L’IA Fantôme Menace la Sécurité des Entreprises

Alors que la technologie de l’IA évolue rapidement, les organisations font face à une menace de sécurité émergente : les applications IA non autorisées. Ces applications non autorisées, développées par des employés sans supervision de l’informatique ou de la sécurité, se propagent à travers les entreprises et passent souvent inaperçues, comme souligné dans un récent article de VentureBeat.

VentureBeat explique que bien que beaucoup de ces applications ne soient pas intentionnellement malveillantes, elles représentent des risques significatifs pour les réseaux d’entreprise, allant des violations de données aux infractions de conformité.

Les applications Shadow AI sont souvent développées par des employés cherchant à automatiser des tâches routinières ou rationaliser les opérations, en utilisant des modèles d’IA formés sur les données propriétaires de l’entreprise.

Ces applications, qui reposent fréquemment sur des outils d’IA génératifs tels que OpenAI ChatGPT ou Google Gemini, manquent de protections essentielles, les rendant extrêmement vulnérables aux menaces de sécurité.

Selon Itamar Golan, PDG de Prompt Security, « Environ 40% de ces derniers s’entraînent par défaut sur toutes les données que vous leur fournissez, ce qui signifie que votre propriété intellectuelle peut devenir une partie de leurs modèles », comme rapporté par VentureBeat.

L’attrait de l’IA en ombre est clair. Les employés, sous la pression croissante pour respecter des délais serrés et gérer des charges de travail complexes, se tournent vers ces outils pour augmenter leur productivité.

Vineet Arora, CTO chez WinWire, fait remarquer à VentureBeats, « Les départements se précipitent sur des solutions d’IA non sanctionnées car les avantages immédiats sont trop tentants pour être ignorés. » Cependant, les risques que ces outils introduisent sont profonds.

Golan compare l’IA fantôme aux produits dopants dans le sport, disant, « C’est comme le dopage dans le Tour de France. Les gens veulent un avantage sans réaliser les conséquences à long terme », comme rapporté par VentureBeats.

Malgré leurs avantages, les applications IA dites « shadow » exposent les organisations à un éventail de vulnérabilités, notamment des fuites de données accidentelles et des attaques par injection prompt que les mesures de sécurité traditionnelles ne peuvent détecter.

L’ampleur du problème est vertigineuse. Golan révèle à VentureBeats que son entreprise répertorie 50 nouvelles applications IA chaque jour, avec plus de 12 000 actuellement en usage. « On ne peut pas arrêter un tsunami, mais on peut construire un bateau, » conseille Golan, soulignant le fait que de nombreuses organisations sont prises au dépourvu par l’ampleur de l’utilisation de l’IA dite « shadow » au sein de leurs réseaux.

Une entreprise financière, par exemple, a découvert 65 outils d’IA non autorisés lors d’un audit de 10 jours, bien plus que les moins de 10 outils auxquels s’attendait leur équipe de sécurité, comme le rapporte VentureBeats.

Les dangers de l’IA en ombre sont particulièrement aigus pour les secteurs réglementés. Une fois que les données propriétaires sont intégrées dans un modèle d’IA public, il devient difficile de les contrôler, ce qui peut entraîner des problèmes de conformité.

Golan prévient : « Le prochain règlement de l’UE sur l’IA pourrait éclipser même le RGPD en termes d’amendes », tandis qu’Arora souligne la menace de fuites de données et les sanctions que les organisations pourraient encourir pour ne pas protéger les informations sensibles, comme rapporté par VentureBeats.

Pour faire face à la problématique grandissante de l’IA en mode fantôme, les experts recommandent une approche multifacettes. Arora suggère que les organisations créent des structures centralisées de gouvernance de l’IA, effectuent des audits réguliers et déploient des contrôles de sécurité conscients de l’IA capables de détecter les exploits pilotés par l’IA.

De plus, les entreprises devraient fournir à leurs employés des outils d’IA pré-approuvés et des politiques d’utilisation claires afin de réduire la tentation d’utiliser des solutions non approuvées.