Les dangers cachés des copilotes IA et comment renforcer la sécurité et la conformité
Les copilotes IA, tels que celui de Microsoft, introduisent de nouveaux risques de sécurité, de vie privée et de conformité. Si ces modèles ne sont pas adéquatement sécurisés, les organisations risquent de devenir le prochain gros titre, allant des violations de données à des infractions aux réglementations de confidentialité.
Les risques associés aux copilotes IA ne sont pas que théoriques ; des incidents réels ont déjà démontré les dangers d’une adoption non régulée de l’IA. Par exemple, le copilote IA de Microsoft a récemment exposé le contenu de plus de 20 000 dépôts privés GitHub d’entreprises telles que Google, Intel, Huawei, PayPal, IBM, Tencent et, ironiquement, Microsoft. De plus, en 2023, un incident a conduit à la fuite de 38 To de données confidentielles en raison d’une mauvaise configuration des contrôles d’accès sur GitHub.
Ces incidents réels servent d’avertissement clair sur les risques posés par des données trop exposées et une gouvernance inadéquate.
Système ouvert vs. modèle IA en boucle fermée
Avant de discuter de la manière de sécuriser les modèles d’IA, il est essentiel de comprendre ce que signifie qu’un modèle d’IA soit un système ouvert ou un modèle en boucle fermée.
Un modèle d’IA en boucle fermée permet aux entreprises de former des modèles d’IA uniquement sur leurs données au sein de leur environnement Azure. Cela minimise le risque que l’IA partage des données sensibles entre clients ou géolocalisations.
En revanche, des modèles d’IA comme Copilot et ChatGPT ne sont pas des modèles en boucle fermée et apprennent continuellement et mettent à jour leurs réponses en fonction des requêtes des utilisateurs et des données provenant d’Internet. Bien qu’il existe de nombreux avantages aux modèles d’IA ouverts, ils introduisent également les risques mentionnés ci-dessus. Les organisations peuvent garantir qu’elles adoptent l’IA en toute sécurité si elles mettent en œuvre une approche multi-niveaux en matière de sécurité et de gouvernance.
Une approche multi-niveaux pour la sécurité de l’IA générative
Il est impossible de protéger ce que l’on ne connaît pas. La première étape pour préparer votre organisation à l’IA est d’être capable de classifier et de taguer toutes les données présentes dans vos systèmes, y compris celles qui sont sensibles, confidentielles ou adaptées à la consommation par l’IA. Sans une classification et un étiquetage appropriés, l’IA – comme Microsoft Copilot – pourrait traiter et exposer des données qui devraient rester confidentielles. Les organisations doivent mettre en œuvre des mesures de gouvernance telles que :
- Réaliser des évaluations complètes des risques de données sur des plateformes comme OneDrive, SharePoint et Teams.
- Étiqueter et taguer les données sensibles, critiques ou réglementées pour identifier les données sûres pour l’IA (ou restreintes).
- Établir des politiques automatisées pour signaler ou remédier aux violations de politiques avant qu’elles n’escaladent.
- Supprimer les données dupliquées, redondantes et obsolètes des magasins de données utilisés pour former l’IA.
- Restreindre les autorisations d’accès à l’IA pour accéder aux données qui ont été désignées et validées comme sûres pour une utilisation par l’IA.
Une fois que les organisations ont établi une visibilité sur leurs données, l’étape cruciale suivante est de contrôler l’accès. Comme le montre l’exposition des données GitHub mentionnée ci-dessus, même des données étiquetées et classées peuvent toujours représenter un risque si nous ne restreignons pas l’accès au type de données alimentées dans un modèle d’IA.
Les responsables de la sécurité doivent être en mesure de suivre quels ensembles de données sont utilisés pour former les modèles d’IA et d’auditer les résultats générés par l’IA pour d’éventuelles violations de conformité. Sans la mise en œuvre réussie de mesures de gestion des données IA robustes, les organisations risquent de violer le RGPD, le CCPA ou d’autres réglementations sur la vie privée.
Ces violations réglementaires entraînent des amendes infligées aux organisations et peuvent nuire à la réputation de l’organisation ainsi qu’à la confiance des consommateurs. C’est pourquoi il est crucial que les organisations intègrent la vie privée dans les fondements de leur stratégie de sécurité et de gouvernance de l’IA pour éviter de violer involontairement des obligations réglementaires.
Sécurité des données et gouvernance de l’IA à l’ère de l’IA
La transformation numérique pilotée par l’IA est là, et elle nécessite une nouvelle mentalité en matière de sécurité et de conformité. Les organisations qui négligent de mettre en œuvre des mesures de gouvernance solides risquent d’exposer leur atout le plus précieux — les données. Il est temps pour les dirigeants informatiques d’appliquer des politiques de sécurité de l’IA et de garantir que l’IA générative soit utilisée de manière sûre et responsable.
