L’utilisation non approuvée de Chatgpt et d’autres outils d’IA génératifs crée un angle mort de cybersécurité croissant pour les entreprises. Alors que les employés adoptent ces technologies sans surveillance appropriée, ils peuvent exposer par inadvertance des données sensibles – mais de nombreux gestionnaires sous-estiment toujours le risque et retardent la mise en œuvre de défenses tierces.
Ce type d’utilisation de la technologie non autorisée, connue sous le nom de Shadow IT, pose depuis longtemps des défis de sécurité. Maintenant, son homologue axé sur l’IA – Shadow AI – déclenche de nouvelles préoccupations parmi les experts en cybersécurité.
Melissa Ruzzi, directrice de l’IA de la société de sécurité SaaS Appomni, a déclaré que l’IA peut analyser et extraire beaucoup plus d’informations des données, ce qui les rend plus dangereuses que l’ombre traditionnelle.
« Dans la plupart des cas, un accès plus large aux données est donné à l’IA par rapport à l’ombre afin que l’IA puisse effectuer ses tâches. Cela augmente l’exposition potentielle dans le cas d’une violation de données », a-t-elle déclaré à Technewsworld.
L’IA dégénère l’ombre qu’il risque
L’utilisation voyou des employés des outils d’IA présente des risques de sécurité uniques. Si les modèles d’IA accèdent aux données sensibles d’une organisation pour la formation des modèles ou la recherche interne, ces informations peuvent involontairement devenir publiques. Les acteurs malveillants peuvent également obtenir des détails privés grâce à des vulnérabilités modèles.
Ruzzi a noté que les employés rencontrent diverses formes d’IA de l’ombre, notamment les outils Genai, les transcriptions de réunions alimentées par l’IA, les assistants de codage, les robots de support client, les moteurs de visualisation des données et les fonctionnalités de l’IA dans les systèmes CRM.
Ruzzi a souligné que le manque de vérification de la sécurité rend l’IA de l’ombre particulièrement risquée, car certains modèles peuvent utiliser les données de l’entreprise sans garanties appropriées, ne pas se conformer aux réglementations et stocker des informations à des niveaux de sécurité insuffisants.
Ce qui présente un plus grand risque: Genai ou IA intégré?
Ruzzi a ajouté que l’ombre de l’ombre émergeant des outils non approuvés du Genai présente la menace de sécurité la plus immédiate et la plus importante. Il manque souvent de surveillance, de protocoles de sécurité et de gouvernance.
Cependant, l’identification et la gestion efficaces de cette IA d’ombre «cachée» sous quelque forme que ce soit ont des implications de sécurité potentielles. Les organisations doivent investir dans un puissant outil de sécurité, comme Chatgpt, qui peut aller au-delà de la détection d’utilisation directe du chatbot AI.
« L’IA peut suivre la libération constante de nouveaux outils d’IA et des nouvelles sur les violations de sécurité. Pour ajouter de la puissance aux détections, la sécurité devrait non seulement s’appuyer sur des règles statiques qui peuvent rapidement devenir obsolètes », a-t-elle recommandé.
Genai risque caché dans les applications SaaS
Ruzzi a souligné les risques posés par les outils d’IA intégrés dans les applications SaaS approuvées. Ces outils d’IA cachés sont inconnus ou non approuvés pour une utilisation par l’entreprise, même si l’application SaaS elle-même est.
«Les fonctionnalités d’IA intégrées dans les applications SaaS approuvées imposent un défi spécial qui ne peut être détecté que par de puissants outils de sécurité SaaS qui vont profondément dans les configurations SaaS pour découvrir l’IA de l’ombre», a-t-elle déclaré.
Les outils de sécurité traditionnels, tels que les courtiers de sécurité à accès cloud (CASBS), ne peuvent découvrir que l’utilisation de l’application SaaS et l’utilisation directe de l’IA, y compris des outils comme ChatGpt. Ce sont des points d’application des politiques de sécurité entre les utilisateurs d’entreprise et les fournisseurs de services cloud.
Risques de conformité liés à l’ombre AI
Comme indiqué précédemment, Shadow IA peut entraîner des violations de la conformité concernant les informations personnelles. Certains cadres réglementaires qui ont un impact sur les organisations incluent le règlement général de la protection des données de l’Union européenne (RGPD), qui régit le traitement des données personnelles. Aux États-Unis, la California Consumer Privacy Act / California Privacy Rights Act (CCPA / CPRA) est similaire au RGPD mais pour les résidents de Californie.
Shadow Ai peut violer les principes du RGPD, notamment:
- Minimisation des données – collectionner plus de données que nécessaire
- Limitation but – Utilisation de données à des fins involontaires
- Sécurité des données – Ne pas protéger les données adéquatement
Les organisations sont responsables de toutes les activités de traitement des données, y compris celles d’une IA non autorisée.
Pour les entreprises qui gèrent les données sur les soins de santé ou fournissent des services liés à la santé aux États-Unis, la loi sur l’assurance maladie et la responsabilité (HIPAA) est la plus importante pour protéger les informations sensibles de la santé des patients.
«L’IA de l’ombre peut entraîner des violations des droits des consommateurs à connaître, à accéder et à supprimer leurs données et à éviter de vendre leurs informations personnelles. Si Shadow AI utilise des données personnelles sans divulgations ou consentement appropriés, il enfreint les règles CCPA / CPRA», a déclaré Ruzzi.
«Si les systèmes fantômes accédent, le processus ou le partage des informations de santé protégés (PHI) sans garanties, autorisations ou accords d’associé commerciaux appropriés, il constitue une violation de la HIPAA, ce qui peut entraîner des poursuites coûteuses.»
De nombreuses autres juridictions ont des lois sur la confidentialité des données, telles que la LGPD (Brésil) et Pipeda (Canada), ainsi que diverses lois américaines des États. Les organisations doivent veiller à ce que l’IA de l’ombre se conforme à tous les règlements de protection des données applicables, en tenant compte à la fois de leurs propres emplacements et de ceux de leurs clients.
Les futurs défis de sécurité avec l’ombre AI
Éviter les conflits juridiques est essentiel. Ruzzi a exhorté les organisations à évaluer et à atténuer les risques des outils d’IA non évalués en testant des vulnérabilités et en établissant des directives claires sur les outils autorisés.
Elle a également recommandé d’éduquer les employés sur les menaces de l’IA de l’ombre et de s’assurer qu’ils ont accès à des solutions vérifiées de qualité d’entreprise.
Au fur et à mesure que l’IA évolue et devient plus intégrée à travers les applications, Shadow AI introduira des risques de sécurité plus complexes. Pour rester en avance, les organisations ont besoin de stratégies à long terme soutenues par des outils de sécurité SaaS qui peuvent détecter l’activité de l’IA entre les applications, évaluer avec précision les risques et contenir les menaces tôt.
«La réalité de l’ombre sur l’ombre sera plus que jamais présente. La meilleure stratégie ici est la formation des employés et le suivi de l’utilisation de l’IA», a-t-elle conclu.
