IA générative en entreprise : quel cadre, quelles règles d'usage ?
Tout comme la plupart des nouvelles technologies, l'IA générative comporte des risques et des avantages.
A l’heure actuelle, l’IA encourage la productivité des employés en leur servant d'assistant virtuel. Mais alors qu’il est indispensable d’envisager les risques, deux dimensions sont à prendre en compte : le risque auto-infligé et le risque externe.
On parlera de risque auto-infligé dès lors que les employés d'une entreprise auront recours à l'IA pour suggérer du contenu, soit sous forme de requête soit en relation avec ce qu'ils sont en train de créer. À moins que les données ne soient verrouillées, rien n'empêche l'IA d'analyser votre parc de données et de révéler votre feuille de route confidentielle, vos informations financières ou d'autres données précieuses à des personnes mal intentionnées.
Pour limiter ce risque, Microsoft recommande de sécuriser les données sensibles avant de déployer son nouvel assistant d'intelligence artificielle, Copilot. Dans un communiqué publié sur son site internet, on peut lire : « Vous avez plusieurs façons de vous préparer... Vérifiez par exemple que votre entreprise a instauré des contrôles et des politiques d'accès à l'information efficaces. »
Malheureusement, cela s'avère souvent plus complexe et la plupart des entreprises n’anticipent pas assez le risque. La situation peut alors se compliquer si les données utilisées par l'IA s’accumulent et se diversifient.
Sans la mise en place de contrôles adéquats, l'IA pourrait avoir du mal à identifier les personnes qui pourraient accéder à des informations bien définies. Dans ce contexte, les entreprises seront exposées de la même manière que lorsqu'elles lancent des plateformes de recherche au sein de leur organisation avant de mettre en place des paramètres de sécurité, sauf qu’ici les conséquences seront bien plus graves.
Si cela se produit, les employés n'auront pas besoin de chercher le contenu qu'ils veulent voler ou regarder en cachette : l'IA se fera un plaisir de l'exposer pour eux.
Comment les attaquants exploitent l'IA
Les risques externes ne cesseront d'augmenter à mesure que les attaquants se familiariseront avec l'utilisation de l'IA. Malheureusement, ils ont déjà commencé. WormGPT et FraudGPT ont recours à de grands modèles de langage (LLM) pour aider les attaquants à concevoir des e-mails de phishing convaincants et à les traduire dans d'autres langues.
Désormais, les acteurs malveillants génèrent de faux jeux de données qui sont basés sur d'anciennes violations et autres données disponibles. Ils déclarent avoir volé des données à des entreprises pour renforcer leur bonne réputation, ou pour potentiellement inciter ces entreprises à payer une rançon. Une IA générative pourrait alors augmenter le volume de données et compliquer la tâche au moment où elle doit en réalité simplement distinguer si une violation est réelle ou non.
Des chercheurs se sont servi de l'IA pour créer des malwares à titre expérimental, et il est fort probable que nous assisterons à la prolifération de malwares générés par l'IA dans le monde réel. Malheureusement, il est fort à parier que l'intelligence artificielle continuera à ouvrir des portes pour laisser libre court à tous types de méfaits cybernétiques.
Ce ne sont là que quelques-uns des risques de l'IA et au rythme où cette technologie avance, on peut s'attendre à ce que ce ne soit que le début. Bientôt, ce sera l'IA générative elle-même qui créera les nouvelles cybermenaces.
Les cyberdéfenseurs épaulés par l'IA ?
Heureusement, l'intelligence artificielle permet également d’avoir accès à d'énormes opportunités pour renforcer la cybersécurité.
L'IA sait reconnaître les schémas à la perfection. En analysant les bonnes données, l'IA et l'apprentissage automatique peuvent fournir des indications précieuses sur les vulnérabilités et les comportements indésirables. Associée à l'automatisation, l'IA pourra prendre en charge les tâches de routine, libérant ainsi davantage de temps aux humains pour qu’ils puissent se concentrer sur des tâches qui requièrent toute leur attention.
Si une intervention humaine est nécessaire, l'IA permettra aux cyberdéfenseurs d'être plus efficaces car elle leur fournira des informations et accélèra les recherches. Toutes ces utilisations de l'IA existent déjà, et bien d'autres se profilent à l'horizon. L'IA générative pourrait par exemple créer des quantités massives de données synthétiques pour servir d'appât aux attaquants. Les malfaiteurs auront ainsi plus de mal à savoir s'ils ont volé quelque chose de valeur ou non. Cela offrirait aux défenseurs et aux technologies sur lesquelles ils s'appuient, davantage d'opportunités pour attraper les cybercriminels en flagrant délit.
Que faire pour préparer votre entreprise à l’usage de l'IA ?
Effectuez une évaluation des risques concernant les données pour repérer celles qui sont sensibles et trop accessibles avant qu'elles ne soient exposées par une IA « bienveillante » ou par une IA « malveillante » pilotée par un attaquant. Vos données permettent à l'IA d'avoir de la valeur, et c'est cela que vous devez protéger. Les entreprises ne possèdent pas suffisamment d'informations sur l'endroit où sont stockées leurs données importantes. Elles ne savent pas non plus qui peut les utiliser ni qui les utilise.
Verrouillez vos données, et surtout celles qui vous sont indispensables. Dès qu'une entreprise parvient à identifier les risques liés à ses données lors d'une évaluation, elle constate presque toujours que les données essentielles sont beaucoup trop accessibles, qu'elles se trouvent au mauvais endroit et qu'elles sont utilisées ou non d’une manière à laquelle ils ne s’attendent pas. Vos collaborateurs et partenaires ne doivent avoir accès qu'aux informations dont ils ont besoin pour faire leur travail, et à rien d'autre. Microsoft recommande aux entreprises de ne pas activer l'IA sans avoir mis en place les contrôles d'accès et les politiques nécessaires.
Certaines technologies connaissent un essoufflement après une première phase d'engouement. Il est très probable que l'IA survive à cette phase et reste d’actualité. Si vos données ne sont pas protégées, il est possible que l'IA, qu'elle soit bienveillante ou non, augmente les chances que vos données soient piratées. Dans l'état actuel des choses, l'IA seule est incapable de neutraliser une violation de données. Il est donc vital de commencer par protéger vos données afin que l'IA soit un atout, et non un risque.