Car si les outils d’IA générative améliorent la productivité et stimulent l’innovation, ils exposent en réalité les entreprises à un risque accru de perte de données. Et les systèmes traditionnels de prévention des pertes de données (DLP) ne sont pas à la hauteur de ce défi.
L’IA générative augmente le risque de perte de données
Les témoignages d’utilisateurs d’outils d’IA générative comme ChatGPT, convaincus des gains de productivité apportés par ces outils, ne manquent pas. Mais ces bénéfices ne doivent pas se faire au détriment de la sécurité des données. Mais selon une étude récente, l’IA générative est devenue l’une des principales sources d’inquiétude : 64 % des RSSI français estiment que l’IA générative présente un risque de sécurité accru pour leur organisation. Principale crainte ? Que les collaborateurs insèrent involontairement des informations confidentielles ou sensibles lors de l’utilisation de ces outils pour optimiser leurs tâches. Ainsi, la « navigation au sein des outils d’IA générative » fait partie des cinq scénarios d’alerte les plus fréquemment envisagés par les RSSI.
Le défi réside dans l’incapacité des solutions de cybersécurité traditionnelles à suivre le comportement des utilisateurs ou à réagir aux interfaces utilisateur en se basant sur le traitement du langage naturel. Ce qui entraîne des failles de sécurité. Prises au dépourvu, de nombreuses entreprises optent pour un simple filtrage web pour restreindre l’accès aux applications d’IA générative. Mais il ne semble pas pertinent d’appliquer des politiques d’utilisation de l’IA générative sans comprendre comment les collaborateurs les utilisent.
Une approche centrée sur l’humain
Si le comportement des utilisateurs est la principale source de préoccupation des RSSI, une approche de la cybersécurité centrée sur l’humain semble particulièrement souhaitable, notamment pour permettre une détection rapide des risques de perte de données sur les terminaux et les applications cloud les plus utilisées telles que Microsoft 365, Google Workspace et Salesforce.
Il est essentiel de commencer par identifier avec précision les contenus sensibles à l’aide de classificateurs de données. Ensuite, en se concentrant sur le « contexte » et l’« intention de l’utilisateur », les RSSI et leurs équipes peuvent répondre plus rapidement et plus efficacement aux nouveaux défis posés par l’IA générative.
Grâce à une analyse approfondie, il devient possible de mieux comprendre le comportement des utilisateurs et de réagir de manière appropriée aux risques potentiels liés aux données, sur tous les canaux importants tels que les boîtes aux lettres, le cloud et les terminaux. Le transfert de fichiers vers des clés USB non autorisées ou leur téléchargement vers des services cloud personnels sont les principaux comportements à risque auxquels il faut faire attention. Autre pratique apparemment anodine, mais qui se produit plus souvent qu’elle ne devrait et se révèle être une source d’exfiltration de données : le transfert par inadvertance d’emails légitimes à de mauvais destinataires. Il apparaît crucial non seulement de rappeler aux utilisateurs les bonnes pratiques de sécurité (par des formations continues et des simulations) mais aussi d’utiliser des outils de prévention des pertes de données capables de détecter tous ces comportements à risque. Parce que même un utilisateur expérimenté peut être un défaut !
En matière d’IA générative, il est important de promouvoir une utilisation responsable en interne, par exemple en implémentant une extension qui, lorsqu’un utilisateur insère des données a priori sensibles dans un outil d’IA, demande une justification de cette action, rappelle à l’utilisateur l’importance de respecter la politique de l’entreprise et bloque l’envoi de la demande si nécessaire.
Établir une politique d’utilisation « acceptable » des outils d’IA générative ne peut suffire sans avoir une vision claire du contenu et de la manière dont les collaborateurs interagissent avec ces outils. Pour garantir que les employés utilisent ces technologies sans compromettre la sécurité des données, il est donc crucial d’envisager une approche de la cybersécurité centrée sur l’humain.
