Intégrer ChatGPT et l'IA générative dans les meilleures pratiques de cybersécurité

Comment les outils d'IA générative tels que ChatGPT peuvent-ils être utilisés efficacement et en toute sécurité pour renforcer les stratégies de cybersécurité ?

ChatGPT fait couler beaucoup d’encre depuis son lancement en novembre 2022. Au cours des six derniers mois, le chatbot d'intelligence artificielle (IA) générative est devenu le sujet de nombreuses discussions notamment quant à son potentiel impact sur la sécurité de l’information et la cybersécurité en général.

L'IA est un outil puissant qui permet aux responsables de la sécurité de s'assurer que l'architecture de leur entreprise peut résister à tous les défis actuels liés à la complexité des menaces. En effet, pour garder une longueur d'avance et contrer les techniques de plus en plus sophistiquées des cybercriminels, les dirigeants ne peuvent plus se contenter de solutions réactives, avec une seule couche.

L'essor de ChatGPT : de la recherche indexée au dialogue

En l'espace de vingt ans, Google Search a sans aucun doute façonné la manière dont les internautes d’aujourd’hui recherchent et consultent la multitude d'informations disponibles sur le web. Sur ce moteur de recherche, qui fournit des informations indexées, c'est à l'utilisateur de faire le tri manuellement, de trouver ce qui lui convient le mieux, d'établir des liens entre les informations trouvées et de déterminer la meilleure réponse.

Puis ChatGPT est arrivé. Sa popularité fulgurante est liée à son mode de communication dit « en langage naturel ». Lorsqu'on lui pose une question, ChatGPT puise dans une énorme quantité de données textuelles (livres, articles, pages web, ...) pour générer sa réponse. Entraîné à la conversation, il utilise ensuite des algorithmes d'apprentissage automatique pour répondre en mode dialogue. Ainsi, les réponses ressemblent à celles d'un être humain, ce qui donne à l'utilisateur le sentiment d'une conversation, en opposition avec la recherche unidirectionnelle basée sur un index que Google a instauré.

Approche multimodale sur les réseaux sociaux et ChatGPT dans la recherche d'informations

Alors qu’une nouvelle génération d'internautes émerge, ils semblent préférer une communication issue de différentes sources et privilégier la recherche d'informations sur les réseaux sociaux telles que TikTok ou Instagram. Sur ces applications, les informations leur semblent provenir directement de l’émetteur sans avoir été transformées ou rapportées par un tiers. Cet échange d’informations basé sur la conversation et le dialogue spontané s’inscrit mieux dans leurs attentes.

Bien que la technologie derrière ChatGPT ne soit pas nouvelle, elle semble répondre à cette préférence pour les discussions communautaires. Elle remet en question la manière dont les utilisateurs envisagent et abordent l'organisation des données. Deux mois après son lancement, ChatGPT comptait plus de 100 millions d'utilisateurs et enregistre déjà plus de 13 millions de visiteurs quotidiens.

ChatGPT peut-il être intégré en toute sécurité dans les stratégies et processus de cybersécurité ?

Compte tenu de la popularité de ChatGPT et de son impact sur les personnes qui consomment de l’information dans le monde entier, les responsables de la sécurité accordent désormais davantage d'attention à ce type d’outils pour améliorer leur productivité. Bien qu'il s'agisse d'un outil puissant, il est important d'évaluer comment il peut s'intégrer dans les workflows des entreprises en toute sécurité.

Dans la plupart des cas, les utilisateurs sont satisfaits de leur expérience et des données produites par le chatbot d'IA. Cependant, Open AI, la société mère de ChatGPT, a publié plusieurs mises en garde sur l’usage de l’outil ainsi que des rappels quant aux politiques de sécurité, précisant que ChatGPT n'offre actuellement aucune vérification des faits et qu’il est préférable de ne pas avoir une confiance aveugle dans les réponses fournies.

Selon le cadre de la gestion des risques liés à l'IA du NIST, un système d'IA ne peut être considéré comme digne de confiance que s'il respecte les critères suivants : la validité, la fiabilité, la responsabilité, la transparence, l'équité et la gestion des préjugés nuisibles, la sécurité et la résilience, l’explicabilité, l'interprétabilité et la sûreté.

Sécuriser ChatGPT et faire monter les utilisateurs en compétence

ChatGPT peut être utilisé en toute sécurité lorsque les dirigeants et les équipes de sécurité d'une entreprise travaillent de concert pour gérer les risques. Il est toutefois important que les utilisateurs soient conscients que les chatbots d'IA générative peuvent être utilisés à mauvais escient et qu’ils comprennent comment s'en protéger.

  • Des barrières à l’entrée restreintes pour les cybercriminels

Des chercheurs ont découvert que ChatGPT peut être exploité par des cybercriminels pour générer des commandes liées à des malwares, voire créer des malwares à la volée. Bien que cela aille strictement à l'encontre de la politique de contenu d'OpenAI, il semble que certains travaillent activement à contourner les restrictions de l'entreprise en partageant leurs techniques sur le dark web. Si ces restrictions venaient à disparaître, le chatbot pourrait être utilisé par des cybercriminels peu expérimentés voir néophytes pour générer ou améliorer des codes malveillants existants.

  • Emails de pishing par l'IA

Le chatbot étant basé sur le dialogue, les experts en sécurité supposent que les cybercriminels pourraient utiliser ChatGPT pour créer des emails d'hameçonnage très bien rédigés. Auparavant, plusieurs signes révélateurs permettaient de détecter un email de phishing (fautes de frappe, d'orthographe ou de grammaire, intitulé étrange, ...), si les acteurs de la menace commencent à utiliser ChatGPT pour créer leur contenu d'ingénierie sociale, ils pourraient rendre leurs emails de phishing plus convaincants. Les entreprises peuvent lutter contre les risques liés aux outils d'IA générative en sensibilisant leurs équipes aux risques inhérents à cette technologie. Cela signifie que les employés doivent être formés au fonctionnement des robots comme ChatGPT, à la manière de détecter le contenu généré par l'IA et aux mesures de cybersécurité basées sur l'identité.

Sécuriser ChatGPT du point de vue des processus

De plus en plus de chefs d'entreprise reconnaissent que leurs employés ont besoin de formations sur la manière d'utiliser ChatGPT en toute sécurité afin de réduire les risques. Pour protéger la confidentialité des données, nombre d’entre eux investissent du temps dans l'élaboration de politiques et de process spécifiques à ChatGPT. Il peut s'agir de recommandations et d'exigences relatives à la vérification du code, au brainstorming, à la rédaction du contenu, à l'édition et à la recherche.

Leurs politiques doivent également intégrer un contrôle systématique de tout contenu réalisé à partir de ChatGPT. En outre, ils peuvent aussi inclure tous les risques contractuels liés à l'utilisation d'outils d'IA générative tiers pour produire ou traiter des données et des livrables sensibles, la gestion des biais inhérents et les risques concernant la vie privée, la protection des consommateurs, la propriété intellectuelle et les fournisseurs.

  • Risques pour la vie privée associés à ChatGPT

La capacité des IA à agréger des informations implique que des informations personnelles identifiables (PII) soient utilisées par le robot pour fournir des résultats aux utilisateurs. Ces derniers ont la possibilité d'introduire des PII dans le robot d'IA, qui sont ensuite utilisées pour regrouper des informations pour d’autres usages.

  • Risques de confidentialité associés à ChatGPT

Les utilisateurs peuvent interagir avec le système d'IA en introduisant des informations confidentielles de l'entreprise et en essayant d'obtenir une meilleure compréhension ou un meilleur résultat. Par exemple, un utilisateur final peut saisir la politique de sécurité de son entreprise et demander à l'IA de la formuler plus facilement. Le résultat peut être excellent et mieux structuré qu'auparavant, mais l'IA peut également collecter ces informations pour de futures réponses.

  • Risques d’intégrité des données associés à ChatGPT

Dans certains cas, le contenu généré par le système d'IA peut produire des résultats qui diffèrent du contexte d'origine, ce qui peut conduire à des résultats inexacts, incomplets et biaisés. En outre, le fait de considérer le résultat comme la vérité peut amener les utilisateurs à utiliser des informations incorrectes.

  • Risques juridiques et réglementaires associés à ChatGPT

Les données transmises à l'IA peuvent contenir des informations soumises aux droits d'auteur, des secrets commerciaux ou des informations confidentielles, et les réponses produites n'ont pas, de ce fait, le consentement des propriétaires. Les utilisateurs finaux doivent donc déterminer s'ils ont le droit ou non d'utiliser ou de publier ces données. Il existe également des lois territoriales et des exigences réglementaires qu’il convient de respecter lors de l'utilisation de données provenant d'un bot IA.

  • Risques de réputation associés à ChatGPT

Si des employés utilisent ChatGPT pour produire du contenu, il est important de savoir que des outils capables de détecter le contenu produit par l'IA, existent déjà. Ils ne sont pas encore parfaits, mais des services comme OpenAI AI Text Classifier s'améliorent rapidement et seront certainement plus largement adoptés à l'avenir.

Sécuriser ChatGPT d'un point de vue technologique

Ce qui rend ChatGPT attrayant, c'est la rapidité et la sophistication de ses réponses. Cela peut conduire à une confiance implicite dans la technologie sous-jacente. Les entreprises doivent bien comprendre les risques de dépendance associés à cette technologie, notamment dans les domaines suivants :

  • Homogénéisation des données produites

Tous les contenus générés par ChatGPT sont similaires en termes de structure, de style et d’absence d’émotion humaine. La production et la diffusion en masse des résultats de ChatGPT peuvent limiter les perspectives, dissuader les utilisateurs d'explorer d'autres angles et recherches mais également affecter leurs capacités à produire du contenu créatif.

  • Coûts potentiels

Si les coûts associés à des outils comme ChatGPT peuvent sembler attractifs cela risque de changer à l’avenir. La dépendance à ce type de solutions tierces est, en effet, souvent suivie d’une augmentation inattendue des coûts. Récemment, le PDG d'OpenAI a annoncé le lancement d’une version professionnelle encore plus performante, disponible sur abonnement payant.

D'un point de vue technologique, il est essentiel que les entreprises sachent ce que les outils d'IA peuvent et ne peuvent pas faire. ChatGPT a la capacité d'analyser de grandes quantités de données et de générer des réponses, mais il ne peut pas raisonner, penser de manière critique ou comprendre ce qui est le mieux pour l'entreprise. Il peut cependant être un complément très puissant à l'intelligence humaine. Le facteur humain, dans l'utilisation sécurisée de ChatGPT, reste essentiel pour les entreprises qui intègre l'IA au quotidien dans leur processus.

Les avantages de ChatGPT sont nombreux, et il ne fait aucun doute que des outils basés sur l’IA générative améliorent les tâches humaines et rend les workflows et la production de contenu plus efficaces. Alors que les entreprises tentent de capitaliser sur les avantages de ChatGPT et de l'utiliser pour gagner en compétitivité, il est important de noter que l'IA générative n'en est encore qu'à ses débuts en matière d’adoption. Intégrer ChatGPT à la stratégie et aux processus de cybersécurité d'une entreprise, nécessite que les responsables de la sécurité prennent en compte les différents risques liés au personnel, aux processus et à la technologie.