On a dit que les données étaient le pétrole de l'ère de l'information. Et si c'est le cas, alors Semaine de la protection des données est un bon rappel que vos informations sont précieuses. Cet événement international conseille les individus sur la manière de protéger leurs données, de gérer les paramètres de confidentialité et de prendre des décisions plus éclairées sur qui (et quoi) reçoit ces données.
La Semaine de la protection des données est également un bon moment pour les organisations de réfléchir à leurs pratiques en matière de protection des données. Avec davantage de solutions déployant l'IA et ingérant les données des utilisateurs, le travail hybride, et plus d'utilisateurs, d'appareils, de droits et d'environnements que jamais, il existe des risques nouveaux et complexes pour les données des organisations.
À l'occasion de la Semaine de la protection des données, je vais passer en revue certains de ces nouveaux risques. J'expliquerai comment les nouveaux assistants numériques et les modèles d'IA peuvent introduire de nouveaux risques de sécurité, pourquoi les solutions de gouvernance et d'administration des identités (IGA) constituent la base de la protection des données, et je suggérerai quelques bonnes pratiques que les organisations peuvent adopter pour assurer la sécurité de leurs données.
Cette année, le thème de la Semaine de la protection des données est "Prenez le contrôle de vos données". C'est un bon objectif, mais comme la plupart des choses, c'est plus facile à dire qu'à faire. Chaque appareil, utilisateur, compte machine et ressource crée, transmet et traite des données. C'est pourquoi les organisations ont besoin d'un programme IGA, qui leur fournit les capacités dont elles ont besoin :
- Maintenir la visibilité et le contrôle sur toutes les données de l'organisation: Vous ne pouvez pas contrôler ce que vous ne voyez pas ou ne comprenez pas. IGA permet de s'assurer que les bons comptes ont accès aux bonnes données en appliquant des contrôles d'accès réguliers et en permettant aux propriétaires des données d'approuver ou de révoquer les permissions si nécessaire. Il fournit également à vos administrateurs une visibilité sur ce à quoi les utilisateurs ont actuellement accès.
- Assurer une conformité continue: L'un des avantages de l'AGI et de la visibilité des données de votre organisation ? Démontrer ce contrôle aux régulateurs. IGA peut automatiser les flux de travail, les rapports d'audit et les certifications d'accès pour démontrer la conformité avec GDPR, GLB, SOX, PCI-DSS, HIPAA, ARPA et d'autres réglementations clés.
- Protéger les données sensibles: Les solutions IGA peuvent fournir à votre équipe de sécurité des informations exploitables sur l'accès aux données afin d'identifier et de limiter les accès non autorisés, contribuant ainsi à protéger les données des clients et la propriété intellectuelle.
Les modèles d'IA générative et les grands modèles de langage (LLM) introduisent de nouveaux risques dont les organisations doivent tenir compte. Les exemples de Microsoft Copilot, DeepSeek et ChatGPT s'appuient sur les données de l'utilisateur pour former leurs modèles. D'une manière générale, cela signifie que tout ce qu'un utilisateur colle dans une invite fait partie du modèle. En outre, si votre organisation utilise un assistant d'IA, l'outil peut avoir un accès plus large aux données de l'organisation, et il peut ne pas avoir de garanties limitant quand, si et comment il doit utiliser ces données.
Cela peut évidemment entraîner des risques importants. Prenons l'exemple du service Azure Health Bot de Microsoft, qui "a permis des mouvements latéraux dans le réseau, et donc l'accès à des données sensibles sur les patients", d'après TechRadar. Un rapport d'avril 2024 a noté que 20% des entreprises britanniques "ont eu des données d'entreprise potentiellement sensibles exposées via l'utilisation par les employés de l'IA générative (GenAI)", par. Magazine Infosecurity. Cisco a estimé qu'un quart des entreprises ont interdit l'IA générative en raison de ces préoccupations.
Ces inquiétudes sont fondées. Les LLM ont besoin d'un large éventail de données clients pour former leurs modèles, et les utilisateurs ont été formés à faire confiance à la "boîte magique" des recherches Google et à taper sans crainte ce qu'ils recherchent. Cela peut mettre en danger les informations financières, la propriété intellectuelle, les informations confidentielles ou d'autres données sensibles.
Les entrées des utilisateurs ne sont pas les seules à présenter des risques. Si un LLM est formé sur vos données, des tiers peuvent être en mesure de l'interroger pour trouver des informations que vous préférez ne pas rendre publiques. De même, il existe un risque que l'assistant lui-même diffuse des informations sur n'importe quel canal de sortie auquel il peut communiquer.
Si votre organisation a l'intention d'installer un assistant numérique, vous devez adopter certaines bonnes pratiques pour assurer la sécurité de l'assistant et de votre équipe.
Tout d'abord, demandez à votre équipe de direction d'expliquer quels sont les risques. Expliquez les types d'informations que les utilisateurs peuvent saisir et ceux qu'ils ne peuvent pas saisir. Chez RSA, nous avons expliqué à notre équipe qu'elle peut saisir des informations destinées à la consommation publique. Toute autre information ne devrait pas faire partie d'une requête d'utilisateur.
Deuxièmement, veillez à activer les bonnes commandes. Il ne s'agit pas toujours des paramètres par défaut de l'assistant : S'ils sont mal configurés, les assistants d'intelligence artificielle peuvent avoir accès à toutes les données de l'entreprise. Assurez-vous que votre chatbot sait quelles informations il peut interroger et quelles informations il peut renvoyer. Les organisations doivent cloisonner les données de manière appropriée, afin que l'utilisateur X ne reçoive pas de réponses basées sur les fichiers de l'utilisateur Y ; sinon, vous risquez que vos employés lisent les courriels des uns et des autres et accèdent à des informations non souhaitées.
Vous devez également savoir à quoi votre système peut accéder, quand il y a accès et quand il fait des recommandations aux utilisateurs. Veillez à appliquer ces règles à tous les outils d'intelligence artificielle que vous avez déployés (il existe plusieurs versions du Copilot de Microsoft). Et ces outils doivent s'inscrire dans une posture de sécurité alignée.
Enfin, demandez à votre fournisseur ce qu'il advient de vos chercheurs, de vos données et de vos réponses. Les conserve-t-il ? Si oui, pendant combien de temps ? D'autres instances de la solution sont-elles formées sur votre modèle, ou tout cela reste-t-il confidentiel ?
J'ai surtout discuté des risques que les LLM et l'IA générative font peser sur la cybersécurité des organisations. Ces modèles d'IA ont tendance à faire les gros titres et représentent certains des plus grands risques, ne serait-ce que parce que de plus en plus d'utilisateurs saisissent des messages dans ChatGPT, Copilot, etc.
La cybersécurité peut également bénéficier de l'IA, mais votre équipe doit utiliser le bon modèle. D'une manière générale, les LLM et l'IA générative ne sont pas adaptés aux opérations de sécurité à l'heure actuelle. Ils constituent une boîte noire qui produit des résultats qu'un opérateur humain ne peut pas toujours valider, et leurs résultats ne sont pas toujours utiles.
Ces modèles sont basés sur des modèles non déterministes (j'introduis des valeurs X, je ne sais pas ce qui en sortira). Les modèles déterministes (je mets X valeurs, je sais quel sera le résultat et comment la solution arrivera à ce résultat) peuvent être extrêmement utiles pour la cybersécurité.
Nous avons utilisé RSA® Risque IA depuis des décennies pour fournir des informations en temps réel sur les demandes d'authentification. Risk AI est un modèle d'apprentissage automatique déterministe basé sur le risque qui évalue l'adresse IP et les signaux du réseau d'un utilisateur, l'analyse du comportement, la géolocalisation, les signaux temporels, les signaux des applications, les signaux liés aux appareils, etc. pour évaluer le risque. Si ces signaux et ces comportements reflètent le comportement habituel de l'utilisateur par rapport à lui-même et au reste de l'organisation, l'utilisateur est considéré comme présentant un risque faible et peut s'authentifier à l'aide de méthodes standard. Si ces comportements dévient de manière significative, le système automatise un défi d'authentification de niveau supérieur et peut le signaler à l'équipe de sécurité.
Il est important de noter que RSA Risk AI ne recueille pas d'informations sur les organisations et que nous n'utilisons pas d'informations provenant d'un déploiement donné pour former les itérations futures. Nous hachons et tokenisons toutes les données de Risk AI. Chaque instance de Risk AI est déployée pour chaque client, organisation par organisation, et ces déploiements sont affinés sur leurs données et uniquement sur leurs données.
Les meilleures pratiques techniques ou les points relatifs à l'architecture de sécurité ne doivent pas faire oublier l'essentiel : vos données sont précieuses. Il vaut la peine que les organisations investissent du temps et des ressources dans les outils, les processus et les procédures qui permettent de les sécuriser.
Si vous avez des questions sur la manière de procéder, nous sommes là pour vous aider. aider.
