Protégez-vous contre GenAI : les meilleures stratégies en cybersécurité
Malgré toute l'excitation autour de l'IA pour les RSSI, les sociétés doivent surmonter divers obstacles associés à son utilisation en milieu de travail. L'une des préoccupations majeures repose sur l'intégration des informations issues des requêtes de GenAI dans le grand ensemble de données du Modèle de Langage Massif (MLM) employé par ces derniers. Comment pouvons-nous résoudre cette préoccupation ?
Dans l’ère de la numérisation accrue des entreprises, l’Intelligence Artificielle générative (GenAI) s’est popularisée. Pourtant, sa mise en place connaît des erreurs désinvoltes mais manifestement erronées appelées « hallucinations » de l’IA. De plus, elle révèle des problèmes de confidentialité non négligeables, tels que des violations des droits d’auteur ou la divulgation d’informations personnelles. De nombreuses organisations avancent avec prudence dans leur utilisation de la GenAI ; dans la plupart des cas le personnel ne comprend pas les raisons de ce rythme délibéré et ne voit pas les garde-fous numériques qui sont mis en place. Ils s’habituent à utiliser la GenAI dans leur vie privée et à l’expérimenter de manière indépendante sur le lieu de travail. La GenAI est devenue la dernière forme d’informatique fantôme à laquelle les RSSI et les DSI doivent faire face.
Selon Christophe Auberger, cybersecurity evangelist en France, chez Fortinet « Bien que de nombreux avantages découlent de sa mise en application, la GenAI est souvent mal comprise par les utilisateurs, entraînant son utilisation ingérée et répréhensible. Alors que des garde-fous numériques sont mis en place, ce manque de formation mène à une formule d’informatique fantôme à laquelle les responsables de la sécurité doivent constamment faire face. »
Pistes pour une utilisation éducative de la GenAI
Associer les menaces sécuritaires à la GenAI ne doit pas pour autant nous priver de ses avantages. L’objectif n’est pas d’éviter son utilisation mais de s’assurer que celle-ci se fait de manière éclairée et sécuritaire. Pour y parvenir, il existe des options à envisager :
- Exécuter un modèle fondamental dans un environnement privé pour contrôler l’accès aux données.
- Utiliser la génération augmentée par extraction pour affiner la précision des modèles.
- Appliquer la prévention de la perte de données en tant que filtre sur les données.
Protection des modèles et éveil des utilisateurs
Parallèlement, l’IA générative introduit de nouvelles menaces directement contre les modèles, rendant nécessaire leur protection notamment par les approches listées ci-dessus. De plus, il est crucial de créer une sensibilisation des utilisateurs pour rester dans la course à l’armement en matière d’IA, les organisations doivent non seulement mettre en œuvre la GenAI mais aussi la contrôler et la vérifier via, notamment, une équipe dédiée à la Responsible AI (RAI). Ainsi, l’usage de ce nouvel outil se fera en toute sécurité.
Dans le cas d’utilisation d’applications tierces ou de fournisseurs de logiciels en tant que service (SaaS) qui ont intégré la GenAI dans leurs outils, poser les mêmes questions et déterminer comment ils protègent les données et les résultats :
- Incorporer des contrôles d’accès stricts, en limitant l’utilisation d’ensembles de données spécifiques aux utilisateurs autorisés.
- Utiliser des technologies de protection de la vie privée avec l’obscurcissement des données (ajout de « bruit » (noise) ou suppression des détails d’identification – anonymisation), le traitement crypté des données (cryptage homomorphique, calcul multipartite), l’analyse fédérée/distribuée sur des données centralisées (les processeurs ne peuvent pas voir le contenu) et les outils de responsabilisation des données (contrôle défini par l’utilisateur).
- Examiner attentivement le volume de données : plus la quantité de données fournies est élevée, plus la probabilité de fuite est grande.
- Former l’équipe qui utilise le modèle GenAI aux bonnes pratiques, à la conformité et aux menaces.
D’autres informations dans notre newsletter sur la cybersécurité : « Le Garage Cyber »
Les infos de la semaine
- CYSAT, la cybersécurité de l’industrie spatiale
- Une nouvelle génération d’outils de cybersécurité
- Cyber-risque et collectivités locales : vulnérabilité croissante
- Un jeu interactif qui simule une cyberattaque
- Renforcer la Cyber résilience par la sensibilisation des collaborateurs
- Avoir une meilleure compréhension des acteurs malveillants
- Protégez-vous contre GenAI : les meilleures stratégies en cybersécurité
- Lutte contre la désinformation avant les élections européennes