Netskope Threat Labs : plus d’un tiers des informations sensibles saisies dans les applications d’IA générative sont des données personnelles règlementées
juillet 2024 par Netskope
Netskope révèle dans une nouvelle étude que les données réglementées, c’est-à-dire les informations que les entreprises sont légalement tenues de protéger, représentent plus d’un tiers des données sensibles partagées avec les applications d’IA générative (GenAI), ce qui soulève un risque de violations de données coûteuses pour les entreprises.
La nouvelle étude du Netskope Threat Labs révèle que 75 % des entreprises interrogées bloquent entièrement au moins une application d’IA générative, ce qui reflète la volonté de leurs responsables technologiques de limiter les risques d’exfiltration de données sensibles. Cependant, dans la mesure où moins de la moitié des entreprises appliquent des contrôles centrés sur les données dans le but d’empêcher le partage d’informations confidentielles dans les requêtes, la plupart d’entre elles affichent un certain retard dans l’adoption des solutions avancées de prévention des pertes de données (DLP — Data Loss Prevention) nécessaires pour utiliser l’IA générative en toute sécurité.
S’appuyant sur des ensembles de données mondiales, les chercheurs ont constaté que 96 % des entreprises utilisent désormais l’IA générative, soit trois fois plus qu’un an plus tôt. En moyenne, les entreprises utilisent aujourd’hui près de 10 applications d’IA générative au lieu de trois l’année dernière, tandis que les 1 % qui représentent les plus gros consommateurs utilisent en moyenne 80 applications au lieu de 14 auparavant. Cette hausse va de pair avec une augmentation du partage des codes source propriétaires dans les applications d’IA générative, ce qui représente 46 % de l’ensemble des violations de politique des données documentées par les entreprises. Cette évolution de la dynamique complique la façon dont les entreprises peuvent contrôler les risques, soulignant la nécessité d’appliquer des mesures de prévention des pertes de données plus robustes.
Il existe des signes positifs de la gestion proactive des risques dans les différents contrôles de sécurité et de DLP appliqués par les entreprises : par exemple, 65 % des entreprises mettent à présent en œuvre un accompagnement en temps réel en vue de guider les utilisateurs dans leurs interactions avec les applications d’IA générative. Selon l’étude, un coaching efficace joue un rôle majeur dans l’atténuation des risques liés aux données, amenant 57 % des utilisateurs à modifier leurs actions après avoir reçu une alerte de coaching.
« La sécurisation de l’IA générative nécessite des investissements supplémentaires et une plus grande attention, étant donné que son utilisation prolifère au sein des entreprises sans le moindre signe de ralentissement à court terme, insiste James Robinson, RSSI chez Netskope. Les entreprises doivent prendre conscience du fait que les informations produites par l’IA générative peuvent, par inadvertance, dévoiler des informations sensibles, propager des informations erronées, voire diffuser des contenus malveillants. Cette situation exige une approche solide de la gestion des risques dans le but de protéger les données, la réputation des entreprises et la continuité d’activité. »
Autres conclusions de l’étude Cloud and Threat Report : AI Apps in the Enterprise :
• Utilisée par plus de 80 % des entreprises, ChatGPT demeure l’application d’IA générative la plus populaire ;
• Microsoft Copilot affiche la croissance la plus spectaculaire depuis son lancement en janvier 2024 (+57 %) ;
• 19 % des entreprises ont interdit l’utilisation de GitHub CoPilot.
Principales conclusions pour les entreprises
Netskope recommande aux entreprises d’examiner, d’adapter et de personnaliser leur cadre de risque vis-à-vis de l’IA ou de l’IA générative en s’appuyant sur des initiatives telles que le cadre de gestion des risques liés à l’IA proposé par le National Institute of Standards and Technology (NIST). Les mesures tactiques permettant de faire spécifiquement face aux risques liés à l’IA générative sont les suivantes :
• Connaître la situation en cours : dans un premier temps, évaluer la façon dont sont utilisés l’IA et le machine learning, les pipelines de données et les applications d’IA générative. Identifier les vulnérabilités et les lacunes dans les contrôles de sécurité ;
• Mettre en œuvre des contrôles élémentaires : mettre en place des mesures de sécurité fondamentales — contrôles d’accès, mécanismes d’authentification et chiffrement ;
• Planifier des contrôles avancés : au-delà des fondamentaux, élaborer une feuille de route concernant les contrôles de sécurité avancés. Envisager la modélisation des menaces, la détection des anomalies, la surveillance en continu et la détection comportementale dans le but d’identifier, dans les environnements cloud et jusqu’aux applications d’IA générative, les mouvements de données suspects qui s’écartent des modèles normaux des utilisateurs ;
• Mesurer, commencer, revoir, réitérer : évaluer régulièrement l’efficacité des mesures de sécurité. Les adapter et les affiner en fonction d’expériences réelles et des menaces émergentes.