ChatGPT en entreprise : comment éviter la fuite de données sensibles ?
Formidable outil à bien des égards, ChatGPT comporte également des risques si mal utilisé. Et notamment de voir ses données sensibles exposées à la vue de tous.
Face aux risques de fuites, il peut être tentant pour une entreprise d'interdire purement et simplement l'usage de ChatGPT dans ses rangs. C'est une fausse bonne idée : en plus d'être inefficace car les employés continueront d'utiliser ChatGPT, cette interdiction est dangereuse. En effet, l'utilisation de l'IA générative se fait sans aucun cadre, il est donc impossible de savoir quelles données lui sont confiées. Par ailleurs ce serait passer à côté d'une révolution qui emportera tout sur son passage : "Refuser d'utiliser l'IA générative, ce serait comme refuser d'utiliser Internet lors de sa création", illustre Mikko Hypponen, chief research officier chez WithSecure. La solution est donc d'accepter l'IA, mais d'en encadrer l'usage. Voici comment.
1. Etablir des do's & don'ts
Tout d'abord, il faut créer un manuel de règles internes destiné aux salariés, qui précises ce qui peut être partagé avec ChatGPT..
Pour les documents
Première règle à mettre en place : définir les documents qu'il est possible de soumettre à ChatGPT. Les documents non sensibles sont autorisés, pas les autres. Pour définir si un document est sensible, il faut se poser la question suivante : la fuite de ce document pourrait-elle rendre publiques des informations dommageables pour la compagnie ? Pour ses collaborateurs ? Pour de futurs produits ? Ou bien nuire à l'image de marque de l'entreprise ?
On citera les rapports financiers, les documents liés aux ressources humaines, les documents évoquant la stratégie de la société, les documents de R&D liés à de futurs produits et les documents liés à des partenariats avec d'autres compagnies.
Pour les services
Il pourra aussi être pertinent de limiter l'usage de l'IA au sein de certains départements de la société, en possession de données critiques pour la société. Par exemple celui de la R&D, qui a entre ses mains des données concernant les futurs produits de la société. Ensuite le département des RH, car il a accès à des RIB ou IBAN des salariés en plus de leurs informations personnelles. Il faut ajouter le département comptabilité qui édite les résultats annuels de la compagnie et qui a entre ses mains les RIB et IBAN des entreprises partenaires.
Pour les développeurs
Une autre règle, mais qui concerne uniquement les entreprises ayant des équipes de développement, sera de définir quelles lignes de code mettre dans une IA générative et lesquelles il ne faudrait absolument pas mettre. Pour ce faire, posez-vous cette question : mettriez-vous cette ligne de code en open source ? Si oui pas de problème, vous pouvez la mettre dans ChatGPT. Mais pour les lignes de code que vous ne souhaitez pas voir tomber entre toutes les mains, il faudra en interdire l'implémentation dans de l'IA générative. Typiquement, tout ce qui touchera au code source de l'entreprise, à l'élaboration de nouvelles applications et ou à la cybersécurité de la société devra être mis sous clé.
2. Sensibiliser les salariés
Outre les do's & don'ts, ce qui devra être la règle d'or pour tous concerne la sensibilisation des employés aux risques sécuritaires que l'utilisation d'une IA générative peut générer. Une grande majorité du public ne sait pas forcément que les documents ou informations qu'on passe dans la version grand public de ChatGPT sont ensuite enregistrés par ce dernier et peuvent être publiés plus tard. Il est donc important d'expliquer ces risques aux employés pour ainsi faire grandir leur maturité en termes d'usage de l'IA générative.
3. Utiliser ChatGPT Enterprise
En cas de forte utilisation de ChatGPT, il sera pertinent d'ouvrir un compte ChatGPT Entreprise. D'une part OpenAI garantit la confidentialité des données soumises, mais en plus celles-ci pourront être vérifiées par l'équipe du RSSI de votre compagnie. Ainsi, la moindre donnée sensible partagée par erreur sera immédiatement connue et ainsi le risque de voir cette faille exploitée disparaitra.
4. Acquérir une solution
Pour être totalement sûr que votre utilisation de l'IA est sécurisée et que vos données ne vous échapperont pas, la dernière étape est l'utilisation d'une solution technique qui vous permettra de sécuriser toutes vos démarches effectuées sur une IA. En France, des sociétés proposent cette solution. Parmi elles : Jalios et Elastic. Olivier Dedieu, CTO chez Jalios, précise : "Nous proposons à nos clients une approche plus souveraine de l'IA. Nous leur expliquons qu'il existe des solutions similaires à ChatGPT avec lesquelles leurs données ne sortiront pas de chez eux. Nous leur fournissons un connecteur, qui est compatible avec OpenAI, Meta et d'autres d'IA génératives. Le connecteur fait tourner l'IA du client chez lui ou alors dans un date center d'un tiers de confiance. Le client peut alors utiliser plusieurs prompts en toute sécurité". Cette solution est actuellement déployée sous forme de bêta auprès des clients de Jalios comme l'université de Liège par exemple.
La solution d'Elastic fonctionne un peu différemment, explique Yannick Fhima, head of solutions architecture pour le sud de l'EMEA : "Notre solution fonctionne comme un prisme à trois faces. Au centre, nous avons notre client, puis le LLM fourni par OpenAI et nous, Elastic. Nous créons une question enrichie de la demande du client avant de le passer dans le LLM. Cette solution permet d'éviter de fournir des données sensibles à l'IA générative".