Il est impossible d'ignorer l'impact de l'IA générative depuis son explosion sur la scène internationale. Certains ont adopté cette technologie comme une transformation du lieu de travail, l'annonce d'une nouvelle ère dans laquelle ils n'auraient plus jamais à subir la corvée que constitue la rédaction d'un courrier électronique ou d'un rapport.
Pour d'autres, c'est le début d'une nouvelle vague technologique qui devrait apporter des avantages incalculables dans tous les secteurs, de la logistique au développement de nouveaux médicaments conçus pour sauver des vies.
Or, l'éclat initial de cette technologie révolutionnaire (saluée comme une avancée significative en termes de productivité personnelle) suscite également quelques inquiétudes, notamment en ce qui concerne la confidentialité et la sécurité des données.
Au début de l'année, le géant de l'électronique Samsung a interdit l'utilisation d'outils basés sur l'IA générative à la suite de signalements selon lesquels des employés de Samsung avaient accidentellement partagé des informations confidentielles en utilisant ChatGPT pour s'aider dans leur travail.
Dans un e-mail envoyé au personnel et largement diffusé à l'époque, l'entreprise coréenne a déclaré : « L'intérêt pour les plateformes basées sur l'IA générative comme ChatGPT s'est accru, en interne et en externe. Si cet intérêt se concentre sur l'utilité et l'efficacité de ces plateformes, les risques de sécurité présentés par l'IA générative suscitent également des inquiétudes croissantes. »
Le cas de Samsung n'est pas isolé. Un certain nombre d'entreprises (et certains pays) ont déjà interdit l'IA générative, et il est facile de comprendre pourquoi.
En effet, l'utilisation d'outils tels que ChatGPT et d'autres grands modèles linguistiques (LLM, Large Language Models) ouvre essentiellement la porte à l'informatique fantôme (Shadow IT) non surveillée, c'est-à-dire à des dispositifs, des logiciels et des services qui échappent à la propriété ou au contrôle des entreprises informatiques.
Le problème est simple. Une fois que des données propriétaires ont été exposées à l'IA, il n'existe aucun moyen de revenir en arrière, peu importe que cette exposition résulte d'expériences réalisées par un collaborateur avec cette technologie ou d'une initiative de l'entreprise. Ne nous méprenons pas : l'IA demeure incroyablement prometteuse. Toutefois, en l'absence de garde-fous appropriés, elle présente des risques importants pour les entreprises et les organisations.
Selon une récente étude signée KPMG, les dirigeants s'attendent à ce que l'IA générative ait un impact énorme sur l'activité, mais la plupart d'entre eux déclarent également ne pas être prêts à l'adopter immédiatement. La cybersécurité (81 %) et la confidentialité des données (78 %) figurent ainsi en tête de liste des préoccupations.
C'est pourquoi les responsables de la sécurité doivent trouver un équilibre entre l'innovation transformative permise par l'IA et le respect des réglementations en matière de confidentialité des données. La meilleure approche pour ce faire consiste à mettre en œuvre des mesures de sécurité Zero Trust, afin que les entreprises puissent utiliser en toute sécurité les derniers outils basés sur l'IA générative, sans mettre en péril la propriété intellectuelle et les données des clients.
La méthodologie Zero Trust instaure une vérification stricte de l'identité de chaque utilisateur et de chaque appareil qui tente d'accéder aux ressources du réseau. Contrairement à l'approche traditionnelle du « château entouré de douves », l'architecture Zero Trust ne fait confiance à rien ni personne.
Cette approche s'avère essentielle pour toutes les entreprises qui souhaitent utiliser l'IA. Pourquoi ? Parce que les mesures de sécurité Zero Trust permettent à ces dernières d'utiliser en toute sécurité les derniers outils reposant sur l'IA générative, sans mettre en danger la propriété intellectuelle et les données de leurs clients.
Les entreprises qui utilisent l'IA générative doivent s'assurer que leurs systèmes sont suffisamment robustes pour éviter n'importe quel problème de sécurité.
Vous devez impérativement savoir combien de collaborateurs expérimentent les services IA et à quelles fins ils les utilisent. Pour garantir la sécurité des données de votre entreprise, vous devez permettre aux administrateurs système de superviser (et de contrôler) cette activité à tout moment, au cas où ils auraient besoin de la « débrancher ».
L'adoption d'un service de prévention des pertes de données (Data Loss Prevention, DLP) contribuera à assurer une protection permettant de réduire ou d'éliminer le facteur humain concernant la manière dont les collaborateurs peuvent partager des données. La mise en place de règles plus détaillées peut même permettre à certains utilisateurs d'expérimenter l'IA avec des projets contenant des données sensibles, tout en imposant des limites plus strictes à la majorité des équipes et des collaborateurs.
En d'autres termes, si les entreprises souhaitent utiliser l'IA sous quelque forme que ce soit, elles doivent améliorer leur sécurité et adopter une approche Zero Trust. S'il est important d'attirer l'attention sur ce problème, il n'est pas nécessaire non plus de verser dans le sensationnalisme autour d'une technologie qui a tant à offrir.
En effet, du téléphone mobile à l'informatique cloud, chaque avancée technologique s'est accompagnée de nouvelles menaces de sécurité. Et à chaque fois, l'industrie a réagi en renforçant la sécurité, les protocoles et les processus. Il en ira de même avec l'IA.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article a été rédigé à l'origine pour The AI Journal.
John Engates – @jengates Field CTO, Cloudflare
Cet article vous permettra de mieux comprendre les points suivants :
Les risques introduits par l'utilisation de l'IA
Le rôle que le Zero Trust peut jouer dans l'implémentation en toute sécurité des outils IA