L’utilisation croissante de l’intelligence artificielle sur le lieu de travail entraîne une augmentation rapide de la consommation de données, mettant à l’épreuve la capacité des entreprises à protéger les données sensibles.

Un rapport publié en mai par la société de sécurité des données Cyberhaven, intitulé « The Cubicle Culprits », met en lumière les tendances en matière d’adoption de l’IA et leur corrélation avec un risque accru. L’analyse de Cyberhaven s’est appuyée sur un ensemble de données relatives aux habitudes d’utilisation de trois millions de travailleurs pour évaluer l’adoption de l’IA et ses implications dans l’environnement des entreprises.

L’essor rapide de l’IA s’inscrit dans la continuité des évolutions précédentes, comme l’avènement d’Internet et du cloud computing. Tout comme les premiers adeptes du cloud ont dû relever de nouveaux défis, les entreprises d’aujourd’hui doivent faire face aux complexités introduites par l’adoption généralisée de l’IA, selon Howard Ting, PDG de Cyberhaven.

« Nos recherches sur l’utilisation de l’IA et les risques qu’elle présente mettent non seulement en évidence l’impact de ces technologies, mais soulignent également les risques émergents qui pourraient être similaires à ceux rencontrés lors des bouleversements technologiques importants du passé », a-t-il déclaré à TechNewsWorld.

Les résultats de l’enquête laissent craindre des abus potentiels de l’IA

Le rapport Cubicle Culprits révèle une accélération rapide de l’adoption de l’IA sur le lieu de travail et de son utilisation par les utilisateurs finaux, qui dépasse celle de l’informatique d’entreprise. Cette tendance, à son tour, alimente des comptes « d’IA fantôme » à risque, notamment davantage de types de données d’entreprise sensibles.

Les produits de trois géants de l’IA – OpenAI, Google et Microsoft – dominent l’utilisation de l’IA. Leurs produits représentent 96 % de l’utilisation de l’IA au travail.

Selon l’étude, les employés du monde entier ont saisi des données d’entreprise sensibles dans des outils d’IA, ce qui représente une augmentation alarmante de 485 % entre mars 2023 et mars 2024. Nous n’en sommes qu’au début de la courbe d’adoption. Seuls 4,7 % des employés des sociétés financières, 2,8 % dans le secteur pharmaceutique et des sciences de la vie et 0,6 % dans les entreprises manufacturières utilisent des outils d’IA.

« 73,8 % des utilisateurs de ChatGPT au travail utilisent des comptes non professionnels. Contrairement aux versions d’entreprise, ces comptes intègrent des données partagées dans des modèles publics, ce qui représente un risque considérable pour la sécurité des données sensibles », prévient Ting.

« Une part importante des données sensibles des entreprises est envoyée à des comptes non professionnels. Cela comprend environ la moitié du code source (50,8 %), des documents de recherche et développement (55,3 %) et des dossiers RH et des employés (49,0 %) », a-t-il déclaré.

Les données partagées via ces comptes non professionnels sont intégrées dans les modèles publics. Le pourcentage d’utilisation de comptes non professionnels est encore plus élevé pour Gemini (94,4 %) et Bard (95,9 %).

Les données de l’IA s’accumulent de manière incontrôlable

Cette tendance indique une vulnérabilité critique. Ting a déclaré que les comptes non professionnels ne disposent pas de mesures de sécurité solides pour protéger ces données.

Les taux d’adoption de l’IA atteignent rapidement de nouveaux services et de nouveaux cas d’utilisation impliquant des données sensibles. Environ 27 % des données que les employés saisissent dans les outils d’IA sont sensibles, contre 10,7 % il y a un an.

Par exemple, 82,8 % des documents juridiques que les employés ont introduits dans des outils d’IA ont été transférés vers des comptes non professionnels, exposant potentiellement les informations au public.

Ting a averti que l’inclusion de matériel breveté dans le contenu généré par des outils d’IA présentait des risques croissants. Les insertions de code source générées par l’IA en dehors des outils de codage peuvent créer un risque de vulnérabilité.

Certaines entreprises ne savent pas comment stopper le flux de données sensibles et non autorisées exportées vers des outils d’IA hors de portée du service informatique. Elles s’appuient sur des outils de sécurité des données existants qui analysent uniquement le contenu des données pour en identifier le type.

« Ce qui manque, c’est le contexte de la provenance des données, les personnes qui ont interagi avec elles et l’endroit où elles ont été stockées. Prenons l’exemple d’un employé qui colle du code dans un compte personnel d’IA pour aider à le déboguer », a proposé Ting. « S’agit-il d’un code source provenant d’un référentiel ? S’agit-il de données client provenant d’une application SaaS ? »

Il est possible de contrôler le flux de données

La sensibilisation des employés au problème des fuites de données est une partie viable de la solution si elle est effectuée correctement, a assuré Ting. La plupart des entreprises ont mis en place des formations périodiques de sensibilisation à la sécurité.

« Cependant, les vidéos que les travailleurs doivent regarder deux fois par an sont vite oubliées. La meilleure façon de faire est de corriger immédiatement les mauvais comportements », a-t-il ajouté.

« Cyberhaven a constaté que lorsque les travailleurs reçoivent un message contextuel les conseillant lors d’activités à risque, comme coller du code source dans un compte ChatGPT personnel, les mauvais comportements persistants diminuent de 90 % », a déclaré Ting.

La technologie de son entreprise, Data Detection and Response (DDR), comprend la manière dont les données se déplacent et utilise ce contexte pour protéger les données sensibles. La technologie comprend également la différence entre un compte d’entreprise et un compte personnel pour ChatGPT.

Cette fonctionnalité permet aux entreprises d’appliquer une politique qui empêche les employés de coller des données sensibles dans des comptes personnels tout en permettant à ces données de circuler vers les comptes d’entreprise.

Un retournement de situation surprenant dans la question de savoir qui est en faute

Cyberhaven a analysé la prévalence des risques internes en fonction des modalités de travail, notamment à distance, sur site et hybrides. Les chercheurs ont constaté que l’emplacement d’un travailleur a un impact sur la diffusion des données lorsqu’un incident de sécurité se produit.

« Nos recherches ont révélé un tournant surprenant dans le récit. Les employés de bureau, traditionnellement considérés comme la valeur la plus sûre, sont désormais en tête de la charge en matière d’exfiltration de données d’entreprise », a-t-il révélé.

Paradoxalement, les employés de bureau sont 77 % plus susceptibles que leurs homologues à distance d’exfiltrer des données sensibles. Cependant, lorsque les employés de bureau se connectent à distance, ils sont 510 % plus susceptibles d’exfiltrer des données que lorsqu’ils sont sur place, ce qui en fait le moment le plus risqué pour les données d’entreprise, selon Ting.

A lire également