Libérez la puissance de l'IA générative

Les IA génératives posent plusieurs menaces pour la sécurité des données. Cela inclut la fuite et la compromission des données et le non-respect des lois sur la protection des données.

Les applications d'IA génératives comme ChatGPT et Bard sont des grands modèles de langage qui apprennent des informations soumises par les utilisateurs. Si un utilisateur examine des informations sur la cible d'activités de fusions et acquisitions qui n'ont pas encore été rendues publiques, les recherches ultérieures d'autres utilisateurs pourraient alors révéler ces informations.

Si un ingénieur logiciel utilisait des IA génératives pour déboguer du code logiciel propriétaire, alors la propriété intellectuelle concernée courrait le risque de devenir publique, ou pire, d'être récupérée par un concurrent. De la même façon, si l'ingénieur utilisait des IA génératives pour écrire du code, il pourrait potentiellement inclure des logiciels malveillants qui pourraient fournir à un attaquant une porte dérobée vers le système d'une entreprise.

Enfin, les lois sur la protection des données comme HIPAA ou GDPR obligent les organisations à protéger étroitement les données personnelles. L'utilisation d'IA génératives pour tout ce qui a trait aux Informations personnelles d'identification (PII), comme la rédaction d'une réponse par courriel à une requête client, pourrait faire courir un risque de non-conformité à l'entreprise, car ces informations pourraient être divulguées ou utilisées à mauvais escient.

Les IA génératives peuvent être utilisées pour créer des programmes malveillants et du faux contenu à des fins d'hameçonnage et d'attaques similaires. Les fournisseurs d'IA génératives comme ChatGPT sont également exposés à des risques de compromission des données, qui permettraient aux attaquants d'accéder aux données sensibles des utilisateurs.

Aaron Mulgrew, de Forcepoint, a un exemple d'utilisation d'IA génératives pour créer des programmes malveillants. Mulgrew a réussi à faire écrire du code malveillant à ChatGPT malgré les mesures de sécurité mises en place pour empêcher que cela ne se produise.

La sécurité des données d'IA génératives nécessite à la fois un contrôle d'accès en temps réel et des commandes de données robustes. 

Sur une plateforme comme Forcepoint ONE SSE, les organisations peuvent fournir un accès aux outils d'IA génératives à des groupes limités d'employés qui ont été autorisés à les utiliser. Ces politiques peuvent être mises en œuvre à la fois sur les appareils gérés et non gérés, ce qui offre aux entreprises un contrôle étendu.

Avec Forcepoint DLP, les utilisateurs de ChatGPT et Bard seront limités concernant les informations qu'ils pourront partager avec les plateformes afin d'éviter les fuites accidentelles de données. Cela inclut d'empêcher le collage d'informations sensibles, telles que les numéros de sécurité sociale, dans l'application.

Le paysage des menaces en matière de cybersécurité évolue en permanence et, bien que les IA génératives représentent un nouveau risque, il existe des technologies pour le réduire.

Les IA génératives sont plus exposées à des risques de fuite ou de compromission des données (de la même façon que toutes les autres applications SaaS que les entreprises utilisent quotidiennement). Si les employés travaillent à partir d'IA génératives avec des données sensibles, une fuite de données ou une utilisation abusive de ces données pourrait avoir un impact sur la posture de l'entreprise en matière de sécurité.

Le fait de traiter les outils d'IA génératives comme ChatGPT et Bard comme des shadow IT constitue un premier pas dans la bonne direction. Définissez qui va pouvoir utiliser les applications et créez des politiques permettant à ces groupes de personnes uniquement d'accéder aux outils. En outre, instaurez un contrôle fort pour vous assurer que les données sensibles restent au sein de l'organisation.

Les applications d'IA génératives comme ChatGPT sont créées et formées sur de grands modèles de langage. Ces modèles algorithmiques permettent aux plateformes d'ingérer et d'apprendre à partir de grandes bases de données, afin de disposer des connaissances, du contexte et de la précision que les utilisateurs attendent des chatbots d'IA.

Mais comme l'IA générative est basée sur de grands modèles de langage, elle continue à apprendre des informations qui y sont introduites. Elle apprend et applique en permanence le contexte aux nouvelles informations avec lesquelles elle interagit, ce qui permet à ses réponses de rester pertinentes.

Cela pose un risque important pour votre entreprise. Le partage d'informations propriétaires ou sensibles avec le chatbot IA crée deux types de risques. Le premier est lié au fait que l'application considère ces informations comme étant publiques et les partage lorsqu'on les lui demande. Le deuxième risque vient du fait que l'entreprise qui se trouve à l'origine de l'outil d'IA générative est victime d'une violation et que les informations partagées avec cet outil sont compromises.

Par défaut, vous devez partir du principe que les applications d'IA générative comme ChatGPT et Bard sont susceptibles d'utiliser les données que vous entrez pour améliorer leurs modèles. Vous devriez cependant vérifier si c'est le cas avec la plateforme que vous utilisez.

Ces données sont collectées avec de nombreuses autres informations, telles que l'appareil que vous utilisez, l'endroit où vous y accédez et tous les détails liés à votre compte. La possibilité pour l'application d'apprendre à partir de vos données peut généralement être désactivée dans les paramètres, en fonction du fournisseur.

C'est l'un des principaux risques liés au partage d'informations sensibles avec l'IA. Partager avec une application des informations sensibles sur l'entreprise, telles qu'une prochaine stratégie de commercialisation pour le lancement d'un produit, peut effectivement rendre ces informations accessibles au public si les précautions appropriées ne sont pas prises.

La sécurité des données de Forcepoint permet d'éviter cela en limitant l'accès aux seuls utilisateurs formés à l'utilisation des applications en toute sécurité ou en bloquant le collage d'informations dans l'application.

Les applications d'IA générative doivent être traitées comme tout autre fournisseur tiers de la chaîne d'approvisionnement numérique. Si la plateforme est victime d'une violation des données, les informations que vous y avez entrées pourraient être en danger. C'est pourquoi les entreprises doivent élaborer des politiques strictes d'utilisation autour de l'IA générative afin de s'assurer que les données ne sont pas mises en danger de façon inattendue.

Toutes les entreprises sont responsables du respect des réglementations en matière de protection de la vie privée. Lors de la saisie des données dans des applications d'IA générative, il est possible que les individus partagent des informations personnelles, des données de santé et d'autres types d'informations réglementées.

Le partage d'informations privées avec une application d'IA générative est une forme d'exfiltration des données qui relève des réglementations en matière de protection de la vie privée. Afin que les entreprises restent dans la conformité, elles doivent disposer d'outils de sécurité des données solides qui empêcheront ce type d'informations d'être partagées.

Toutes les entreprises devraient examiner comment leurs employés interagissent déjà ou peuvent interagir avec l'IA générative, quels types de risques ces interactions posent et comment l'entreprise peut empêcher les utilisateurs non autorisés d'accéder et de partager des informations sensibles avec l'IA générative.

Comme toute autre application SaaS, les entreprises doivent s'assurer d'avoir une visibilité complète sur les utilisateurs qui accèdent à l'IA générative et un contrôle sur les données avec lesquelles elles interagissent. Dans la plupart des cas, cela impliquera un filtrage des URL par rôle, appareil ou emplacement, et des politiques de sécurité des données afin d'éviter toute violation de la conformité.