent les modèles d’IA ont peu d’expertise dans le domaine de la cybersécurité, et ont donc tendance à commettre des erreurs potentiellement dévastatrices s’il s’avère qu’un modèle d’IA a été compromis ou utilisé à des fins malveillantes. À l’instar des développeurs d’applications qui ne disposent pas de l’expertise en cybersécurité nécessaire pour créer et déployer des applications sécurisées, les data scientists devront s’appuyer sur des professionnels de la cybersécurité pour les aider à sécuriser les workflows des opérations de machine learning (MLOps) utilisés pour créer des modèles.

Le National Cyber Security Centre du Royaume-Uni a publié ce mois-ci un guide conçu pour aider les équipes de cybersécurité à encadrer les conversations avec les chefs d’entreprise sur la nature des menaces qu’une organisation peut rencontrer lorsqu’elle adopte l’IA. Ce guide s’appuie sur un ensemble de bonnes pratiques visant à sécuriser les environnements d’IA, créé en collaboration avec la Cybersecurity and Infrastructure Security Agency (CISA) et publié à la fin de l’année dernière.

Bien entendu, de nombreux chefs d’entreprise sont pris dans une vague d’enthousiasme irrationnel pour l’IA. Il ne sera donc pas toujours facile de leur faire prendre le temps nécessaire pour apprécier les implications en termes de cybersécurité. Cependant, le rôle de « modération » reviendra toujours au professionnel de la cybersécurité.

 

 

 

 

Mike Vizard

Mike Vizard est un spécialiste de l'informatique depuis plus de 25 ans et à ce titre, a publié et contribué à de nombreuses publications techniques, dont InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet et Digital Review. Il rédige actuellement des articles de blog pour IT Business Edge, et contribue à la rédaction d'articles pour CIOinsight, The Channel Insider, Programmableweb et Slashdot. Mike blogue également sur la technologie cloud émergente pour SmarterMSP.

Connectez-vous à Mike sur LinkedIn ou Twitter.

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.