Avez-vous déjà imaginé ce qui se passerait si un géant de l’IA générative comme OpenAI, Google, Meta ou Microsoft publie involontairement des informations sensibles relatives à leurs clients ? En réalité, les LLM offrent aux entreprises un accès unifié à un flux de données structuré. C’est ainsi qu’elles peuvent améliorer la recherche d’informations dans leurs systèmes. Et c’est le cas pour GPT-4 qui offre un accès direct aux entreprises qui l’utilisent. Or, c’est une approche qui n’est pas sans risque et les plus grands défis pour ces entreprises ne sont autres que les fuites de données et la rupture de flux connue également sous le nom de Flowbreaking.
Cette dernière constitue une nouvelle menace qui soulève des questions au niveau de la fiabilité et de la sécurité des systèmes d’intelligence artificielle.
Un tiers des entreprises sont touchées par la fuite de données sans le savoir
Sans forcément le savoir, les entreprises font aujourd’hui face à des risques significatifs liés à l’intelligence artificielle.
L’adoption de l’IA générative, par exemple, s’accompagne de menaces potentielles majeures.
Un système compromis pourrait en effet, bien qu’involontairement, révéler des informations stratégiques sensibles. Ou encore des documents confidentiels et des données personnelles.
On fait alors face à une vulnérabilité qui pourrait, à force de la négliger, avoir des conséquences dévastatrices pour les entreprises comme pour leurs clients.
Cela dit, les fuites de données fragilisent non seulement la réputation des entreprises, mais peuvent aussi conduire à l’arrêt total de leurs projets d’IA.
Plusieurs organisations ont déjà suspendu leurs projets dans ce domaine puisqu’elles craignent que des informations confidentielles ne tombent entre de mauvaises mains.
Selon une étude de Gartner, près d’un tiers des entreprises implémentant l’IA ont déjà été confrontées à des incidents de sécurité. Et OpenAI et Free n’a pas échappé à la règle.
De leur côté, les experts soulignent une inquiétude grandissante face aux scénarios potentiels de cybermenaces impliquant l’intelligence artificielle.
🚨🔴CYBERALERT, 🇫🇷FRANCE 🔴 | 19M de comptes et 5M d'IBAN de l'opérateur téléphonique Free mis en vente sur le "Amazon de la cybercriminalité"
— SaxX ¯\_(ツ)_/¯ (@_SaxX_) October 22, 2024
Hier nuit, un cybercriminel a mis en vente deux bases de données supposées appartenir à Free :
👉 l'une comportant 19 192 948 de comptes… pic.twitter.com/24lgxXsoWv
Que fait le ministère de la Justice ?
Face aux menaces croissantes liées à l’IA, le ministère américain de la Justice a récemment mis à jour ses directives. En particulier celles qui concernent les programmes de conformité des entreprises utilisant l’IA.
Cette nouvelle version, qui s’appuie d’ailleurs sur des recommandations précédentes, prévoit des sanctions plus sévères pour les utilisations abusives de l’IA.
Les nouvelles directives se concentrent en effet sur trois axes d’évaluation essentiels. Notamment la conception du programme de conformité piloté par l’IA, la rigueur de sa mise en œuvre et son efficacité.
Bien que ces directives ne traitent pas explicitement des risques de fuite de données liés à l’IA générative, elles soulignent l’importance de la gestion des risques liés à cette technologie.
L’objectif est donc de garantir que les systèmes d’IA soient fiables, éthiques et conformes aux exigences légales.
Est-ce que les géants comme OpenAI peuvent garantir la transparence et éviter les fuites de données ?
La protection des données et la transparence constituent des remparts essentiels contre les fuites de données et les attaques de type « flowbreaking ».
Pour y parvenir, les entreprises doivent adopter une stratégie de sécurité fondée sur le principe du besoin de savoir.
Cette approche implique plusieurs mesures concrètes. À savoir la restriction à l’accès des systèmes d’IA aux informations en fonction des rôles spécifiques. Mais aussi la vérification des sources de données pour garantir leur fiabilité. Ainsi que le développement de systèmes d’IA explicables qui offrent une transparence dans les processus décisionnels.
La responsabilité devient donc un enjeu central qui nécessite la définition de responsabilités de surveillance précises au sein de l’organisation.
La réalisation d’audits réguliers des données s’avère donc incontournable pour identifier et bloquer tout accès non autorisé.
Ces évaluations périodiques permettront de détecter rapidement les failles et de maintenir l’intégrité des systèmes d’information.
Quant au département de la Justice, il recommande aux procureurs d’évaluer la capacité des entreprises à utiliser efficacement leurs données.
Il s’agit alors d’un objectif à double sens. Le premier est de prévenir les fautes professionnelles. Le second : assurer une communication en temps réel sur d’éventuels manquements à la conformité.
- Partager l'article :
