Comment les CISOs peuvent contrôler l’utilisation de l’IA par les employés

Depuis son lancement il y a moins de 18 mois, ChatGPT a rapidement atteint les 100 millions d’utilisateurs en moins de deux mois. Cependant, l’adoption de l’intelligence artificielle générative (GenAI) par les entreprises a été plus lente que prévu. Selon une récente enquête de Telstra et MIT Review, bien que 75 % des entreprises aient expérimenté GenAI l’année dernière, seulement 9 % ont procédé à une mise en œuvre à grande échelle. La principale barrière : la confidentialité des données et la conformité réglementaire.

La préoccupation principale des CISOs (Chief Information Security Officers) est de savoir comment obtenir une visibilité sur l’utilisation de l’IA par les employés, comment appliquer des politiques d’entreprise sur l’utilisation acceptable de l’IA et comment prévenir la fuite de données sensibles et de propriété intellectuelle. Protéger les activités des utilisateurs autour des modèles d’IA est essentiel pour la confidentialité et la conformité.

Pour obtenir une visibilité et un contrôle complets sur l’activité interne et externe des utilisateurs, il est nécessaire de capturer tout le trafic sortant et de l’analyser. Cela comprend la détermination des sites auxquels les employés accèdent, où les données sont stockées et si leur utilisation est sécurisée. Durant la ruée initiale vers ChatGPT, de nombreux employés ont téléchargé des informations sensibles en testant la technologie, et peu de CISOs ont confiance qu’ils comprennent complètement quelles données ont été envoyées et sont encore envoyées.

Contrôler l’activité des employés à l’aide de politiques est un défi. L’implémentation de mécanismes de conformité peut être complexe et doit prendre en compte de multiples points d’accès tels que les agents sur les terminaux, les proxys et les passerelles. Les politiques d’accès aux données de l’IA doivent être spécifiques et s’adapter aux besoins de l’organisation, comme empêcher que des informations client soient utilisées pour générer des réponses pour un autre.

Avec l’expérience acquise dans l’utilisation de l’IA générative, les entreprises ont commencé à identifier ce qui est nécessaire pour obtenir une visibilité et un contrôle sur l’activité des utilisateurs. Cela inclut la construction et la maintenance d’une base de données de destinations GenAI, la capture des activités DNS souhaitées et le mappage continu de cette activité pour la cataloguer et analyser les risques.

De nombreuses entreprises envisagent de déployer des modèles de langue et leurs propres chatGPT hébergés localement on-premise ou dans des infrastructures dédiées dans le cloud privé ou bare-metal comme nous l’explique David Carrero, cofondateur de Stackscale, spécialistes des solutions d’infrastructure, de cloud privé et de bare-metal.

Enfin, appliquer la capacité de faire respecter les politiques d’utilisation acceptable en temps réel est essentielle. Cela implique d’intercepter les requêtes et d’appliquer les politiques pour prévenir la perte de données et l’utilisation non sécurisée de l’IA. Le mécanisme de politiques doit être appliqué à tous les accès internes et externes aux modèles de langage, quelle que soit la plateforme ou le cloud utilisé.

Malgré la complexité, certaines entreprises ont fait des progrès significatifs dans cet aspect. Des organisations plus grandes et plus avancées ont développé des contrôles pour gérer la visibilité et le contrôle de l’IA. Certaines ont construit des solutions à partir de zéro, tandis que d’autres ont utilisé une combinaison d’outils tels que EDR, SIEM, CASB, proxies et pare-feu. Avec l’évolution rapide de ce domaine, de nouvelles startups apportent des solutions innovantes au marché, marquant le prochain grand changement dans la sécurité informatique poussé par l’adoption de GenAI.