It’s been remarked that data is the oil of the information age. And if that’s the case, then it’s essential for organizations to recall that their information is valuable.
With more solutions deploying AI and ingesting users’ data, hybrid work, and more users, devices, entitlements, and environments than ever, there’s are new and complex risks to organizations’ data.
Let’s review some of those new risks, including how digital assistants and AI models can introduce new security risks, why identity governance and administration (IGA) solutions form the basis for data protection, and suggest some best practices organizations can take to keep their data secure.
Taking control of data is much easier said than done. Every device, user, machine account, and resource creates, transmits, and processes data. That’s why organizations need an IGA program, which provides organizations with the capabilities they need to:
- Maintenir la visibilité et le contrôle sur toutes les données de l'organisation: Vous ne pouvez pas contrôler ce que vous ne voyez pas ou ne comprenez pas. IGA permet de s'assurer que les bons comptes ont accès aux bonnes données en appliquant des contrôles d'accès réguliers et en permettant aux propriétaires des données d'approuver ou de révoquer les permissions si nécessaire. Il fournit également à vos administrateurs une visibilité sur ce à quoi les utilisateurs ont actuellement accès.
- Assurer une conformité continue: L'un des avantages de l'AGI et de la visibilité des données de votre organisation ? Démontrer ce contrôle aux régulateurs. IGA peut automatiser les flux de travail, les rapports d'audit et les certifications d'accès pour démontrer la conformité avec GDPR, GLB, SOX, PCI-DSS, HIPAA, ARPA et d'autres réglementations clés.
- Protéger les données sensibles: Les solutions IGA peuvent fournir à votre équipe de sécurité des informations exploitables sur l'accès aux données afin d'identifier et de limiter les accès non autorisés, contribuant ainsi à protéger les données des clients et la propriété intellectuelle.
Generative AI models and Large Language Models (LLMs) introduce new risks that organizations need to account for. Instances of Microsoft Copilot, DeepSeek, Claude, and ChatGPT rely on user inputs to train their models. Broadly speaking, that means that whatever a user pastes into a prompt becomes part of the model. Moreover, if your organization uses an AI assistant, then the tool may have wider access to organizational data, and it may not have safeguards limiting when, if, or how it should use that data.
Cela peut évidemment entraîner des risques importants. Prenons l'exemple du service Azure Health Bot de Microsoft, qui "a permis des mouvements latéraux dans le réseau, et donc l'accès à des données sensibles sur les patients", d'après TechRadar. Un rapport d'avril 2024 notait que 20% des entreprises britanniques "avaient des données d'entreprise potentiellement sensibles exposées via l'utilisation par les employés de l'IA générative (GenAI)", par. Magazine Infosecurity. Cisco a estimé qu'un quart des entreprises ont interdit l'IA générative en raison de ces préoccupations.
Ces inquiétudes sont fondées. Les LLM ont besoin d'un large éventail de données clients pour former leurs modèles, et les utilisateurs ont été formés à faire confiance à la "boîte magique" des recherches Google et à taper sans crainte ce qu'ils recherchent. Cela peut mettre en danger les informations financières, la propriété intellectuelle, les informations confidentielles ou d'autres données sensibles.
Les entrées des utilisateurs ne sont pas les seules à présenter des risques. Si un LLM est formé sur vos données, des tiers peuvent être en mesure de l'interroger pour trouver des informations que vous préférez ne pas rendre publiques. De même, il existe un risque que l'assistant lui-même diffuse des informations sur n'importe quel canal de sortie auquel il peut communiquer.
Si votre organisation a l'intention d'installer un assistant numérique, vous devez adopter certaines bonnes pratiques pour assurer la sécurité de l'assistant et de votre équipe.
Tout d'abord, demandez à votre équipe de direction d'expliquer quels sont les risques. Expliquez les types d'informations que les utilisateurs peuvent saisir et ceux qu'ils ne peuvent pas saisir. Chez RSA, nous avons expliqué à notre équipe qu'elle peut saisir des informations destinées à la consommation publique. Toute autre information ne devrait pas faire partie d'une requête d'utilisateur.
Deuxièmement, veillez à activer les bonnes commandes. Il ne s'agit pas toujours des paramètres par défaut de l'assistant : S'ils sont mal configurés, les assistants d'intelligence artificielle peuvent avoir accès à toutes les données de l'entreprise. Assurez-vous que votre chatbot sait quelles informations il peut interroger et quelles informations il peut renvoyer. Les organisations doivent cloisonner les données de manière appropriée, afin que l'utilisateur X ne reçoive pas de réponses basées sur les fichiers de l'utilisateur Y ; sinon, vous risquez que vos employés lisent les courriels des uns et des autres et accèdent à des informations non souhaitées.
Vous devez également savoir à quoi votre système peut accéder, quand il y a accès et quand il fait des recommandations aux utilisateurs. Veillez à appliquer ces règles à tous les outils d'intelligence artificielle que vous avez déployés (il existe plusieurs versions du Copilot de Microsoft). Et ces outils doivent s'inscrire dans une posture de sécurité alignée.
Enfin, demandez à votre fournisseur ce qu'il advient de vos chercheurs, de vos données et de vos réponses. Les conserve-t-il ? Si oui, pendant combien de temps ? D'autres instances de la solution sont-elles formées sur votre modèle, ou tout cela reste-t-il confidentiel ?
J'ai surtout discuté des risques que les LLM et l'IA générative font peser sur les postures de cybersécurité des organisations. Ces modèles d'IA font généralement la une des journaux et représentent certains des risques les plus importants, ne serait-ce que parce que de plus en plus d'utilisateurs saisissent des messages dans ChatGPT, Copilot, etc.
La cybersécurité peut également bénéficier de l'IA, mais votre équipe doit utiliser le bon modèle. D'une manière générale, les LLM et l'IA générative ne sont pas adaptés aux opérations de sécurité pour le moment. Ils constituent une boîte noire qui produit des résultats qu'un opérateur humain ne peut pas toujours valider, et leurs résultats ne sont pas toujours utiles.
Ces modèles sont basés sur des modèles non déterministes (j'introduis des valeurs X, je ne sais pas ce qui en sortira). Les modèles déterministes (je mets X valeurs, je sais quel sera le résultat et comment la solution arrivera à ce résultat) peuvent être extrêmement utiles pour la cybersécurité.
Nous avons utilisé RSA® Risque IA depuis des décennies pour fournir des informations en temps réel sur les demandes d'authentification. Risk AI est un modèle d'apprentissage automatique déterministe basé sur le risque qui évalue l'adresse IP et les signaux du réseau d'un utilisateur, l'analyse du comportement, la géolocalisation, les signaux temporels, les signaux des applications, les signaux liés aux appareils, etc. pour évaluer le risque. Si ces signaux et ces comportements reflètent le comportement habituel de l'utilisateur par rapport à lui-même et au reste de l'organisation, l'utilisateur est considéré comme présentant un risque faible et peut s'authentifier à l'aide de méthodes standard. Si ces comportements dévient de manière significative, le système automatise un défi d'authentification de niveau supérieur et peut le signaler à l'équipe de sécurité.
Il est important de noter que RSA Risk AI ne recueille pas d'informations sur les organisations et que nous n'utilisons pas d'informations provenant d'un déploiement donné pour former les itérations futures. Nous hachons et tokenisons toutes les données de Risk AI. Chaque instance de Risk AI est déployée pour chaque client, organisation par organisation, et ces déploiements sont affinés sur leurs données et uniquement sur leurs données.
Les meilleures pratiques techniques ou les points relatifs à l'architecture de sécurité ne doivent pas faire oublier l'essentiel : vos données sont précieuses. Il vaut la peine que les organisations investissent du temps et des ressources dans les outils, les processus et les procédures qui permettent de les sécuriser.
Si vous avez des questions sur la manière de procéder, nous sommes là pour vous aider. aider.
