La stratégie de l’entreprise devra tenir compte de ces problèmes potentiels, à la fois en protégeant qui possède les données et en empêchant l’IA de devenir une violation de la sécurité.
C’était l’une des nouvelles de la technologie virale début juillet lorsque Wetransfer, le service populaire de partage de fichiers utilisé massivement par les entreprises et les utilisateurs finaux, avait changé ses conditions d’utilisation.
C’est le genre de chose qui est généralement acceptée sans y entrer trop profondément, mais à cette occasion, ils avaient ajouté un élément lié à l’intelligence artificielle. Au début du mois d’août, Wetransfer a réservé le droit d’utiliser les documents qu’elle a réussi pour «exploiter, développer, commercialiser et améliorer le service ou de nouvelles technologies ou services, notamment l’amélioration des performances des modèles d’apprentissage automatique». Les informations sur les utilisateurs, quels que soient, pouvaient être utilisés pour former l’IA, il a été compris.
Le scandale était énorme et Wetransfer a fini par revenir en arrière, expliquant aux médias que, en fait, ce qu’ils voulaient couvrir, c’était la possibilité d’utiliser l’IA pour modérer le contenu et non exactement ce que leurs utilisateurs avaient compris.
Cependant, le scandale de Wetransfer est devenu un signe très visible d’un nouveau risque potentiel dans la cybersécurité, la vie privée et même la protection des informations sensibles. Beaucoup de données sont nécessaires pour alimenter l’IA et de nombreuses données sont utilisées pour celle-ci, ce qui fait changer les politiques de confidentialité des services en ligne très populaires pour s’adapter à ce nouvel environnement.
Ajoutez à cela le fait que l’incorporation de l’intelligence artificielle se fait en temps réel, teste et essaie les choses. Cela ouvre des problèmes potentiels, tels que le fait que les travailleurs de l’entreprise peuvent utiliser des services qu’ils ont connus dans leur vie personnelle – tels que Chatgpt – pour les utilisations de travail où ils ne devraient pas les utiliser. Toutes les politiques de confidentialité de l’entreprise importe peu si un travailleur aléatoire télécharge alors ces informations confidentielles à Chatgpt pour faire une traduction ou une lettre écrite.
Ainsi, ce nouveau contexte ouvre de nouvelles questions, à la fois pour les utilisateurs finaux au niveau personnel et pour les DSI et les CISO au niveau de l’entreprise en tant que responsables de la stratégie et de la sécurité informatiques.
Les propriétaires des données
Un de ces problèmes est celui de l’information, qui possède les données et à qui elle peut appartenir. Cela conduit à des conditions d’utilisation mises à jour pour différents services afin de pouvoir utiliser les données que leurs utilisateurs ont générées pour former l’IA. Cela s’est produit, par exemple, avec les réseaux sociaux, comme Meta; Mais cela se produit également avec des services largement utilisés dans les environnements d’entreprise. Panda nous rappelle que Slack utilise les données clients par défaut pour ses modèles d’apprentissage automatique.
Cet état de choses n’est pas exactement nouveau. Les données publiques n’atteignent plus les organisations pour développer leur IA et ont besoin de nouvelles sources de données. «Les ensembles de données collectés dans leurs applications valent beaucoup», explique Hervé Lambert, directeur des opérations de consommation mondiale chez Panda Security, dans une analyse. «Ce qui explique pourquoi la plupart de ces sociétés se précipitent pour modifier leurs politiques de confidentialité pour pouvoir les utiliser et s’adapter aux nouvelles réglementations de protection des données qui les obligent à être plus transparentes quant à l’utilisation des informations qu’ils collectent et stockent», ajoute-t-il.
Bien sûr, c’est avant tout un problème pour les gestionnaires informatiques et cybersécurité des entreprises concernées, qui doivent changer leurs règles d’utilisation. Mais ensuite, ils peuvent devenir des maux de tête pour les entreprises qui utilisent leurs services d’une manière ou d’une autre, ou qui savent que leurs employés le feront malgré tout.
«Ils veulent ouvrir la porte à de nouvelles façons d’exploiter les données dans des domaines tels que l’IA, le marketing avancé et le développement de produits», souligne Lambert, «mais en même temps, ils doivent être en règle avec une législation.» Cela fait que les conditions d’utilisation et les conditions de confidentialité incluent de grandes mentions ou la séparation entre les utilisations devient une ligne «très mince».
Risques de confidentialité et de cybersécurité
Un autre problème majeur réside dans les violations potentielles de la confidentialité et de la cybersécurité, à la fois pour les utilisateurs finaux et pour les entreprises elles-mêmes.
Panda avertit comment les AIS nourris avec de grandes quantités de données personnelles peuvent devenir une passerelle vers la fraude ou pour créer des attaques beaucoup plus sophistiquées et infaillibles si elles tombent entre les mauvaises mains. «Lorsque nous jetons des données personnelles dans des outils d’IA sans contrôle pratique, nous nous exposons au fait que les informations peuvent être copiées, partagées ou utilisées sans notre consentement», note son responsable des opérations de sécurité.
Parfois, il n’a même pas besoin de tomber entre de mauvaises mains, mais plutôt le manque d’expertise des utilisateurs finaux permet aux informations sensibles de surfer sur le Web. Il y a le cas des conversations Chatgpt indexées par Google. « Lorsque l’option » Making Cat Découverable « est activée, l’utilisateur de certaines solutions d’IA tels que ChatGPT accepte de les rendre publics et accessibles à partir de Google ou d’autres moteurs de recherche et apparaître dans les résultats de recherche, ce qui génère une controverse parce que certains de ces chats peuvent contenir des données sensibles, des idées commerciales, des stratégies commerciales ou des expériences personnelles », explique Lambert.
En fait, l’IA est déjà l’un des problèmes les plus inquiétants pour les CISO qui commencent à montrer des signes d’épuisement professionnel d’un environnement de travail de plus en plus complexe. Alors que 64% des responsables de la sécurité estiment que l’activation de l’utilisation d’outils d’IA génératifs est un objectif stratégique dans deux ans, ils sont également préoccupés par les risques qu’ils posent. Ceci est confirmé par les données de la cinquième rapport annuelle de la voix du CISO de Proofpoint.
«L’IA est passée d’un concept à un élément fondamental, transformant la façon dont les défenseurs et les adversaires opèrent», explique Ryan Kalember, directeur de la stratégie chez Proofpoint. «Les CISO sont désormais confrontées à une double responsabilité: tirer parti de l’IA pour renforcer leur posture de sécurité tout en garantissant son utilisation éthique et responsable», ajoute-t-il. Pour ce faire, ils devront prendre des «décisions stratégiques», mais avec la complexité supplémentaire que les CISO ne sont pas les seuls décideurs dans la mise en œuvre de cette ressource.
L’utilisation sécurisée de l’IA générative est déjà une priorité pour 48% des CISO.
