Les employés de près de trois organisations sur quatre dans le monde utilisent fréquemment ou occasionnellement des outils d’IA générative, mais malgré les menaces de sécurité posées par l’utilisation incontrôlée des applications, les employeurs ne semblent pas savoir quoi faire à ce sujet.
C’est l’un des principaux points à retenir d’une enquête menée mardi auprès de 1 200 responsables informatiques et de la sécurité dans le monde entier par ExtraHop, un fournisseur de solutions cloud natives de détection et de réponse réseau à Seattle.
Alors que 73 % des responsables informatiques et de la sécurité interrogés ont reconnu que leurs employés utilisaient des outils d’IA générative avec une certaine régularité, les chercheurs d’ExtraHop ont indiqué que moins de la moitié de leurs organisations (46 %) avaient mis en place des politiques régissant l’utilisation de l’IA ou disposaient de programmes de formation sur l’utilisation sûre. des applications (42%).
La plupart des organisations prennent au sérieux les avantages et les risques de la technologie de l’IA : seulement 2 % d’entre elles déclarent ne rien faire pour superviser l’utilisation des outils d’IA générative par leurs employés. Cependant, les chercheurs affirment qu’il est également clair que leurs efforts ne suivent pas le rythme de l’adoption. les taux et l’efficacité de certaines de leurs actions – comme les interdictions – peuvent être discutables.
Selon les résultats de l’enquête, près d’un tiers des personnes interrogées (32 %) indiquent que leur organisation a interdit l’IA générative. Pourtant, seulement 5 % déclarent que les employés n’utilisent jamais l’IA ou de grands modèles de langage au travail.
« La prohibition a rarement l’effet escompté, et cela semble être vrai pour l’IA », écrivent les chercheurs.
Limiter sans bannir
« Bien qu’il soit compréhensible que certaines organisations interdisent l’utilisation de l’IA générative, la réalité est que l’IA générative s’accélère si rapidement que, très bientôt, l’interdire sur le lieu de travail équivaudra à bloquer l’accès des employés à leur navigateur Web », a déclaré Randy Lariar, directeur pratique du big data, de l’IA et de l’analyse chez Optiv, un fournisseur de solutions de cybersécurité, dont le siège est à Denver.
« Les organisations doivent adopter la nouvelle technologie et ne plus se concentrer sur sa prévention sur le lieu de travail mais plutôt sur son adoption en toute sécurité », a-t-il déclaré à TechNewsWorld.
Patrick Harr, PDG de SlashNext, une société de sécurité réseau de Pleasanton, en Californie, est du même avis. « Limiter l’utilisation d’applications d’IA générative open source dans une organisation est une mesure prudente, qui permettrait l’utilisation d’outils importants sans instaurer une interdiction totale », a-t-il déclaré à TechNewsWorld.
« Alors que les outils continuent d’offrir une productivité améliorée », a-t-il poursuivi, « les dirigeants savent qu’il est impératif de mettre en place des garde-fous appropriés en matière de confidentialité pour garantir que les utilisateurs ne partagent pas d’informations d’identification personnelle et que les données privées restent privées. »
En rapport: Les experts affirment que les interdictions de l’IA sur le lieu de travail ne fonctionneront pas | 16 août 2023
Les RSSI et DSI doivent équilibrer la nécessité de restreindre les données sensibles des outils d’IA générative avec la nécessité pour les entreprises d’utiliser ces outils pour améliorer leurs processus et augmenter leur productivité, a ajouté John Allen, vice-président du cyber-risque et de la conformité chez Darktrace, une société mondiale d’IA de cybersécurité. entreprise.
« De nombreux nouveaux outils d’IA générative ont des niveaux d’abonnement qui ont amélioré la protection de la vie privée, de sorte que les données soumises restent confidentielles et ne soient pas utilisées pour régler ou développer davantage les modèles d’IA », a-t-il déclaré à TechNewsWorld.
« Cela peut ouvrir la porte aux organisations couvertes pour exploiter les outils d’IA générative d’une manière plus soucieuse de la confidentialité », a-t-il poursuivi, « cependant, elles doivent toujours s’assurer que l’utilisation des données protégées répond aux exigences de conformité et de notification pertinentes spécifiques à leur entreprise. »
Étapes pour protéger les données
En plus des politiques d’utilisation de l’IA générative que les entreprises mettent en place pour protéger les données sensibles, a noté Allen, les sociétés d’IA prennent également des mesures pour protéger les données avec des contrôles de sécurité, tels que le cryptage, et obtiennent des certifications de sécurité telles que SOC 2, un système d’audit. procédure qui garantit que les prestataires de services gèrent en toute sécurité les données des clients.
Cependant, il a souligné qu’il reste une question sur ce qui se passe lorsque des données sensibles se retrouvent dans un modèle – soit par une violation malveillante, soit par les faux pas malheureux d’un employé bien intentionné.
« La plupart des sociétés d’IA proposent un mécanisme permettant aux utilisateurs de demander la suppression de leurs données », a-t-il déclaré, « mais des questions demeurent quant à savoir si ou comment la suppression des données aurait un impact sur l’apprentissage effectué sur les données avant la suppression. »
Les chercheurs d’ExtraHop ont également constaté qu’une écrasante majorité des personnes interrogées (près de 82 %) se sont déclarées convaincues que la pile de sécurité actuelle de leur organisation pourrait protéger leur organisation contre les menaces provenant des outils d’IA générative. Pourtant, les chercheurs ont souligné que 74 % prévoient d’investir dans des mesures de sécurité de la génération IA cette année.
« Espérons que ces investissements n’arrivent pas trop tard », ont plaisanté les chercheurs.
Manque de connaissances nécessaires
« Les organisations sont trop confiantes lorsqu’il s’agit de se protéger contre les menaces de sécurité génératives de l’IA », a déclaré Jamie Moles, ingénieur commercial senior d’ExtraHop, à TechNewsWorld.
Il a expliqué que le secteur des entreprises a eu moins d’un an pour peser pleinement les risques et les avantages de l’utilisation de l’IA générative.
« Avec moins de la moitié des personnes interrogées investissant directement dans une technologie permettant de surveiller l’utilisation de l’IA générative, il est clair qu’une majorité n’a peut-être pas les informations nécessaires sur la manière dont ces outils sont utilisés au sein d’une organisation », a-t-il observé.
Moles a ajouté qu’avec seulement 42 % des organisations formant les utilisateurs à l’utilisation sûre de ces outils, davantage de risques de sécurité sont créés, car une utilisation abusive peut potentiellement divulguer des informations sensibles.
« Le résultat de cette enquête est probablement une manifestation de la préoccupation des personnes interrogées à l’égard des nombreuses autres techniques, moins sexy et éprouvées sur le terrain, que les mauvais acteurs utilisent depuis des années et que la communauté de la cybersécurité n’a pas pu arrêter », a déclaré Mike Starr, PDG et fondateur de trackd, un fournisseur de solutions de gestion des vulnérabilités, à Londres.
« Si la même question leur était posée concernant d’autres vecteurs d’attaque, la réponse impliquerait beaucoup moins de confiance », a-t-il affirmé.
Intervention gouvernementale recherchée
Starr a également souligné qu’il y a eu très peu, voire aucun, d’épisodes documentés de compromissions de sécurité pouvant être directement attribués à l’utilisation d’outils d’IA générative.
« Les responsables de la sécurité ont suffisamment de pain sur la planche pour lutter contre les techniques éculées que les acteurs malveillants continuent d’utiliser avec succès », a-t-il déclaré.
« Le corollaire de cette réalité est que les méchants ne sont pas exactement obligés d’abandonner leurs principaux vecteurs d’attaque au profit de méthodes plus innovantes », a-t-il poursuivi. « Lorsque vous pouvez faire passer le ballon au milieu sur 10 mètres par clip, il n’y a aucune motivation pour travailler sur un scintillement de puces double inversé. »
Un signe que les responsables informatiques et de la sécurité pourraient avoir désespérément besoin de conseils dans le domaine de l’IA est l’enquête qui révèle que 90 % des personnes interrogées ont déclaré vouloir que le gouvernement soit impliqué d’une manière ou d’une autre, avec 60 % en faveur de réglementations obligatoires et 30 % en faveur de normes gouvernementales que les entreprises peuvent adopter à leur discrétion.
« L’appel à une réglementation gouvernementale témoigne du territoire inexploré dans lequel nous nous trouvons avec l’IA générative », a expliqué Moles. « L’IA générative étant encore si nouvelle, les entreprises ne savent pas vraiment comment gérer l’utilisation de ces outils par leurs employés, et avec des directives claires, les dirigeants d’entreprise peuvent se sentir plus en confiance lors de la mise en œuvre de la gouvernance et des politiques d’utilisation de ces outils. »