TECH NEWS
IA générative en entreprise : quel cadre, quelles règles d’usage ?
A l’heure actuelle, l’IA encourage la productivité des employés en leur servant d'assistant virtuel. Mais alors qu’il est indispensable d’envisager les risques, deux dimensions sont à prendre en compte : le risque auto-infligé et le risque externe.
November 24, 2023
Par Pierre-Antoine Failly-Crawford
EMEA Senior Manager – Incident Response, Varonis
Tout comme la plupart des nouvelles technologies, l’IA générative comporte des risques et des avantages.
A l’heure actuelle, l’IA encourage la productivité des employés en leur servant d’assistant virtuel. Mais alors qu’il est indispensable d’envisager les risques, deux dimensions sont à prendre en compte : le risque auto-infligé et le risque externe.
On parlera de risque auto-infligé dès lors que les employés d’une entreprise auront recours à l’IA pour suggérer du contenu, soit sous forme de requête soit en relation avec ce qu’ils sont en train de créer. À moins que les données ne soient verrouillées, rien n’empêche l’IA d’analyser votre parc de données et de révéler votre feuille de route confidentielle, vos informations financières ou d’autres données précieuses à des personnes mal intentionnées.
Pour limiter ce risque, Microsoft recommande de sécuriser les données sensibles avant de déployer son nouvel assistant d’intelligence artificielle, Copilot. Dans un communiqué publié sur son site internet, on peut lire : « Vous avez plusieurs façons de vous préparer… Vérifiez par exemple que votre entreprise a instauré des contrôles et des politiques d’accès à l’information efficaces. »
Malheureusement, cela s’avère souvent plus complexe et la plupart des entreprises n’anticipent pas assez le risque. La situation peut alors se compliquer si les données utilisées par l’IA s’accumulent et se diversifient.
Sans la mise en place de contrôles adéquats, l’IA pourrait avoir du mal à identifier les personnes qui pourraient accéder à des informations bien définies. Dans ce contexte, les entreprises seront exposées de la même manière que lorsqu’elles lancent des plateformes de recherche au sein de leur organisation avant de mettre en place des paramètres de sécurité, sauf qu’ici les conséquences seront bien plus graves.
Si cela se produit, les employés n’auront pas besoin de chercher le contenu qu’ils veulent voler ou regarder en cachette : l’IA se fera un plaisir de l’exposer pour eux.
Comment les attaquants exploitent l’IA
Les risques externes ne cesseront d’augmenter à mesure que les attaquants se familiariseront avec l’utilisation de l’IA. Malheureusement, ils ont déjà commencé. WormGPT et FraudGPT ont recours à de grands modèles de langage (LLM) pour aider les attaquants à concevoir des e-mails de phishing convaincants et à les traduire dans d’autres langues.
Désormais, les acteurs malveillants génèrent de faux jeux de données qui sont basés sur d’anciennes violations et autres données disponibles. Ils déclarent avoir volé des données à des entreprises pour renforcer leur bonne réputation, ou pour potentiellement inciter ces entreprises à payer une rançon. Une IA générative pourrait alors augmenter le volume de données et compliquer la tâche au moment où elle doit en réalité simplement distinguer si une violation est réelle ou non.
Si cela se produit, les employés n’auront pas besoin de chercher le contenu qu’ils veulent voler ou regarder en cachette : l’IA se fera un plaisir de l’exposer pour eux.