L’essor de l’IA pose en effet d’inévitables questions à propos de la sécurité des données et met en évidence la nécessité de protéger les informations sensibles, ce qui amène nombre d’entreprises à réévaluer et renforcer leur stratégie de protection des données.
C’est aujourd’hui une évidence : avec des avancées qui ont déjà transformé plusieurs secteurs industriels et redéfini la façon dont les entreprises pensent et opèrent, l’année 2023 restera comme un millésime d’exception pour l’innovation en matière d’intelligence artificielle.
Nourrie par l’économie des données, l’intégration de l’IA dans un nombre incalculable de tâches opérationnelles a permis aux entreprises de prendre plus rapidement des décisions de plus en plus judicieuses, d’accélérer l’automatisation de leurs processus et de prédire différents comportements avec une remarquable acuité.
Que ce soit de façon directe ou indirecte, l’IA générative est déjà utilisée par des entreprises du monde entier pour permettre à leurs employés d’accomplir des tâches de notation, de conversation robotisée (chatbot) et de génération de contenus. Mais à l’heure où les fournisseurs de services d’IA se lancent dans une course effrénée pour collecter autant de données que possible et les utiliser pour entraîner des modèles d’IA, des inquiétudes voient le jour quant au potentiel usage malveillant d’informations sensibles et à l’érosion de la confidentialité.
L’essor de l’IA pose en effet d’inévitables questions à propos de la sécurité des données et met en évidence la nécessité de protéger les informations sensibles, ce qui amène nombre d’entreprises à réévaluer et renforcer leur stratégie de protection des données.
Parfaitement conscientes des risques encourus, les autorités de règlementation doivent atteindre un délicat équilibre entre, d’une part, la promotion de l’innovation et, d’autre part, la garantie que les données confidentielles le demeurent. Dans le cadre d’une évolution décisive vers la sécurité et l’amélioration de la protection des informations, l’UE est parvenue en décembre 2023 à un accord provisoire sur la proposition relative à des règles harmonisées concernant l’intelligence artificielle.
Cette « législation sur l’intelligence artificielle » prévoit notamment une obligation de transparence pour tous les modèles de référence élaborés par les fournisseurs de systèmes d’IA utilisés par les gouvernements et les autorités répressives, ainsi que la publication d’une synthèse détaillée des données d’entraînement employées.
Il semble évident qu’à l’heure où les autorités de règlementation mettent tout en œuvre pour rattraper le rythme de l’innovation, la protection des données fait partie des priorités de l’année 2024. Les entreprises doivent ainsi s’assurer qu’elles n’exposent pas des données propriétaires ou sensibles à des risques inutiles par le biais d’intégrations et d’applications d’IA tierces parties.
Faute de prendre ces mesures, elles s’exposent en effet à d’importants risques de compromission et de non-conformité. Or, des applications telles que ChatGPT sont souvent utilisées à mauvais escient par des employés qui, volontairement ou non, téléversent sur la plateforme des données personnelles ou des codes source propriétaires hautement sensibles, voire des informations financières confidentielles.
À ce sujet, nos recherches ont révélé que les codes source publiés sur ChatGPT sont bien plus nombreux que tout autre type de données sensibles, avec un taux de 158 incidents pour 10 000 utilisateurs par mois. Comment faire face à de tels comportements et limiter les risques ?
Fort heureusement, de nombreux problèmes de protection des données induits par l’utilisation de l’IA peuvent également être résolus à l’aide de l’IA. Voici quatre manières de garantir la protection des données en intégrant l’intelligence artificielle à la posture de sécurité d’une entreprise.
1. Catégoriser les données sensibles
Pour prioriser la confidentialité des données, il convient avant tout de définir quelles informations doivent être protégées. La catégorisation des données représente une étape clé d’un processus qui, lorsqu’il est effectué manuellement, s’avère pour le moins fastidieux. Heureusement, l’IA et le Machine Learning (ML) permettent d’automatiser cette catégorisation entre les différents systèmes des différents services.
Ces deux technologies peuvent par exemple être utilisées pour numériser des images, identifier des données personnelles ou financières, sécuriser des mots de passe ou renforcer des contrats contenant des termes et conditions sensibles, avant de les catégoriser de manière appropriée en vue de leur traitement selon les règles de protection applicables. Une fois catégorisées, les données peuvent être gérées et protégées au moyen de contrôles de sécurité avec une efficacité accrue.
2. Former les employés
En sensibilisant les collaborateurs à l’utilisation de l’IA par le biais de formations sur le lieu de travail, les responsables de la sécurité contribuent à défendre leur entreprise contre la perte de données et à protéger les informations confidentielles. Il y a toutefois fort à parier qu’un collaborateur qui bénéficie d’une seule et unique session de formation annuelle — ce qui, hélas, est trop souvent le cas — ne retiendra pas les connaissances acquises et ne pourra donc les utiliser le moment venu.
Pour obtenir les meilleurs résultats, les responsables doivent mettre en œuvre une technologie de « coaching » en temps réel (également alimentée par l’IA) pour rappeler aux employés que des règles existent au sein de l’entreprise à propos, par exemple, des risques inhérents au téléversement de données sensibles vers des applications d’IA. Le cas échéant, les équipes en charge de la sécurité peuvent intervenir davantage, par exemple en orientant les collaborateurs vers d’autres applications agréées ou en bloquant purement et simplement l’accès à certaines applis.
3. Prévenir la perte de données
Les outils de prévention des pertes de données peuvent s’appuyer sur l’IA pour détecter les fichiers, les publications ou les emails contenant des informations potentiellement sensibles — codes source, mots de passe et autres blocs de propriété intellectuelle —, générer une alerte et activer un blocage en temps réel lorsque ces actifs quittent l’entreprise.
Face au succès explosif de l’IA générative, c’est un moyen très utile de s’assurer que les messages contenant des informations sensibles ne peuvent être téléversés vers des plateformes tierce partie sans autorisation préalable. C’est possible en intervenant en conjonction avec le coaching des collaborateurs en temps réel pour que les employés soient informés du risque d’utilisation malveillante des données au moment même où il survient, par exemple dès que des informations sensibles sont détectées.
4. Détecter les menaces
L’utilisation de l’IA pour surveiller et détecter des menaces telles que les malwares et les ransomwares tout en réduisant la surface d’attaque constitue un autre moyen efficace protéger les données. Pour les grandes entreprises, l’intelligence des appareils assistés par l’IA ainsi que les réseaux SD-WAN sans frontières permettent de surveiller le réseau de manière proactive et de fournir des informations prédictives aux équipes, neutralisant ainsi les risques de connectivité avant même leur apparition.
L’IA peut également être mise à profit pour détecter et signaler des comportements inhabituels dans le cadre d’une approche « zero trust » où les tentatives d’accès émanant d’un appareil ou d’un lieu inhabituel peuvent être automatiquement visualisées par les équipes réseau et sécurité.
Les entreprises évoluent rapidement en intégrant l’IA à leurs activités et en modifiant leurs opérations pour les rationaliser et les rendre plus efficaces. Toutefois, la confidentialité et la protection des données sont indispensables pour qu’elles continuent à bénéficier en toute sécurité de ces avancées technologiques tout en préservant leur conformité aux règlementations existantes ou à leurs nouveaux projets. Dans ce contexte, avant comme après le 28 janvier, la protection des données est un enjeu quotidien — avec ou sans intelligence artificielle.
