ChatGPT & Co : comment les entreprises peuvent-elles éviter les fuites de données ?
Les outils d'intelligence artificielle comme ChatGPT, Bard et Copilot sont de plus en plus populaires, mais ils mettent en danger la sécurité des données. Comment les entreprises peuvent-elles empêcher avec succès la fuite d'informations confidentielles et les atteintes à la protection des données ?
L'IA générative est déjà d'une grande aide dans de nombreuses tâches du travail quotidien. Elle répond aux questions, rédige des textes pour le marketing, traduit des e-mails et des documents et optimise même le code source. Il n'est donc pas étonnant que les collaborateurs utilisent ces outils avec enthousiasme pour se faciliter le travail et devenir plus productifs. Mais cela comporte des risques pour la sécurité des données dans l'entreprise : Des données confidentielles ou personnelles peuvent facilement se retrouver sur ChatGPT, Bard ou Copilot et, dans certaines circonstances, dans les réponses des autres utilisateurs. Enfin, les fournisseurs utilisent non seulement les données disponibles sur le web, mais aussi les entrées des utilisateurs pour entraîner leurs modèles d'IA et améliorer leurs réponses.
Pare-feu contre les fuites de données : pas une solution idéale
Si les entreprises ne veulent pas perdre le contrôle de leurs données, elles doivent prendre des mesures. Le plus simple est de former les employés à l'utilisation de l'IA générative en toute sécurité, mais des erreurs peuvent se produire - dans l'agitation du travail quotidien, l'attention peut se relâcher et les employés téléchargent tout de même des données sensibles sur les services. C'est pourquoi certaines entreprises choisissent de bloquer les URL des différents outils d'IA avec le pare-feu, mais ce n'est pas non plus la solution idéale. D'une part, les blocages n'offrent pas une protection suffisante, car les collaborateurs peuvent facilement les contourner en accédant aux services depuis l'extérieur du réseau de l'entreprise. D'autre part, les entreprises empêchent leur personnel de travailler de manière productive et sont potentiellement source de frustration.
L'approche "zero trust" comme alternative
Pour réglementer l'accès aux outils d'intelligence artificielle et protéger les données, les entreprises ont intérêt à adopter une approche "zéro confiance". Dans ce contexte, les solutions de sécurité telles que Secure Web Gateway (SWG) et Cloud Access Security Broker (CASB) garantissent que seuls les services autorisés sont utilisés, et uniquement par les collaborateurs autorisés - indépendamment de l'endroit où ils se trouvent et de l'appareil qu'ils utilisent. Un ensemble de politiques central réduit la charge administrative et facilite la prévention des violations de sécurité sur l'ensemble des outils d'IA, des canaux de communication et des appareils.
En outre, un contrôle conséquent des données mises à disposition par les services est nécessaire. En effet, ce n'est que lorsque les entreprises se rendent compte que des collaborateurs sont par exemple sur le point de partager des données personnelles ou du code source avec la propriété intellectuelle via le chat ou le téléchargement de fichiers avec les outils d'IA qu'elles peuvent y mettre fin. Pour cela, il est nécessaire de classifier les données et de mettre en place des directives qui régissent et surveillent l'utilisation des données. Les solutions de prévention des pertes de données (DLP) combinent les deux et minimisent les efforts de mise en place, car elles apportent des classifications prêtes à l'emploi pour les données les plus diverses et un grand ensemble de directives prédéfinies.
Concentration sur les données à protéger
En outre, les entreprises n'ont généralement pas besoin de classifier l'ensemble de leurs données - il suffit de se concentrer sur les données à protéger. Les différents services savent généralement très bien de quelles données il s'agit et peuvent fournir des exemples : listes de clients, présentations, contrats, extraits de code. Les solutions DLP les analysent et sont ensuite en mesure de reconnaître de manière fiable des données similaires. Selon le degré de sensibilité des données, elles permettent des réactions graduelles : Pour les données moins critiques, il suffit généralement d'informer le collaborateur d'une éventuelle violation de la sécurité des données ; pour les données plus importantes, une validation par le supérieur hiérarchique peut être nécessaire, tandis que le téléchargement d'informations particulièrement sensibles est directement bloqué.
"ChatGPT et d'autres outils d'intelligence artificielle résolvent même des tâches complexes en quelques secondes. C'est extrêmement pratique dans le travail quotidien, mais cela peut conduire à des violations de la sécurité des données si les collaborateurs entrent par inadvertance des données confidentielles ou personnelles dans ces services", souligne Frank Limberger, Data & Insider Threat Security Specialist chez Forcepoint, prestataire de services de sécurité informatique. "Avec la DLP, les entreprises peuvent protéger leurs données de manière fiable sans limiter l'utilisation des outils d'intelligence artificielle, ce qui affecterait inévitablement la productivité et la motivation des employés. Les solutions peuvent être mises en place plus rapidement que les entreprises ne le pensent souvent, et elles fournissent des résultats après quelques jours ou semaines seulement".
Source : Forcepoint
Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/chatgpt-co-wie-koennen-unternehmen-datenlecks-vermeiden/
