GenAI et Cybersécurité : Quels Risques pour les Entreprises ?
Les risques liés à l’adoption de l’IA générative
Avec l’adoption croissante de l’IA générative (GenAI), les risques de menaces internes augmentent également. Cela met encore plus de pression sur les entreprises pour repenser leurs politiques de sécurité et de confidentialité.
L’essor de l’IA dans le monde du travail
En quelques années seulement, l’intelligence artificielle (IA) a radicalement changé le monde du travail. 61% des travailleurs du savoir utilisent désormais des outils GenAI – en particulier ChatGPT d’OpenAI – dans leurs routines quotidiennes. En parallèle, les dirigeants d’entreprise, souvent poussés par la peur de rater les opportunités, investissent des milliards dans des outils alimentés par GenAI. Il ne s’agit pas uniquement de chatbots, mais aussi de synthèse d’images, de logiciels de clonage vocal et même de la technologie de vidéos deepfake pour créer des avatars virtuels.
L’IA générative et les risques de fuites de données
Une grande partie de la discussion sur la sécurité à l’ère de GenAI concerne ses implications en matière d’ingénierie sociale et d’autres menaces externes. Cependant, les professionnels de la sécurité de l’information ne doivent pas négliger la manière dont la technologie peut considérablement étendre la surface d’attaque des menaces internes.
> GenAI and the risk of data leaks >
Donnée la précipitation à adopter des outils GenAI, de nombreuses entreprises se sont déjà retrouvées en difficulté. Récemment, Samsung aurait interdit l’utilisation d’outils GenAI sur le lieu de travail après que des employés aient été soupçonnés de partager des données sensibles dans des conversations avec ChatGPT d’OpenAI.
Par défaut, OpenAI enregistre et archive toutes les conversations, potentiellement pour les utiliser dans la formation des futures générations du grand modèle de langage (LLM). En raison de cela, des informations sensibles, telles que des secrets d’entreprise, pourraient potentiellement refaire surface ultérieurement en réponse à une sollicitation de l’utilisateur. En décembre dernier, des chercheurs testaient la susceptibilité de ChatGPT à la fuite de données lorsqu’ils ont découvert une technique simple pour extraire les données d’entraînement du LLM, prouvant ainsi le concept. OpenAI a peut-être corrigé cette vulnérabilité depuis, mais il est peu probable que ce soit la dernière.
Les systèmes IA propriétaires comportent des risques uniques
Une manière évidente de lutter contre ces menaces peut être de construire une solution AI propriétaire adaptée au cas d’utilisation spécifique de l’entreprise. Les entreprises peuvent construire un modèle à partir de zéro ou, plus probablement, commencer avec un modèle de base open-source. Aucune option n’est sans risque. Cependant, alors que les risques associés aux modèles open-source sont généralement plus élevés, ceux concernant les systèmes IA propriétaires sont un peu plus nuancés – et tout aussi graves.
Comme les fonctions alimentées par l’IA gagnent du terrain dans les applications logicielles métier, elles deviennent également une cible plus intéressante pour les acteurs malveillants – y compris les internes. L’empoisonnement des données, où les attaquants trafiquent les données utilisées pour entraîner les modèles IA, en est un exemple. La menace interne est réelle, surtout si les données en question sont largement accessibles à l’ensemble de l’organisation, comme c’est souvent le cas avec les chats du service client, les descriptions de produits ou les directives de marque. Si vous utilisez de telles données pour entraîner un modèle IA propre, vous devez vous assurer que son intégrité n’a pas été compromise, intentionnellement ou non.
Au final, des mesures doivent être prises pour sécuriser les chaînes d’approvisionnement en logiciels AI, afin de garantir que l’innovation en matière d’IA n’ajoute pas de risque inacceptable à votre entreprise.
Source : securityintelligence.com
