Outils d'IA générative et nécessité d'une cybersécurité proactive

L'engouement autour des Grands modèles de langage (ou LLMs - Large Language Models), notamment généré par ChatGPT, a été significatif.

L’engouement se retrouve aussi bien chez les particuliers que chez les entreprises qui visent à exploiter pleinement le potentiel de ces modèles de langage pour enrichir leurs opérations et leurs offres clients tout en assurant davantage de productivité. Alors que l’appétence pour ce service est certaine, il ne faut néanmoins pas lésiner sur les modalités de sécurité. La rapidité avec laquelle les LLMs, issus de l’IA générative, a été adoptée a dépassé celle de l’instauration de modalités de sécurité adaptées, faisant ainsi émerger des vulnérabilités en termes de protection des données et de confidentialité.  

A ce titre, l’exemple de divulgation de données sensibles de Samsung est édifiant. Des employés de l’entreprise sud-coréenne ont accidentellement provoqué une fuite de données hautement confidentielles en interagissant avec un chatbot. Il existe un risque inhérent aux IA génératives dans la mesure où elles remontent systématiquement toutes les informations auxquelles un utilisateur a accès au sein d’une entreprise, même à son insu. Ce cas souligne la nécessité d’exercer une grande vigilance lors de l’utilisation de LLMs. Cette vigilance peut se traduire par l’adoption de bonnes pratiques tant sur le point de vue humain que logiciel.  

Une nécessaire mise en place de modalités de sécurité  

Tout d’abord, il est recommandé de préférer le recours à un chatbot d’entreprise plutôt qu’un chatbot gratuit et public pour la sécurisation des données. Magellan Partners a été parmi les premiers cabinets en France à offrir un service de chatbot sur-mesure pour les entreprises et a mis en place différentes procédures pour la protection des données de ses clients. OWASP, the Open Web Application Security Project, a listé dix vulnérabilités des grands modèles de langage à prendre en considération lors de l’exploitation et l’utilisation des chatbots. Nous pouvons classer ces vulnérabilités sous deux aspects : humain et technique.  

L’aspect humain

 La dépendance excessive au LLM peut réduire la capacité de discernement. Cela pose des risques et pourrait mener des équipes à prendre des décisions basées sur des informations erronées. Par ailleurs, le partage excessif d’informations menace de compromettre les entreprises. En effet, les failles de confidentialité causées par la divulgation d’informations sensibles représentent un impact en termes de pertes économiques, d’avantage concurrentiel et de protection de données ainsi que de préservation de propriété industrielle et intellectuelle.  

 L’aspect technique

 D’un point de vue technique, il est primordial de s’assurer que les technologies de LLM ne sont pas vulnérables à des attaques et ne compromettent pas la cybersécurité. Les outils d’IA générative sont des systèmes et des architectures nécessitant une étude technique approfondie, notamment sur les flux, les garanties avancées par les éditeurs, le stockage de données et la sécurisation des échanges, avant validation par les experts de cybersécurité dans le but de minimiser les risques.

Ces outils étant souvent des modèles à l’usage, une attaque de déni de service de type DDoS peut présenter un impact financier non-négligeable pour une entreprise. Préserver la confidentialité des données traitées est un enjeu clé pour éviter les fuites d’informations sensibles. Il est primordial d’effectuer des tests sur différents types d’informations sensibles afin de s’assurer que les documents les plus confidentiels aient des accès bien maîtrisés.

Autant de vulnérabilités qui appellent à des réponses différentes : sensibilisation, politique et outils de classification des données et de DLP (Data Loss Prevention – Prévention de la perte de données) mais aussi gestion des accès et des authentifications.

ChatGPT offre donc un potentiel pour les entreprises considérable qui se doit d’être encadré par des outils logiciels et bonnes pratiques humaines afin de protéger au mieux les données sensibles d’une entreprise et exploiter pleinement les fonctionnalités de cet outil.