Laptop, screen and business man for coding, software development and programming script in cybersecurity. Night, computer research and programmer or IT person with html code, system or data analysis

CISOS Pas plus près de contenir les risques de données montés

Lucas Morel

Une augmentation de 30 fois les données de l’entreprise exposées à l’IA de l’ombre montre que l’offre d’outils d’IA officiels des utilisateurs ne réduit pas la fuite de données et les risques de conformité de l’utilisation d’IA non autorisée.

Les nombreux avantages de l’IA génératrice s’accompagnent de l’inconvénient des risques de sécurité des données, principalement par l’utilisation de l’IA de l’ombre et la fuite d’informations sensibles.

Ces risques sont aggravés dans l’entreprise, car les travailleurs utilisent souvent des comptes de génération AI privés pour traiter les données sensibles.

Alors que la plupart des organisations (90%) proposent des applications généatives sanctionnées et encore plus (98%) offrent à leurs applications d’utilisateurs qui incorporent les fonctionnalités de l’IA de la génération IA, l’utilisation non autorisée des services d’IA monte en flèche en affaires, selon une étude de NetSkope.

La plupart des Gen Gen IA utilisent dans l’entreprise (72%) sont de l’ombre, tirées par des individus utilisant des comptes personnels pour accéder aux applications AI. Ces formes d’utilisation des comptes privés ne sont souvent pas trouvées par les équipes de sécurité et intactes par les contraintes de politique de sécurité de l’entreprise.

NetSkope a constaté que la quantité de données envoyées aux applications Gen Gen AI dans les invites et les téléchargements a augmenté de plus de 30 fois au cours de la dernière année, augmentant des volumes d’exposition sensible aux données, en particulier le code source, les données réglementées, la propriété intellectuelle et les secrets.

Le volume de données sont passées de 250 Mo à 7,7 Go par mois, principalement sous forme d’invites et de téléchargements, malgré les applications utilisées par une population relativement petite (4,9% des utilisateurs d’entreprise).

Une étude distincte de la sécurité harmonique a révélé que 8,5% des invites aux employés aux LLM populaires – y compris Chatgpt, Gemini et Claude – au cours du quatrième trimestre 2024 comprenaient des données sensibles. Les données des clients, y compris les informations de facturation et les données d’authentification, ont représenté près de la moitié des données sensibles et divulguées. Les données juridiques et financières ont représenté 15% des informations exposées, tandis que les données liées à la sécurité (résultats de test Pen, etc.) ont constitué 7% concernant 7%.

Manque de surveillance

Les risques associés à l’ombre de l’ombre incluent, mais sans s’y limiter, la fuite de données, ainsi que les risques réglementaires et de conformité pour les données personnelles des utilisateurs.

«Les employés utilisent des outils d’IA génératifs sans surveillance informatique, passant souvent des données sensibles dans des comptes personnels ou en s’appuyant sur des suggestions de code non évaluées», a déclaré James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4. «Ces actions peuvent augmenter le risque de fuite de données, de violations de la conformité et d’intégrité des logiciels affaiblies, le tout sans que l’utilisateur ne réalise l’impact.»

«Les employés trouvent l’IA utile et sans un moyen approuvé sanctionné et approuvé de tirer parti de ses capacités, les organisations peuvent rapidement trouver des données sensibles entre les mains de tiers», a averti Brauchler. «Ces données peuvent trouver son chemin dans les ensembles de données de formation ou peuvent même être directement exposés aux attaquants par le biais de bogues et de violations, comme cela s’est produit plus d’une fois.»

Risque de gouvernance

Laura Ellis, vice-présidente des données et de l’IA à Rapid7, a averti que l’ombre AI présente des risques de gouvernance de données importants pour les entreprises.

«L’utilisation non autorisée des outils d’IA peut entraîner une exposition accidentelle des informations sensibles à l’entreprise ou même aux clients, ce qui crée des risques potentiels de conformité et de sécurité», a averti Ellis. «De plus, le fait de s’appuyer sur les sorties d’IA non adaptées augmente le risque d’inexactitudes factuelles, ce qui peut avoir un impact négatif sur la crédibilité et la confiance de la marque.»

D’autres experts ont caractérisé l’utilisation de l’IA comme quelque chose d’un environnement mal réglementé.

«Les violations de données, le vol IP et les amendes réglementaires ne sont pas des hypothétiques – ils sont le résultat inévitable de l’utilisation de l’IA non approuvée», a averti Bharat Mistry, CTO sur le terrain chez Global Cybersecurity Vendor Trend Microi. «Beaucoup de ces outils opèrent dans une zone grise juridique et de conformité, ignorant entièrement les réglementations spécifiques à l’industrie et les lois sur la protection des données.»

Mistry a ajouté: « Pour aggraver les choses, l’informatique et les équipes de sécurité essaient de poursuivre les ombres. Avec un nombre croissant d’outils non autorisés utilisés dans les départements, la visibilité, le contrôle et la gestion des risques sortent par la fenêtre. »

Cheney Hamilton, chercheuse spécialisée chez l’analyste de l’industrie Bloor Research, a averti que les outils de génération AI sont rapidement intégrés dans les flux de travail mais souvent sans surveillance – des développements qui parallèles à la montée des systèmes informatiques fantômes – et créant des risques similaires dans le processus.

« Le risque n’est pas seulement technique, c’est comportemental », a déclaré Hamilton. «Les employés utilisent des outils Gen AI pour faire le travail plus rapidement, mais sans paramètres clairs, les données sensibles sont exposées d’une manière que les cadres de sécurité traditionnels ne captent pas.»

Hamilton a ajouté: « Ce qui est nécessaire maintenant, c’est un passage des contrôles réactifs à la gouvernance proactive de l’IA intégrée aux politiques de la main-d’œuvre, à la conception des emplois et même à la structure de leadership parce que Gen AI ne devrait pas se situe uniquement sous elle ou Infosec; elle a également besoin de propriété interfonctionnelle de la RH, du juridique et de la conformité. »

Atténuation des risques

L’explosion de l’adoption de l’IA via des outils tels que Chatgpt, Google Gemini et Github Copilot crée un défi de gouvernance de cybersécurité que les approches et les outils traditionnels sont mal équipés pour contenir.

Ces mesures devraient inclure:

  • Surveillance en temps réel: Les leaders de la sécurité devraient déployer des systèmes pour suivre et gérer l’entrée de données dans les outils génératifs d’AL (et de SaaS compatible).
  • Listes d’IA sanctionnées: Les CISO devraient s’assurer que les fournisseurs d’IA approuvés protègent contractuellement la confidentialité des données de l’entreprise et que les solutions d’IA en dehors de la liste approuvée sont surveillées ou bloquées.
  • Identification du plan d’application: Les chefs de sécurité doivent s’assurer que les employés utilisent des plans payants ou des plans qui ne s’entraînent pas sur les données d’entrée.
  • Visibilité au niveau rapide: Les équipes de sécurité ont besoin d’une visibilité complète sur les données partagées dans ces outils – le simple fait de surveiller l’utilisation ne suffit pas.
  • Classification des données sensibles: Les systèmes de sécurité doivent être en mesure d’identifier les données sensibles au point de perte de données.
  • Application de règles intelligentes: Les CISO devraient travailler avec les chefs d’entreprise pour créer des workflows sanctionnés qui façonnent la façon dont divers départements ou groupes peuvent s’engager avec les outils de génération.
  • Éducation des utilisateurs: Les employés doivent être formés sur les risques et les meilleures pratiques pour l’utilisation de l’AL de manière responsable.
  • Établir des politiques d’utilisation: Les dirigeants de la sécurité doivent travailler avec les chefs d’entreprise pour définir comment l’IA doivent être utilisés, y compris les classes de données internes peuvent être envoyées aux fournisseurs approuvés. Des cas d’utilisation hors limites bien définis doivent être établis.

En général, les équipes de sécurité devraient surveiller le mouvement des données au sein de leur organisation et identifier les principales sources de risque, AI ou autrement. Le filigrane de l’IA peut aider à identifier le contenu généré par l’IA mais n’empêche pas les informations sensibles de se perdre en premier lieu.

La prévention des pertes de données (DLP) peut aider à identifier l’exportation d’informations à risque, mais certains experts soutiennent que la technologie est limitée comme moyen de contraindre les fuites via des outils Gen AI.

Peter Garraghan, PDG et co-fondateur de Mindgard, une société de tests de sécurité de l’IA, a averti que l’IA générative introduit une nouvelle classe de risques qui vont au-delà des contrôles conventionnels tels que le blocage, le DLP et le coaching en temps réel peuvent gérer efficacement.

«Le problème réside dans la sophistication et l’opacité – ou la nature noire – des systèmes d’IA modernes», a expliqué Garraghan. Les informations sensibles peuvent être ingérées, transformées et même obscurcies dans un modèle ou une application AI avant d’être sortie à l’utilisateur.

Garraghan a poursuivi: «Dans ces cas, les contrôles standard ont des moyens limités de reconnaître les données ou le contexte sous-jacents, ce qui signifie que des informations potentiellement sensibles pourraient être exfiltrées sans déclencher aucune alerte.»

Pour sécuriser vraiment l’IA génératrice, les organisations ont besoin d’une couche de protection construite à but pour ce nouveau paradigme. Cela comprend des outils de test de sécurité qui peuvent faire surface et prouver l’existence de ces vulnérabilités ainsi que la détection d’exécution des vulnérabilités spécifiques à l’IA.

« Ce sont des problèmes qui ne font que faire surface lors de l’exécution du modèle, tels que la fuite de données par l’intégration ou le codage », a ajouté Garraghan, professeur d’informatique à l’Université britannique de Lancaster.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission