CISOS BEWAY

Les employés de chaque organisation utilisent en moyenne 6,6 demandes d’IA génératrices à haut risque – dont certains inconnus des CISO – explique Palo Alto Networks dans une nouvelle étude.

Mais, dit un expert, cette estimation est faible. «Je pense que c’est probablement pire», a déclaré Joseph Steinberg, un expert en cybersécurité et en IA. «Dans une grande entreprise, elle doit être plus élevée que cela.»

En fait, il prédit que le nombre d’applications d’IA risquées dans l’entreprise ne fera que croître.

Cela signifie que les CISO doivent faire une évaluation des risques de chaque application Genai que les employés utilisent, a-t-il déclaré dans une interview, puis définir des politiques et procédures que le personnel doit suivre.

Il a averti les CISO et les PDG contre le suivi de «l’algorithme d’autruche» – prétendre que le danger n’existe pas en ignorant, sinon enrichissant, l’utilisation de l’ombre de l’IA par les employés, que ce soit au bureau ou à la maison.

« Il ne fait aucun doute qu’il y a une grande utilisation des applications d’IA génératives utilisées de manière très problématique pour l’organisation », a-t-il déclaré. «N’oubliez pas que je peux utiliser une application Genai de mon ordinateur personnel sur lequel mon entreprise n’a aucun contrôle, et fuir toujours une énorme quantité de données à partir de ce que je demande – et ce n’est peut-être pas ce que je demande, mais ce que les autres demandent également, et l’IA génératrice apprend du modèle de questions.

«Il est difficile de bloquer cela, car le risque ne peut pas être complètement contrôlé par l’organisation, car quelqu’un peut le faire à son rythme de sa propre machine.»

Et les organisations récompensent parfois délibérément ou par inadvertance les employés pour avoir utilisé des applications Genai non approuvées, a-t-il ajouté, par exemple, en applaudissant un rapport qui est tout simplement trop bon.

« Soyons honnêtes », a-t-il dit. « De nombreuses entreprises qui interdisent l’IA génératrice récompensent leurs employés (pour l’utiliser). Ils ne l’admettront jamais. Mais si vous êtes examiné en fonction de vos performances, et vos performances sont améliorées en utilisant l’ombre ou l’IA sur votre propre machine à votre rythme, si vous n’êtes pas puni, vous n’allez pas vous arrêter. »

Steinberg commentait une étude publiée mercredi par Palo Alto Networks (PAN) sur la popularité du Genai dans les organisations. Il a analysé les journaux de trafic à partir d’un peu plus de 7 000 clients PAN au cours des 12 mois de 2024 pour détecter l’utilisation des applications logicielles en tant que service telles que Chatgpt, Microsoft Copilot, Amazon Bedrock et plus encore. Il a également inclus un aperçu distinct des données anonymisées des incidents de prévention des pertes de ses clients des trois premiers mois de cette année.

Il a observé:

• En moyenne, la plupart des organisations verront un total de 66 applications Genai dans leur environnement. La majeure partie de ceux parmi les clients PAN était des «assistants d’écriture» (34% de l’échantillon. Le plus grand de cette catégorie était grammaire); «Agents conversationnels» (un peu moins de 29%, des applications telles que Microsoft Copilot, Chatgpt et Google Gemini); Applications «Recherche d’entreprise» (un peu plus de 10% de l’échantillon) et des applications «Platform de développeur» (un peu plus de 10%). Ces quatre seuls représentent 84% des applications Genai vues;
• 10% des applications Genai sont appelées «à haut risque» car, selon la télémétrie client, l’accès à eux a été restreint ou bloqué par les clients à un moment donné ou des points pendant la période d’étude;
• Les incidents de prévention de la perte de données (DLP) pour Genai détectés par PAN ont plus que doublé cette année par rapport à 2024.

Les assistants d’écriture ne sont pas des demandes à prendre à la légère, prévient le rapport. «Si un assistant d’écriture d’IA est intégré aux systèmes d’une organisation sans contrôles de sécurité appropriés, il pourrait devenir un vecteur de cyberattaques. Les pirates pourraient exploiter les faiblesses de l’application Genai pour accéder aux systèmes internes ou aux données sensibles.»

«À mesure que l’adoption de Genai se développe, ses risques», dit-il. «Sans visibilité sur les applications Genai et leurs écosystèmes d’IA plus larges, les entreprises peuvent risquer d’exposer des données sensibles, de violer les réglementations et de perdre le contrôle de la propriété intellectuelle. La surveillance des interactions d’IA n’est plus facultative. Il est essentiel d’aider à prévenir l’adoption de l’IA fantôme, d’appliquer les politiques de sécurité et de permettre une utilisation responsable de l’IA.»

Le rapport identifie ces meilleures pratiques de sécurité de Genai pour les CISO:

• Comprenez l’utilisation et le contrôle du Genai dans l’entreprise et ce qui est autorisé. Implémenter la gestion de l’accès conditionnel pour limiter l’accès aux plates-formes Genai, aux applications et aux plugins en fonction des utilisateurs et / ou des groupes, de l’emplacement, du risque d’application, des appareils conformes et de la justification commerciale légitime;
• Garde les données sensibles de l’accès et des fuites non autorisés grâce à l’inspection du contenu en temps réel avec l’application centralisée de la politique dans l’infrastructure et dans les flux de travail de sécurité des données pour aider à empêcher l’accès non autorisé et la fuite de données sensibles;
• Défendez-vous contre les cyber-états modernes basés sur l’IA à travers un cadre de sécurité de confiance zéro pour identifier et bloquer les logiciels malveillants et les menaces très sophistiqués, évasifs et furtifs dans les réponses du Genai.