Barracuda full logo

IA fantôme : qu’est-ce que c’est, ses risques et comment la limiter

Thèmes:
25 juin 2024
|

Nous savons tous que l'intelligence artificielle (IA) est devenue un mot à la mode qui domine les conversations et les gros titres aujourd'hui, et qu'il s'agit d'une technologie transformatrice que beaucoup perçoivent de manière positive ou négative. D'un point de vue commercial, les organisations doivent maintenant faire face à une méthode de plus en plus courante d'utilisation de l'IA sur le lieu de travail, connue sous le nom d'« IA fantôme », une pratique qui est une variante de l'« informatique fantôme » et qui est adoptée par les employés en dépit des risques qui l'accompagnent.  

IA fantôme ou informatique fantôme : quelle est la différence ?  

L'IA fantôme est un terme qui désigne l'utilisation et l'intégration non autorisées d'outils d'IA au sein des organisations, sans que les fonctions centrales d'informatique ou de sécurité de l'entreprise n'en aient connaissance et ne les aient approuvées. Dans les environnements de travail, cela peut signifier que les employés accèdent à des plateformes d'IA générative (GenAI) ou à de grands modèles de langage (LLM) comme ChatGPT pour effectuer des tâches quotidiennes telles que l'écriture de codes, la rédaction de textes ou la création de graphiques ou d'images. D’une manière générale, cela peut sembler inoffensif sur le moment, mais comme les services informatiques ne sont pas au courant de l’utilisation interne de l’IA, ils sont souvent incapables de la surveiller, ce qui expose les entreprises à un risque accru d’exploitation ou d’implication dans des problèmes juridiques.  

De même, on parle d'informatique fantôme lorsque des employés de l'organisation créent, déploient ou utilisent des appareils, des services cloud ou des applications logicielles pour des activités liées au travail, sans supervision explicite de la part du service informatique. Avec l'importance croissante des différentes applications SaaS, les utilisateurs trouvent qu'il est plus facile d'installer rapidement ces outils et d'y accéder sans impliquer le service informatique. Outre ces développements, la tendance du BYOD (Bring Your Own Device) s'est révélée être l'une des principales causes de l'informatique fantôme, car même s'il existe un programme BYOD officiel, les équipes de sécurité peuvent ne pas avoir de visibilité sur les services ou les applications utilisés, et la mise en œuvre de protocoles de sécurité sur les appareils personnels des employés peut poser des difficultés.  

L'informatique fantôme et l'IA fantôme diffèrent en fonction des types de technologies utilisées. L'informatique fantôme implique principalement l'utilisation non approuvée de l'infrastructure et des logiciels informatiques, tandis que l'IA fantôme concerne l'utilisation de l'IA sans réglementation formelle de la part de la fonction de sécurité de l'organisation.  

Les dangers de l’IA fantôme

L'IA fantôme peut représenter des menaces et des défis que les organisations doivent prendre en compte pour se protéger de ses éventuelles conséquences. Certains des risques comprennent :

  • Questions de conformité et de réglementation. Les entreprises étant soumises à des réglementations gouvernementales en matière d'IA (par exemple, le Règlement général sur la protection des données (RGPD) de l'Union européenne), les déploiements d'IA fantôme inconnus pourraient potentiellement violer les politiques gouvernementales, même si cela est fait par inadvertance, ce qui entraînerait des amendes imprévues, des répercussions juridiques et d'éventuelles atteintes à la réputation. Des problèmes de conformité entrent également en jeu lorsqu’il s’agit d’aborder les politiques de confidentialité des outils d’IA. Faire confiance aux employés pour qu’ils lisent et se tiennent au courant de l’évolution des politiques de confidentialité lorsqu’ils utilisent des plateformes d’IA complique les choses si une organisation se retrouve impliquée dans une violation réglementaire.

  • Exposition involontaire d'informations confidentielles. Lorsqu’ils utilisent des chatbots IA, les employés peuvent, sans le savoir, divulguer des adresses IP ou des données sensibles à des modèles dangereux, ce qui laisse la porte ouverte aux informations tombant entre de mauvaises mains, augmentant ainsi le risque de cyberattaques ou de fuites de données. Par exemple, la fuite ChatGPT d'OpenAI au début de l'année 2024 est un bon exemple des menaces et des conséquences potentielles de l'utilisation non divulguée de l'IA.  

  • L'incapacité des équipes informatiques à évaluer correctement les dangers. Comme nous l'avons évoqué, les services informatiques et de sécurité ne sont généralement pas au courant de l'utilisation non autorisée de l'IA dans les entreprises, de sorte qu'ils ne peuvent pas évaluer correctement les dangers ou même prendre les mesures nécessaires pour atténuer les risques. L'un de ces risques peut être que le personnel intègre involontairement des informations inexactes ou fausses produites par l'IA dans son travail ou ses tâches quotidiennes.  

  • Le risque accru d'une cyberattaque. Supposons, par exemple, qu'un employé ou un développeur de logiciels crée accidentellement un code malveillant en utilisant la technologie de l'IA à des fins de codage. Un bug dans le code généré par l’IA peut servir d’ouverture pour les cybercriminels qui cherchent à exploiter des vulnérabilités inaperçues et à exécuter une cyberattaque.

Combattre l’utilisation organisationnelle de l’IA fantôme

  1. Établir des politiques et des règles en matière d'IA. Afin de limiter l'IA fantôme, les organisations peuvent commencer par créer un cadre de gouvernance centralisé qui communique des directives claires pour le déploiement de l'IA au sein de l'entreprise. La définition des exigences de conformité et des politiques d'utilisation des données peut contribuer à garantir le respect des réglementations internes et externes. La mise en place d'une structure de gouvernance adéquate peut également impliquer que les services informatiques examinent ou approuvent les projets impliquant l'IA afin que les normes réglementaires puissent être respectées.

  2. Promouvoir la sensibilisation. L’utilisation de programmes de formation pour informer les employés sur les risques/conséquences associés à l’IA fantôme et sur l’importance du respect des directives de l’entreprise lors de l’utilisation des technologies d’IA peut contribuer à améliorer la compréhension du sujet. Les équipes formées comprendront mieux l’importance de la conformité lorsqu’elles travaillent avec l’IA.

  3. Mettre en place des contrôles d'accès. La mise en place d'outils de surveillance et de contrôles d'accès peut aider les équipes informatiques à détecter les cas d'IA fantôme et à imposer certaines restrictions aux plateformes d'IA et à leur utilisation non autorisée sur les lieux de travail.

     

Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Inscrivez-vous pour recevoir des projecteurs sur les menaces, des commentaires sur l’industrie et plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.