IA génératives : quels sont les risques relatifs aux données et comment les encadrer ?
L’IA générative est une catégorie d’intelligence artificielle capable de générer du texte, des images, des vidéos et autres types de médias, en réponse à une demande utilisateur. Parmi les plus connues on peut citer ChatGPT, MidJourney, DALL·E ou encore Jasper Art.
À l’instar de l’utilisation massive de ChatGPT, ces technologies se sont rapidement propagées au sein des entreprises. Chaque collaborateur est susceptible d’alimenter une IA avec un certain nombre de données concernant votre entreprise. Dans cet article, nous nous interrogeons sur les risques encourus par vos données et la manière de vous en prémunir.
Quels risques représentent les IA génératives pour vos données ?
Selon une étude menée par Gartner, en août 2023, il existe plusieurs types de risques liés à l’utilisation des IA génératives.
En premier lieu, le risque de confidentialité des données. Ces IA utilisent les données fournies par les utilisateurs pour alimenter les algorithmes. Cela signifie que toute donnée saisie est potentiellement accessible à une autre entreprise, si aucune mesure n’est prise pour assurer la confidentialité. Par exemple, un commercial qui souhaite retravailler ses propositions avec ChatGPT peut alimenter l’IA avec vos offres et rendre possiblement les données accessibles à d’autres entreprises. L’enjeu est alors de choisir le bon outil pour que l'IA ne puisse pas faire fuiter ces données et que l'IA ne les utilise pas pour entraîner ses modèles.
En second lieu, le risque de cybersécurité. Chaque technologie est une nouvelle opportunité de cyberattaques pour les pirates afin de les détourner à leurs propres fins. On constate notamment l’émergence de nouvelles menaces comme les attaques par “prompt injection”. Autre exemple de risque cyber, depuis la mise en service des IA génératives, les pirates ont utilisé ces technologies afin de créer des exemples de logiciels malveillants ou de codes ransomware.
Face à ces deux types de risques, les RSSI sont forcés de revoir leurs priorités pour sécuriser et encadrer l’utilisation des IA au sein de leur entreprise.
Quand les éditeurs d’IA se saisissent du problème de sécurité
Les entreprises, conscientes des risques encourus pour leurs données, deviennent de plus en plus frileuses dans l’utilisation des IA génératives. Focus sur quelques outils de cybersécurité proposés par les éditeurs pour regagner en confiance :
Le modèle d’autorisations de Microsoft 365 empêche les fuites de données entre utilisateurs et groupes. Microsoft Copilot montre uniquement les données accessibles à chaque utilisateur en respectant les contrôles d’accès existants. Le chiffrement par Microsoft Purview assure que Copilot respecte les droits d’utilisation des données, avec diverses protections pour empêcher les accès non autorisés.
Microsoft a également développé un outil de détection des risques liés aux IA génératives appelé Python Risk Identification Toolkit for générative AI (PyRIT). L’entreprise l’a testé sur 60 IA génératives et l’utilise quotidiennement sur son propre outil Copilot. PyRIT est donc un outil de choix pour les RSSI qui souhaitent identifier les failles des IA utilisées.
Pour découvrir davantage d’outils et de recommandations, l’ANSSI a publié un dossier complet contenant ses recommandations de sécurité pour un système d’IA générative, à consulter ici.
Informez et formez pour garantir la sécurité de vos données
Il serait tentant de tout simplement interdire l’utilisation des IA génératives au sein de l’entreprise. Toutefois, celles-ci représentent un réel gain de temps et de productivité pour vos salariés. Ils risquent alors de le déployer sans en informer personne. Le meilleur moyen de sécuriser leur utilisation est d’accompagner ce changement à travers des formations et de la sensibilisation.
Cette dernière passe par l’explication concrète du fonctionnement des IA ainsi que la mise en avant d’exemples de fuites de données. La compréhension des risques se fait alors plus facilement.
Mise en place d’outils à la sécurité, paramétrage des IA lorsque cela est possible, définition du degré de confidentialité de chaque typologie de données, élaboration d’un guide complet des directives de sécurité… Les workshops font partie intégrantes des formations à dispenser aux collaborateurs qui utilisent fréquemment l’IA générative. La formation et la sensibilisation permettent l’adhésion du collaborateur pour autant qu’elle n’apporte pas un niveau de contrainte important !