L'adoption rapide de la GenAI (IA générative) crée des défis en matière de sécurité

Les équipes de cybersécurité prennent du retard sur le rythme d’adoption des outils d’intelligence artificielle générative (GenAI), ce qui rend probable une forte hausse du nombre d’incidents de violation de données dans les semaines et les mois à venir, surtout à mesure que l’utilisation des services d’IA fantôme continue d’augmenter.

Une enquête de ManageEngine révèle que 70 % des décideurs informatiques (ITDM) ont identifié une utilisation non autorisée de l'IA au sein de leur organisation et que 60 % des employés utilisent des outils d'IA non approuvés plus qu'ils ne le faisaient il y a un an. 91 % d’entre eux ont mis en œuvre des politiques, mais seulement 54 % ont mis en œuvre des politiques de gouvernance de l’IA claires et appliquées et surveillent activement l’utilisation non autorisée des outils d’IA générative.

85 % des personnes interrogées signalent également que les employés adoptent les outils d’IA plus rapidement que leurs équipes informatiques ne peuvent les évaluer, 32 % des employés ayant saisi des données confidentielles de clients dans des outils d’IA sans confirmer l’approbation de l’entreprise. Bien plus des deux tiers (37 %) ont saisi des données privées et internes à l’entreprise. Plus de la moitié (53 %) ont déclaré que l'utilisation d'appareils personnels pour des tâches professionnelles liées à l'IA créait une faille dans la sécurité de leur organisation.

Un rapport distinct de Harmonic sécurité révèle que 8,5 % des invites des employés aux outils génératifs contiennent des données sensibles de l'entreprise. Près de la moitié des données saisies (48 %) étaient des données clients, contre 27 % de données sensibles sur les employés.

La liste des problèmes potentiels de cybersécurité au-delà des fuites de données qui doivent être traités comprend les attaques par injection d'invites qui génèrent des sorties malveillantes ou extraient des données confidentielles ; l’empoisonnement délibéré des données utilisées pour former les modèles d’IA ; les cyberattaques ciblant spécifiquement l’infrastructure de l’IA et la chaîne d’approvisionnement en logiciels utilisée pour créer les modèles d’IA ; et le vol des modèles d’IA eux-mêmes.

À ce stade, il n'est pas possible d'interdire l'utilisation d'outils d'IA générative. Ainsi, plutôt que d'attendre l'inévitable faille, de nombreuses équipes de cybersécurité prennent des mesures proactives pour détecter, auditer et surveiller l'utilisation de l'IA générative. Grâce à ces informations, il devient alors possible de définir un ensemble de politiques de gouvernance autour d'un ensemble d'outils et de workflows d'IA générative approuvés et validés par les équipes de cybersécurité.

Il ne sera peut-être pas possible de prévenir tous les incidents qui surviendront à mesure que les outils et les plateformes d'IA générative seront plus largement utilisés, mais on peut espérer qu'avec une formation complémentaire, le nombre de violations majeures pourra être considérablement limité.

Bien entendu, ce n'est pas la première fois que les professionnels de la cybersécurité se retrouvent à traquer une technologie émergente alors que celle-ci n'a pas franchi le seuil de la porte. À bien des égards, l'adoption d'outils et de plateformes d'IA générative n'est que le dernier exemple en date des services de cloud computing fantômes. La seule différence réside dans la quantité de données sensibles partagées, ce qui suggère que de nombreux employés n'ont pas encore tiré les leçons des incidents de sécurité cloud précédents impliquant, par exemple, un certain nombre d'applications SaaS (Software-as-a-Service).

Les équipes de cybersécurité devront une fois de plus faire preuve d'une certaine retenue face aux incidents de sécurité liés à l'IA générative, mais il pourrait aussi y avoir des moments propices à l'apprentissage. Après tout, comme l'a fait remarquer Winston Churchill, une situation de crise doit toujours servir à quelque chose.