Sécuriser la révolution de l'IA
Allez, lançons-nous : nous allons parler de l'explosion des outils utilisant l'intelligence artificielle (IA) et de l'approche que nous vous recommandons d'adopter à leur égard, du point de vue de la cybersécurité au sein de votre entreprise.
Au cours de l'année passée, des outils basés sur l'IA tels que Midjourney, Stable Diffusion, Dall-E, ChatGPT, Jasper, LLaMa, Rewind et d'autres ont évolué du statut d'applications de niche vers celui de courant dominant, puis vers celui de panpsychisme à part entière. Comme moi, vous avez probablement été émerveillé par les scénarios d'utilisation imaginatifs aux fins de la recherche, de la créativité et de la productivité. Et si vous avez vous-même utilisé l'un de ces outils, vous savez qu'il est hypnotique de les voir interpréter des invites de commande, générer des réponses et, avec quelques actions de l'utilisateur seulement, affiner et approfondir les résultats qu'ils offrent.
La rapidité et la facilité d'utilisation de ces outils, quel que soit le niveau des utilisateurs, constituent une véritable avancée. À titre personnel, j'ai trouvé que les résultats des grands modèles de langage étaient moins convaincants que ceux de leurs homologues visuels ; dans l'ensemble, toutefois, le processus interactif et « génératif » est remarquable. Comparés aux ressources ouvertes existantes telles que Google, StackOverflow et Wikipedia, les outils basés sur l'IA générative représentent un incroyable bond en avant, puisqu'ils fournissent des résultats fondés sur l'utilisation, qui se développent à partir d'interactions, au lieu de simplement fournir des informations générales. Grâce à la rapidité et la flexibilité exceptionnelles qu'offrent ces outils, leur interactivité surpasse les méthodes traditionnelles de recherche, d'extraction et de synthèse, mettant ainsi l'information au premier plan.
Prenons l'exemple de l'image ci-dessous, que j'ai « imaginée » avec Midjourney : « Une fresque murale d'une ancienne civilisation, dont les hiéroglyphes semblent représenter une civilisation utilisant un ordinateur et l'intelligence artificielle, éclairée par un feu ».
Source de l'image : générée par l'IA Midjourney, imaginée par moi
Nos organisations collectives offrent d'incroyables possibilités d'utilisation des outils basés sur l'IA. Nous pouvons utiliser ces outils pour générer du code informatique, rédiger des documentations destinées aux utilisateurs et des contenus destinés aux consommateurs, alléger le fardeau du service à la clientèle ou produire des bases de connaissances plus utiles pour l'intégration des nouveaux employés et le partage des connaissances au sein des organisations. Ces scénarios d'utilisation, et d'autres également, pourraient, à terme, générer des milliards de dollars en termes de valeur commerciale et opérationnelle.
Pour m'amuser, j'ai demandé à ChatGPT de « rédiger une politique d'entreprise avec des checklists destinées au responsable de la sécurité des informations, afin de valider les risques de sécurité actuels liés à l'utilisation des outils basés sur l'IA, et fournir un résumé, figurant sur une page de garde, à l'intention du conseil d'administration et à l'équipe de direction de l'entreprise ». Voici la réponse que j'ai reçue.
Si vous êtes comme moi, vous êtes probablement préoccupé par les problématiques juridiques et de sécurité évidentes que comportent ces outils, en plus de leur formidable potentiel. En tant que dirigeants, nous devrions nous poser cette question : « Suis-je en phase avec l'ensemble de mon entreprise au regard des risques et opportunités potentiels que comportent les technologies d'IA ? » – et, dans l'affirmative : « Comment puis-je m'assurer que notre utilisation de ces outils n'entraîne pas de dommages graves ? »
Lorsque j'échange avec mes pairs dans le domaine de la cybersécurité, je constate que ceux qui bloquent carrément l'accès à ces technologies et ceux qui encouragent leur adoption forment deux groupes de taille égale. J'ai déjà été témoin du scénario dans lequel le blocage pur et simple des contournements est utilisé pour remédier à un risque pour la sécurité. Le résultat, pour les responsables de la sécurité, est qu'ils se trouvent en décalage avec leur entreprise et leurs collègues, qui trouvent invariablement des moyens de contourner nos restrictions. L'heure est donc venue de regarder cette divergence en face, de cesser d'être réfractaires au progrès et, au lieu de cela, de nous confronter à la réalité : le personnel au sein de nos entreprises utilise déjà ces outils, et nos politiques doivent nous permettre d'autoriser leur utilisation d'une manière qui réduise les risques potentiels.
Par où devrions-nous commencer ? L'établissement de quelques lignes directrices essentielles pour nos entreprises peut contribuer à réduire les risques, sans toutefois étouffer le potentiel qu'offrent les outils utilisant l'IA.
1. Tenez la propriété intellectuelle à l'écart des systèmes ouverts. Cela peut sembler être une évidence, mais nous ne devons en aucun cas fournir des informations fortement réglementées, des données contrôlées ou du code source à un modèle d'IA ouvert ou échappant à notre contrôle. De même, nous devons éviter de saisir des données concernant les clients, des informations sur les collaborateurs ou d'autres données privées dans les outils basés sur une IA ouverte. Malheureusement, toutefois, nous observons tous les jours des exemples de telles actions. (Souvenez-vous, par exemple, de l'incident lié à la fuite de code chez Samsung.) Le problème est que la plupart des outils d'IA générative ne garantissent pas la confidentialité de ces informations. À vrai dire, ils indiquent même explicitement que les données saisies seront utilisées pour réaliser des recherches, dans le but d'améliorer les résultats futurs. Par conséquent, les entreprises doivent tout au moins mettre à jour leurs politiques de confidentialité et former leurs collaborateurs afin de s'assurer que les informations sensibles qu'elles détiennent seront tenues à l'écart de ces outils utilisant l'IA.
2. Garantir la véracité afin d'éviter l'imputabilité. Si vous avez déjà interagi avec un outil basé sur l'intelligence artificielle, peut-être avez-vous remarqué que les réponses aux questions sont souvent présentées sans contexte. Vous découvrirez peut-être également que ces réponses fournies ne sont pas toujours exactes,et que certaines peuvent ne pas être fondées sur des informations actuelles. À titre d'exemple, ChatGPT, utilise les informations collectées jusqu'en septembre 2021.
Source de l'image : ChatGPT
Bien sûr, nous savons tous que l'actuel Premier ministre est Rishi Sunak et que Liz Truss était la successeur de Boris Johnson. Cette réponse et cette limitation actuelle ne diminuent en rien la puissance de ces outils, mais elles nous aident à mieux comprendre les risques qu'ils comportent actuellement, comme le démontre cet exemple, dans lequel des avocats ayant utilisé des contenus générés par l'IA dans des dossiers judiciaires ont découvert que ces contenus faisaient référence à des affaires complètement fictives.
3. Préparez-vous à « l'IA offensive ». Comme c'est le cas pour de nombreuses nouvelles technologies, les cyberacteurs malveillants n'ont guère tardé à exploiter les outils d'IA à des fins criminelles. Comment les pirates informatiques utilisent-ils l'IA à des fins malveillantes ? Ils peuvent obtenir une image de vous ou un enregistrement de votre voix sur Internet, puis créer un « deepfake » à l'aide d'outils utilisant l'IA. Ils peuvent ensuite utiliser cette fausse version de vous pour détourner des fonds de l'entreprise ou lancer des attaques par phishing (hameçonnage) contre vos collègues, en leur laissant des messages vocaux frauduleux dans lesquels ils leur demandent leurs identifiants de connexion. Les outils basés sur l'IA peuvent également être utilisés pour générer du code malveillant, capable d'apprendre rapidement et d'améliorer sa capacité à atteindre ses objectifs.
La lutte contre l'utilisation malveillante de l'IA pourrait nécessiter le recours à... l'IA. Les outils de sécurité intégrant des fonctionnalités d'IA et d'apprentissage automatique (ou Machine Learning, ML) peuvent constituer des défenses efficaces contre la vitesse et l'intelligence des attaques utilisant « l'IA offensive ». Des fonctionnalités de sécurité supplémentaires peuvent aider les organisations à surveiller l'utilisation des outils basés sur l'IA, à restreindre l'accès à des outils particuliers ou à limiter la possibilité de transférer des informations sensibles vers ces outils.
Alors, comment vous prémunir contre les risques que peuvent présenter les outils basés sur l'IA ? La première étape consiste à admettre que l'IA est déjà parmi nous – et qu'elle est durablement installée. Les outils actuellement disponibles utilisant l'IA générative dévoilent l'immense potentiel qu'offre l'IA pour aider les entreprises à améliorer l'efficacité, accroître la productivité et même dynamiser la créativité. Néanmoins, en tant que responsables de la cybersécurité, nous devons être conscients des problèmes de sécurité potentiels que peuvent présenter ces outils. En mettant en œuvre des directives pertinentes, en renforçant la formation interne et, dans certains cas, en déployant de nouvelles solutions de sécurité, vous pouvez réduire le risque de voir ces outils basés sur l'IA, potentiellement puissants, devenir une source d'imputabilité.
Cloudflare a adopté une approche Zero Trust pour faciliter et sécuriser l'adoption de l'IA au sein de son réseau et de son personnel. Découvrez comment Cloudflare équipe les entreprises pour leur permettre d'en faire autant.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Auteur
Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Points clés
Cet article vous permettra de comprendre les points suivants :
Comment les outils d'IA présentent de nouveaux défis en matière de sécurité organisationnelle.
La place de votre organisation dans la révolution de l'IA
3 façons de réduire les risques liés aux outils utilisant l'IA, sans étouffer leur potentiel