Les risques du Shadow AI : comment les entreprises peuvent se protéger

En quelques mois les IA génératives ont investi le monde du travail. Si certaines sont autorisées par les entreprises, d'autres, plus grand public sont utilisées à leur insu.

Cette pratique n’est pas sans risque de cyberattaques et de pertes de données confidentielles. Ainsi, à l’instar de ce que fut le shadow IT, le shadow AI s’installe dans les entreprises. Mettre en place une gouvernance de l’utilisation de ces IA, des outils de sécurité et sensibiliser les collaborateurs sont devenus des enjeux d’entreprise. 

En moins de deux ans, de nombreux grands modèles de langage (LLM) ont été créés (ChatGPT, Gemini, etc.), introduisant ainsi l’IA générative auprès du grand public. Selon une étude réalisée par Ipsos, un an après la sortie de ChatGPT plus de la moitié des Français étaient adeptes de l’outil. D’autres LLM, plus professionnels cette fois, investissent eux aussi de plus en plus les entreprises. Commercial, marketing, relation client, RH… l’IA générative se diffuse partout au point de devenir l’outil indispensable à la création d’une grande variété de contenus professionnels : emails, comptes rendus, fiches produits, mais aussi aide à l’analyse de données ou à la traduction de textes. Selon la 9ème édition de son baromètre annuel, le Cesin indique que 30 % des RSSI confirment que l’IA générative est bien utilisée par les métiers et les équipes de développement, mais qu’elle l’est sans recourir aux conditions de sécurité ad hoc. Ils sont même 43 % à déclarer que l’IA n’est pas utilisée « officiellement », déclinant ainsi le fameux shadow IT en shadow AI. De quoi donner des sueurs froides aux RSSI. Mais quels risques encourent-elles à être exposées au shadow AI et comment prévenir cette pratique ? 

L'essor des LLM et la généralisation de l'IA générative

L'utilisation d'API publiques pour interagir avec de grands modèles de langage présente un risque important pour les entreprises, car elle compromet leur capacité à protéger leurs informations exclusives et leur propriété intellectuelle. Ces modèles, généralement hébergés par des fournisseurs tiers, ont la capacité de traiter et d'analyser de grandes quantités de données, y compris des informations sensibles sur les entreprises. Par conséquent, les entreprises qui utilisent ces API sont exposées à la perte potentielle de données confidentielles et à la possibilité pour des acteurs malveillants d'exploiter les vulnérabilités de l'architecture du modèle. Pour atténuer ces risques, les entreprises doivent faire preuve de diligence raisonnable lors de la sélection et de la mise en œuvre de ces modèles, tout en mettant en œuvre des mesures de sécurité solides pour protéger les informations sensibles.

Les dangers du Shadow AI entre vulnérabilités et prévention

Utiliser un LLM grand public dans le cadre d’une activité professionnelle expose l’entreprise à la diffusion de données confidentielles. Prenons le cas d’un marketeur en mal d’imagination pour lancer sa prochaine campagne publicitaire. Pour l’aider dans sa recherche créative, il sollicite ChatGPT et, pour que les réponses de l’IA soient plus pertinentes, il livre au modèle quelques informations sur le produit (nom, caractéristiques.), sur le marché, ou encore sur la cible… En se retrouvant dans le vivier de datas du modèle, toutes ces informations deviennent potentiellement accessibles à toute personne faisant des requêtes sur ce type d’informations. Inconsciemment, le collaborateur a donc diffusé des données confidentielles. 

Cela peut paraître évident, pourtant la majorité des employés ne connaissent pas le fonctionnement d’un LLM. Plusieurs actualités récentes de fuites de données (chez Samsung ou dans l’industrie pharmaceutique) en sont le parfait exemple et montrent que les entreprises de tous secteurs peuvent être touchées. 

L'importance de la sensibilisation et de la maîtrise des LLM

Que ce soit via les API ou l’utilisation d’une IA générative externe, l’entreprise se retrouve donc de plus en plus exposée à des cyberattaques et à la perte de données confidentielles. Comment une entreprise peut-elle éviter de telles situations ? Aujourd'hui de nombreuses organisations choisissent d'interdire l'utilisation ou l'accès aux modèles de langage à grande échelle (LLM) pour le grand public. Une restriction qui entraîne hélas un comportement de shadow AI : les collaborateurs utilisant ces outils en secret, en ayant recours à leurs téléphones ou appareils personnels. Adopter une attitude d’interdiction est une erreur à bien des égards : non seulement elle véhicule l’image d’une entreprise vieillotte, mais elle freine aussi l’innovation et réduit la productivité des équipes. 

Les entreprises ont donc tout intérêt à offrir une alternative en autorisant l’accès à des IA sélectionnées, en mettant en place des outils de sécurité spécifiques aux IA génératives et des mesures de contrôle permettant de superviser leur utilisation.

Enfin, et c’est un élément essentiel de la politique de sécurité de l’entreprise, une sensibilisation de tous les collaborateurs aux risques et une formation sur les bonnes pratiques doivent être menées régulièrement. 

Adopter et maîtriser les LLM, n’est plus une option, mais une stratégie qui inscrit les organisations dans le sens de l’histoire.