Netskope, spécialiste sur le marché du SASE (Secure Access Service Edge), dévoile les conclusions d’une nouvelle étude selon laquelle pour 10 ;000 utilisateurs, les entreprises subissent chaque mois environ 183 incidents de partage de données sensibles avec l’application ChatGPT. Le code source représente la part la plus importante des données sensibles compromises.Parmi les résultats clés :
L’usage croissant des applications d’IA :
- Au moins 10 ;000 collaborateurs emploient en moyenne cinq ;IA applicatives par jour, ChatGPT comptant à elle seule plus de huit fois plus d’utilisateurs quotidiens actifs que toute autre application
- Des données sensibles sont partagées avec des applications d’IA générative chaque heure dans une journée de travail dans les grandes entreprises
- Google Bard est l’application d’IA qui a enregistré la croissance la plus soutenue, avec une hausse hebdomadaire du nombre d’utilisateurs de 7,1 ;%, contre 1,6 ;% pour ChatGPT
Les utilisateurs alimentent ChatGPT en données sensibles :
- Les codes source sont publiés dans ChatGPT, plus que tout autre type de données sensibles, avec un taux mensuel de 158 incidents pour 10 ;000 utilisateurs
- Des données confidentielles sont partagées sur ChatGPT : figurent des données réglementées, notamment financières, ou médicales, et des informations personnellement identifiables
L’accès à ChatGPT : dans des secteurs fortement réglementés tels que les services financiers et la santé, près d’une entreprise sur cinq interdit purement et simplement à ses employés d’utiliser ChatGPT, contre seulement une sur vingt dans le secteur technologique.
La conversation autour de l'IA est souvent centrée sur des questions existentielles, telles que les opportunités et les menaces potentielles que l'IA peut apporter à l'humanité. Pourtant, les organisations du monde entier et leurs dirigeants sont confrontés à une préoccupation plus immédiate : comment utiliser les applications d'IA en toute sécurité ?
Les organisations s'efforcent d'exploiter les applications d'IA pour améliorer leurs opérations et l'expérience de leurs clients, ainsi que pour faciliter la prise de décisions fondées sur des données. L'essentiel est d'y parvenir tout en garantissant la sûreté et la sécurité. Cependant, le principal obstacle à la sécurité réside dans la manière dont certains utilisateurs peuvent employer ces applications.
Par exemple, ChatGPT peut être utilisé pour examiner le code source à la recherche de failles de sécurité ou pour aider à éditer du contenu écrit. ChatGPT a été utilisé pour éditer ce résumé. Inévitablement, certaines personnes téléchargeront un code source propriétaire ou un texte contenant des données réglementées ou de la propriété intellectuelle. Le défi consiste à décourager ce type de comportement sans entraver la productivité de l'ensemble de l'organisation. Un blocage pur et simple des applications d'IA pourrait résoudre ce problème, mais cela se ferait au détriment des avantages potentiels offerts par les applications d'IA.
Alors que le battage médiatique autour des possibilités de l'IA se poursuit, il est évident que ChatGPT et d'autres applications d'IA sont en passe de devenir des piliers de l'entreprise. Parmi les clients de Netskope, leur popularité croît de manière exponentielle et devrait doubler au cours des sept prochains mois s'ils continuent à croître au rythme actuel. Ce rapport se penche sur l'importance croissante des applications d'IA dans les entreprises, décrit les risques associés, notamment les fuites de données et l'activité potentielle des attaquants, et propose des stratégies pour intégrer en toute sécurité ChatGPT et d'autres outils d'IA dans l'environnement de l'entreprise.
Les applications d'IA gagnent en popularité
Le nombre d'utilisateurs accédant à des applications d'IA dans l'entreprise augmente de façon exponentielle. Au cours des deux derniers mois, le pourcentage d'utilisateurs d'entreprise accédant à au moins une application d'IA chaque jour a augmenté de 2,4 % par semaine, soit une augmentation totale de 22,5 % sur cette période. Au rythme actuel de croissance, le nombre d'utilisateurs accédant à des applications d'IA doublera au cours des sept prochains mois. Au cours de la même période, le nombre d'applications d'IA utilisées dans les entreprises est resté stable, les organisations comptant plus de 1 000 utilisateurs utilisant en moyenne 3 applications d'IA différentes par jour, et les organisations comptant plus de 10 000 utilisateurs utilisant en moyenne 5 applications d'IA par jour. À la fin du mois de juin, 1 utilisateur d'entreprise sur 100 interagissait avec une application d'IA chaque jour.
L'application d'IA d'entreprise la plus populaire est de loin ChatGPT, avec plus de 8 fois plus d'utilisateurs actifs quotidiens que n'importe quelle autre application d'IA. ChatGPT a fait l'objet d'un grand battage médiatique au cours des six derniers mois et est également très polyvalente, ce qui a probablement contribué à sa popularité. L'application la plus populaire est Grammarly, qui se concentre exclusivement sur l'aide à la rédaction. Bard, le chatbot de Google, arrive juste après Grammarly. Toutes les autres applications d'IA combinées (dont nous suivons plus de 60, y compris Jasper, Chatbase et Copy.ai) sont moins populaires que Google Bard.
Au cours des deux derniers mois, l'application d'IA qui a connu la croissance la plus rapide dans les entreprises est Google Bard. Bien qu'elle soit encore loin de ChatGPT en termes de popularité, Google Bard compte actuellement 7,1 % d'utilisateurs supplémentaires par semaine, contre 1,6 % pour ChatGPT. À ce rythme, Google Bard devrait rattraper ChatGPT dans un peu plus d'un an. Toutefois, l'espace des applications d'IA étant très dynamique, nous nous attendons à ce que de nombreux autres changements interviennent au cours de cette période, ce qui perturbera les taux de croissance actuels.
Netskope Threat Labs suit la popularité des applications d'IA dans les environnements d'entreprise, plutôt que la popularité globale des applications parmi les consommateurs. Par exemple, alors que la popularité de ChatGPT a grimpé en flèche parmi les consommateurs avant de se calmer en juin, son adoption dans les entreprises a été plus mesurée et continue d'augmenter de façon exponentielle. Le reste de ce rapport met en évidence certaines des raisons de cette augmentation mesurée, notamment les risques de fuite de données et les contrôles relatifs à son utilisation.
Risques liés à l'IA - Données sensibles
Ce segment se concentre sur ChatGPT, l'application d'IA la plus répandue dans les entreprises. Un utilisateur moyen de ChatGPT interagit avec l'application en envoyant 6 messages par jour. Le niveau d'activité varie en fonction de l'utilisateur, les 10 % d'utilisateurs les plus performants affichant 22 messages et les 1 % les plus performants affichant 68 messages par jour. Pour 10 000 utilisateurs, une organisation peut s'attendre à recevoir environ 660 messages quotidiens sur ChatGPT. Mais la véritable question réside dans le contenu de ces messages : S'agit-il de requêtes inoffensives ou révèlent-elles par inadvertance des données sensibles ?
Une étude de Netskope a révélé que le code source était le type de données sensibles le plus fréquemment exposé, avec 22 utilisateurs d'entreprise sur 10 000 publiant du code source sur ChatGPT par mois. Au total, ces 22 utilisateurs sont responsables d'une moyenne de 158 messages contenant du code source par mois. Cette tendance n'est pas totalement inattendue, compte tenu de la capacité de ChatGPT à examiner et à expliquer le code et à repérer les bogues et les failles de sécurité. Bien que ces services soient bénéfiques, le partage de code source confidentiel avec ChatGPT présente des risques, notamment des violations potentielles de données, la divulgation accidentelle de données et des risques juridiques et réglementaires.
Par rapport au code source, les messages contenant d'autres formes de données sensibles sont relativement moins fréquents. Pour 10 000 utilisateurs d'entreprise, on dénombre généralement 18 incidents de partage de données réglementées (comprenant les données financières, les informations sur les soins de santé et les informations personnelles identifiables) sur une base mensuelle. La propriété intellectuelle (à l'exclusion du code source) est encore plus rare, avec une moyenne de 4 incidents par mois pour 10 000 utilisateurs. Il est intéressant de noter que les mots de passe et les clés figurent également parmi les types de données sensibles partagées, généralement intégrées dans le code source. Malgré sa relative rareté (environ 4 incidents pour 10 000 utilisateurs par mois), cette pratique rappelle aux ingénieurs en informatique les risques liés à l'intégration de secrets dans le code source.
Attaquants opportunistes
Avec tout le battage médiatique autour de ChatGPT et des applications d'IA en général, il n'est pas surprenant que des escrocs, des cybercriminels et d'autres attaquants tentent d'exploiter le battage médiatique pour obtenir des gains illicites. Il s'agit d'une pratique courante chez les attaquants. Par exemple, le Netskope Threat Labs Cloud and Threat Report du printemps 2023 a mis en évidence des attaquants tentant de tirer parti de la guerre russo-ukrainienne, du tremblement de terre en Turquie et en Syrie, et de l'effondrement de la Silicon Valley Bank. Le battage médiatique et la popularité de ChatGPT attirent l'attention des attaquants et des escrocs en raison du grand nombre de cibles et du potentiel de profit, combinés à la compétence variée des utilisateurs de la plateforme.
Au cours du premier semestre 2023, Netskope Threat Labs a suivi de nombreuses campagnes de phishing, de distribution de logiciels malveillants, de spam et de sites Web frauduleux cherchant à tirer parti de l'engouement pour le ChatGPT. Netskope Threat Labs a même repéré plusieurs proxys ChatGPT, des sites qui semblent offrir l'avantage d'un accès gratuit et non authentifié au chatbot, mais au prix de la révélation de toutes vos invites et réponses à l'opérateur du proxy.
Au total, Netskope Threat Labs suit actuellement plus de 1 000 URL et domaines malveillants cherchant à tirer parti de l'engouement pour le ChatGPT et l'IA. Ce chiffre rappelle à lui seul l'importance d'une approche multicouche pour protéger les utilisateurs contre les attaquants qui tentent de tirer parti de l'engouement et de la popularité qui entourent tout événement ou toute tendance importante. Une telle approche devrait inclure le filtrage des domaines, le filtrage des URL et l'inspection du contenu afin de se protéger contre les attaques connues et inconnues.
Contrôles par l'entreprise
Alors qu'au début de la popularité du ChatGPT, les entreprises avaient l'habitude de bloquer complètement le chatbot, elles ont depuis accepté le fait que le ChatGPT et d'autres applications d'IA peuvent offrir des avantages à l'organisation, notamment l'amélioration des opérations, l'amélioration de l'expérience client et la facilitation de la prise de décision basée sur les données. Au lieu de bloquer le ChatGPT, les organisations ont opté pour un modèle plus permissif qui comprend généralement une combinaison de DLP et de coaching des utilisateurs. La DLP peut être utilisée pour identifier les données potentiellement sensibles publiées dans les applications d'IA, y compris ChatGPT, et le coaching des utilisateurs peut laisser à l'utilisateur la décision finale de poursuivre ou non avec une invite.
Les contrôles spécifiques autour de ChatGPT varient selon les secteurs d'activité. Dans l'ensemble, les entreprises des secteurs des services financiers, de la santé et de la technologie ont été les premières à mettre en place des contrôles sur le ChatGPT. Cependant, l'approche adoptée par chaque secteur varie considérablement. Dans les services financiers et les soins de santé, deux secteurs très réglementés, près d'une organisation sur cinq a mis en place une interdiction générale. Aucun utilisateur n'est autorisé à utiliser ChatGPT. Dans le secteur technologique, seule une organisation sur 20 a mis en place une interdiction générale.
Au lieu de cela, 1 organisation sur 4 utilise des contrôles DLP pour détecter des types spécifiques d'informations sensibles (en particulier le code source) publiées sur ChatGPT. En outre, 1 organisation technologique sur 5 met en œuvre un coaching en temps réel des utilisateurs pour leur rappeler la politique de l'entreprise et les risques liés à ChatGPT et à d'autres applications d'IA. En fin de compte, il est probable que de plus en plus d'organisations adoptent des contrôles DLP et un coaching des utilisateurs en temps réel pour permettre l'utilisation d'applications d'IA comme ChatGPT tout en se protégeant contre l'exposition indésirable de données.
Recommandations
- Permettre en toute sécurité l'adoption d'applications d'IA dans l'entreprise est un défi à multiples facettes. Il s'agit d'identifier les apps autorisées et de mettre en place des contrôles qui permettent aux utilisateurs de les exploiter au maximum de leur potentiel tout en protégeant l'organisation contre les risques. Cette section comprend des recommandations techniques générales pour les organisations visant à activer les apps d'IA en toute sécurité.
- Examiner régulièrement l'activité, les tendances, les comportements et la sensibilité des données des apps d'IA, afin d'identifier les risques pour l'organisation.
- Bloquer l'accès aux apps qui ne servent aucun objectif professionnel légitime ou qui présentent un risque disproportionné. Un bon point de départ consiste à autoriser les applications réputées actuellement utilisées et à bloquer toutes les autres.
- Utiliser des politiques DLP pour détecter les messages contenant des informations potentiellement sensibles, notamment le code source, les données réglementées, les mots de passe et les clés, ainsi que la propriété intellectuelle.
- Employer un coaching utilisateur en temps réel (combiné au DLP) pour rappeler aux utilisateurs la politique de l'entreprise entourant l'utilisation des apps d'IA au moment de l'interaction.
- Bloquer les attaquants opportunistes qui tentent de tirer parti de la popularité croissante des apps d'IA en bloquant les domaines et URL malveillants connus, et en inspectant tous les contenus HTTP et HTTPS.
- Utiliser la technologie d'isolation des navigateurs à distance (RBI) pour fournir une protection supplémentaire lorsqu'il est nécessaire de visiter des sites web dans des catégories qui peuvent présenter un risque plus élevé, comme les domaines nouvellement observés et nouvellement enregistrés.
- Veiller à ce que toutes les défenses de sécurité partagent des informations et collaborent pour rationaliser les opérations de sécurité. Les clients de Netskope peuvent utiliser Cloud Exchange pour partager des IOC, importer des renseignements sur les menaces, exporter des journaux d'événements, automatiser des flux de travail et échanger des scores de risque.
Source : Netskope
Et vous ?
Trouvez-vous ce rapport pertinent ou crédible ? Qu'en est-il au sein de votre organisation ? Votre entreprise est-elle suffisamment protégée face aux risques liés à ChatGPT et autres applications d’IA générative ?Voir aussi :
Les employés utilisent secrètement ChatGPT, ce qui pose des risques pour les entreprises, l'utilisation non contrôlée de l'IA générative, une bombe à retardement pour les sociétés Des employés partageraient des données professionnelles sensibles avec ChatGPT, ce qui suscite des craintes en matière de sécurité, ChatGPT pourrait mémoriser ces données et les divulguer plus tard Une enquête révèle que certaines entreprises remplacent déjà les travailleurs par ChatGPT, malgré les avertissements selon lesquels il ne faut pas s'y fier pour "quoi que ce soit d'important"