Détails apparemment bénins peuvent être assemblés en profils détaillés par des cybercriminels ou des courtiers de données – alimentant le phishing ciblé, le vol d’identité et l’ingénierie sociale sophistiquée
Sous la surface des productions de l’IA générative se cache un moteur massif, en grande partie non réglementé, alimenté par des données – vos données. Et que ce soit par des requêtes innocentes ou un partage excessif habituel, les utilisateurs alimentent ces machines avec des informations qui, entre de mauvaises mains, deviennent une bombe à retardement de sécurité.
Un récent rapport Harmonic (https://apo-opa.co/3Sw1K4N) a révélé que 8,5 % des requêtes des employés vers les outils d’IA générative comme ChatGPT et Copilot incluaient des données sensibles – notamment les informations de facturation et d’authentification des clients – soulevant de graves risques de sécurité, de conformité et de confidentialité.
Depuis les débuts de ChatGPT en 2022, l’IA générative a explosé en popularité et en valeur – dépassant 25 milliards de dollars en 2024 (https://apo-opa.co/3Z7wOf2) – mais cette montée rapide entraîne des risques que de nombreux utilisateurs et organisations négligent encore.
“L’un des risques de confidentialité lors de l’utilisation des plateformes d’IA est la fuite de données involontaire”, prévient Anna Collard, SVP Stratégie de Contenu & Évangéliste chez KnowBe4 Afrique. “Beaucoup de gens ne réalisent pas la quantité d’informations sensibles qu’ils saisissent.”
Vos données sont la nouvelle requête
Il n’y a pas que les noms ou les adresses e-mail qui sont aspirés. Lorsqu’un employé demande à un assistant d’IA générative de “réécrire cette proposition pour le client X” ou de “suggérer des améliorations à notre plan de performance interne”, il peut partager des données propriétaires, des dossiers clients, ou même des prévisions internes. Si cela est fait via des plateformes avec des politiques de confidentialité vagues ou des contrôles de sécurité médiocres, ces données peuvent être stockées, traitées ou – pire scénario – exposées.
Et le risque ne s’arrête pas là. “Parce que l’IA générative semble décontractée et amicale, les gens baissent leur garde”, dit Collard. “Ils pourraient révéler beaucoup plus que ce qu’ils révéleraient dans un cadre de travail traditionnel – intérêts, frustrations, outils d’entreprise, même la dynamique d’équipe.”
Au total, ces détails apparemment bénins peuvent être assemblés en profils détaillés par des cybercriminels ou des courtiers de données – alimentant le phishing ciblé, le vol d’identité et l’ingénierie sociale sophistiquée.
Une vague de plateformes de niche, un tas de nouveaux risques
Ce qui attise le feu, c’est la prolifération rapide de plateformes d’IA de niche. Des outils pour générer des maquettes de produits, des publications sociales, des chansons, des CV ou des textes juridiques surgissent à toute vitesse – beaucoup d’entre eux développés par de petites équipes utilisant des modèles de fondation open-source. Bien que ces plateformes puissent être excellentes dans ce qu’elles font, elles peuvent ne pas offrir l’architecture de sécurité renforcée des outils de niveau entreprise. “Les petites applications sont moins susceptibles d’avoir été testées pour les violations de confidentialité dans des cas limites ou d’avoir subi des tests de pénétration et des audits de sécurité rigoureux”, dit Collard. “Et beaucoup ont des politiques d’utilisation des données opaques ou permissives.”
Même si les créateurs d’une application n’ont aucune intention malveillante, une surveillance faible peut entraîner des fuites majeures. Collard prévient que les données des utilisateurs pourraient se retrouver dans :
” Lorsque les employés alimentent des informations confidentielles dans des outils d’IA générative publics, ils peuvent involontairement exposer toute leur entreprise “
● Bases de données de courtiers de données tiers
● Ensembles d’entraînement d’IA sans consentement
● Marchés de cybercriminels suite à une violation
Dans certains cas, les applications pourraient elles-mêmes être des façades pour des opérations de collecte de données.
Des négligences individuelles à l’exposition de l’entreprise
Les conséquences du partage excessif ne se limitent pas à la personne qui tape la requête. “Lorsque les employés alimentent des informations confidentielles dans des outils d’IA générative publics, ils peuvent involontairement exposer toute leur entreprise,” (https://apo-opa.co/3Hked9o) explique Collard. “Cela inclut les données des clients, les opérations internes, les stratégies de produits – des choses qui intéresseraient profondément les concurrents, les attaquants ou les régulateurs.”
Alors que l’IA fantôme non autorisée reste une préoccupation majeure, la montée de l’IA semi-fantôme – des outils payants adoptés par les unités commerciales sans surveillance informatique – est de plus en plus risquée, avec les applications d’IA générative gratuites comme ChatGPT responsables de 54 % des fuites de données sensibles en raison de licences permissives et du manque de contrôles, selon le rapport Harmonic.
Alors, quelle est la solution ?
L’adoption responsable commence par la compréhension du risque – et la maîtrise du battage médiatique. “Les entreprises doivent former leurs employés sur les outils qu’il est acceptable d’utiliser, et ce qu’il est sûr de saisir et ce qui ne l’est pas,” dit Collard. “Et ils devraient mettre en place de véritables protections – pas seulement des politiques sur papier.
“L’hygiène cybernétique inclut désormais l’hygiène de l’IA.”
“Cela devrait inclure la restriction de l’accès aux outils d’IA générative sans surveillance ou l’autorisation uniquement de ceux approuvés par l’entreprise.”
“Les organisations doivent adopter une approche de confidentialité dès la conception (https://apo-opa.co/3Ze1hbj) en matière d’adoption de l’IA,” dit-elle. “Cela inclut l’utilisation uniquement de plateformes d’IA avec des contrôles de données de niveau entreprise et le déploiement d’extensions de navigateur qui détectent et bloquent la saisie de données sensibles.”
Comme protection supplémentaire, elle estime que les programmes de conformité internes devraient aligner l’utilisation de l’IA avec les lois sur la protection des données et les normes éthiques. “Je recommanderais vivement aux entreprises d’adopter ISO/IEC 42001 (https://apo-opa.co/3HmoD8l), une norme internationale qui spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer continuellement un Système de Management de l’Intelligence Artificielle (AIMS),” insiste-t-elle.
En fin de compte, en équilibrant les gains de productivité avec le besoin de confidentialité des données et en maintenant la confiance des clients, les entreprises peuvent réussir à adopter l’IA de manière responsable.
Alors que les entreprises se précipitent pour adopter ces outils pour stimuler la productivité, cet équilibre – entre “wow” et “whoa” – n’a jamais été aussi crucial.
