Selon un rapport publié mardi.
Le rapport, basé sur une enquête auprès de 200 directeurs informatiques et dirigeants d’organisations d’entreprise américaine de 1 000 employés ou plus, a constaté que près de la moitié des professionnels informatiques (46%) étaient «extrêmement inquiets» de Fadombe IA, et presque tous (90%) étaient préoccupés par un point de vue de la confidentialité et de la sécurité.
«Comme notre enquête l’a révélé, Shadow AI résulte en palpables, concernant les résultats, avec près de 80% des leaders informatiques affirmant que cela a entraîné des incidents négatifs tels que la fuite de données sensibles aux outils de génération de l’IA, des résultats faux ou inexacts et des risques légaux d’utiliser des informations protégés par le droit d’auteur», a déclaré Krishna Subramanian, cofondateur de Camped, Camped, Camped, Camped, Cadren, Camped.
« Alarmant, 13% disent que Shadow IA a causé des dommages financiers ou de réputation à leurs organisations », a-t-elle déclaré à Technewsworld.
Subramanian a ajouté que Shadow AI pose un problème beaucoup plus important que l’ombre, qui se concentre principalement sur les utilisateurs de puissance du département achetant des instances de cloud ou des outils SaaS sans obtenir l’approbation de l’informatique.
« Maintenant, nous avons un nombre illimité d’employés utilisant des outils comme Chatgpt ou Claude AI pour faire le travail, mais ne comprenant pas le risque potentiel qu’ils mettent leurs organisations en soumettant par inadvertance des secrets de l’entreprise ou des données clients dans l’invite de chat », a-t-elle expliqué.
«Le risque de données est important et augmente de manière encore imprévue en raison du rythme du développement et de l’adoption de l’IA et du fait qu’il y a beaucoup de choses que nous ne savons pas comment fonctionne l’IA», a-t-elle poursuivi. «Il devient de plus en plus humaniste et capable de prendre des décisions indépendamment.»
Shadow Ai présente des angles morts de sécurité
Shadow Ai est la prochaine étape après l’ombre et est un risque croissant, a noté James McQuiggan, défenseur de la sensibilisation à la sécurité à KnowBe4, un fournisseur de formation de sensibilisation à la sécurité à Clearwater, en Floride.
«Les utilisateurs utilisent des outils d’IA pour le contenu, les images ou les applications et pour traiter les données sensibles ou les informations de l’entreprise sans vérification de sécurité appropriée», a-t-il déclaré à Technewsworld. «La plupart des organisations auront des politiques de confidentialité, de conformité et de protection des données, et Fading IA introduit les angles morts dans la prévention des pertes de données de l’organisation.»
«Le plus grand risque avec l’IA de l’ombre est que l’application de l’IA n’a pas été passé par une analyse de sécurité, comme les outils AI approuvés auraient été», a expliqué Melissa Ruzzi, directrice de l’IA chez Appomni, une société de logiciels de gestion de la sécurité SaaS, à San Mateo, en Californie.
« Certaines applications d’IA peuvent être des modèles de formation à l’aide de vos données, peuvent ne pas respecter les réglementations pertinentes que votre entreprise doit suivre, et peut même ne pas avoir le niveau de sécurité du stockage des données que vous jugez nécessaire pour empêcher l’exposition de vos données », a-t-elle déclaré à Technewsworld. «Ces risques sont des angles morts de vulnérabilités de sécurité potentielles dans l’ombre de l’IA.»
Krishna Vishnubhotla, vice-présidente de la stratégie des produits chez Zimperium, une société de sécurité mobile basée à Dallas, a noté que l’iien de l’ombre s’étend au-delà des applications non approuvées et implique des composants d’IA intégrés qui peuvent traiter et disséminer les données sensibles de manière imprévisible.
« Contrairement à l’ombre traditionnelle, qui peut être limitée à des logiciels ou en matériel non autorisés, Shadow AI peut fonctionner sur des appareils mobiles d’employés en dehors du périmètre et du contrôle de l’organisation », a-t-il déclaré à Technewsworld. « Cela crée de nouveaux risques de sécurité et de conformité qui sont plus difficiles à suivre et à atténuer. »
Vishnubhotla a ajouté que l’impact financier de l’IA de l’ombre varie, mais les outils d’IA non autorisés peuvent entraîner des amendes réglementaires importantes, des violations de données et une perte de propriété intellectuelle. « En fonction de l’ampleur de l’agence et de la sensibilité des données exposées, les coûts pourraient varier de millions à des milliards de dommages-intérêts en raison des violations de la conformité, des efforts de correction et des préjudices de réputation », a-t-il déclaré.
«Les agences fédérales gérant de grandes quantités d’informations sensibles ou classifiées, les institutions financières et les organisations de soins de santé sont particulièrement vulnérables», a-t-il déclaré. «Ces secteurs collectent et analysent de grandes quantités de données de grande valeur, ce qui rend les outils d’IA attrayants. Mais sans vérification appropriée, ces outils pourraient être facilement exploités.»
Shadow Ai partout et facile à utiliser
Nicole Carignan, SVP pour la sécurité et la stratégie de l’IA chez Darktrace, une entreprise mondiale d’IA de cybersécurité, prédit une explosion d’outils qui utilisent l’IA et l’IA générative au sein des entreprises et des appareils utilisés par les employés.
« En plus de gérer les outils d’IA qui sont construits en interne, les équipes de sécurité verront une augmentation du volume d’outils existants qui ont de nouvelles fonctionnalités et capacités d’intégration, ainsi qu’une augmentation de l’IA de l’ombre », a-t-elle déclaré à Technewsworld. «Si la surtension reste sans contrôle, cela soulève de sérieuses questions et préoccupations concernant la prévention de la perte de données, ainsi que les problèmes de conformité alors que les nouveaux règlements commencent à prendre effet.»
« Cela entraînera un besoin croissant de découverte des actifs d’IA – la possibilité pour les entreprises d’identifier et de suivre l’utilisation des systèmes d’IA dans l’entreprise », a-t-elle déclaré. «Il est impératif que les DSI et les cisos creusent profondément dans de nouvelles solutions de sécurité de l’IA, posant des questions complètes sur l’accès aux données et la visibilité.»
Shadow AI est devenu si séduisant car il est partout et facile d’accès via des outils gratuits, a maintenu le subramanien de Komprise. « Tout ce dont vous avez besoin est un navigateur Web », a-t-elle déclaré. «Les utilisateurs de l’entreprise peuvent partager par inadvertance des extraits de code de l’entreprise ou des données d’entreprise lors de l’utilisation de ces outils GEN AI, ce qui pourrait créer une fuite de données.»
«Ces outils se développent et changent de façon exponentielle», a-t-elle poursuivi. «C’est vraiment difficile à suivre. En tant que leader informatique, comment suivez-vous cela et déterminez le risque? Les managers pourraient regarder dans l’autre sens parce que leurs équipes se font plus. Vous pourriez avoir besoin de moins d’entrepreneurs et d’employés à temps plein. Mais je pense que le risque des outils n’est pas bien compris.»
«La courbe d’apprentissage faible, ou dans certains cas inexistante, associée à l’utilisation des services Gen AI a conduit à une adoption rapide, quelle que soit son expérience antérieure avec ces services», a ajouté Satyam Sinha, PDG et co-fondateur de ACUVITY, un fournisseur de solutions de sécurité et de gouvernance Gentime AI, à Sunnyvale, en Californie.
« Alors que l’ombre s’est concentrée sur le recours à un défi spécifique pour des employés ou des départements particuliers, l’ombre de l’ombre relève plusieurs défis pour plusieurs employés et départements. D’où le plus grand appel », a-t-il déclaré. «L’abondance et le développement rapide des services Gen Gen AI signifient également que les employés peuvent trouver la bonne solution (instantanément). Bien sûr, tous ces traits ont des implications de sécurité directes.»
Interdiction des outils d’interdiction
Pour soutenir l’innovation tout en minimisant la menace de l’IA de l’ombre, les entreprises doivent adopter une approche à trois volets, a affirmé Kris Bondi, PDG et co-fondateur de Mimoto, une société de détection et de réponse de menaces à San Francisco. Ils doivent éduquer les employés sur les dangers des outils d’IA non traités et non traités, créer des protocoles d’entreprise pour ce qui n’est pas une utilisation acceptable des outils d’IA non autorisés et, surtout, fournir des outils d’IA qui sont sanctionnés.
« Expliquer pourquoi un outil est sanctionné et un autre n’augmente pas beaucoup la conformité », a-t-elle déclaré à Technewsworld. «Cela ne fonctionne pas pour qu’une entreprise ait un mandat à usage zéro. En fait, cela se traduit par une augmentation de l’utilisation furtive de l’IA de l’ombre.»
Dans un avenir très proche, de plus en plus d’applications tireront parti de l’IA sous différentes formes, de sorte que la réalité de Shadow IA sera plus que jamais présente, a ajouté Ruzzi d’Appomni. «La meilleure stratégie ici est la formation des employés et le suivi de l’utilisation de l’IA», a-t-elle déclaré.
«Il deviendra crucial d’avoir en place un puissant outil de sécurité SaaS qui peut aller au-delà de la détection de l’utilisation directe de l’IA des chatbots pour détecter l’utilisation de l’IA connectée à d’autres applications», a-t-elle poursuivi, «permettant une découverte précoce, une évaluation des risques appropriée et un confinement pour minimiser les conséquences négatives possibles».
« Shadow Ai n’est que le début », a ajouté McQuiggan de Knowbe4. «Alors que de plus en plus d’équipes utilisent l’IA, les risques augmentent.»
Il a recommandé aux entreprises de commencer petit, d’identifier ce qui est utilisé et de construire à partir de là. Ils devraient également être juridiques, RH et conformité impliqués.
«Faites de la gouvernance de l’IA une partie de votre programme de sécurité plus large», a-t-il déclaré. « Le plus tôt vous commencerez, mieux vous pouvez gérer ce qui vient ensuite. »
