Netskope, spcialiste sur le march du SASE (Secure Access Service Edge), dvoile les conclusions dune nouvelle tude selon laquelle pour 10 000 utilisateurs, les entreprises subissent chaque mois environ 183 incidents de partage de donnes sensibles avec lapplication ChatGPT. Le code source reprsente la part la plus importante des donnes sensibles compromises.
Parmi les rsultats cls :
Lusage croissant des applications dIA :
- Au moins 10 000 collaborateurs emploient en moyenne cinq IA applicatives par jour, ChatGPT comptant elle seule plus de huit fois plus dutilisateurs quotidiens actifs que toute autre application
- Des donnes sensibles sont partages avec des applications dIA gnrative chaque heure dans une journe de travail dans les grandes entreprises
- Google Bard est lapplication dIA qui a enregistr la croissance la plus soutenue, avec une hausse hebdomadaire du nombre dutilisateurs de 7,1 %, contre 1,6 % pour ChatGPT
Les utilisateurs alimentent ChatGPT en donnes sensibles :
- Les codes source sont publis dans ChatGPT, plus que tout autre type de donnes sensibles, avec un taux mensuel de 158 incidents pour 10 000 utilisateurs
- Des donnes confidentielles sont partages sur ChatGPT : figurent des donnes rglementes, notamment financires, ou mdicales, et des informations personnellement identifiables
Laccs ChatGPT : dans des secteurs fortement rglements tels que les services financiers et la sant, prs dune entreprise sur cinq interdit purement et simplement ses employs dutiliser ChatGPT, contre seulement une sur vingt dans le secteur technologique.
La conversation autour de l’IA est souvent centre sur des questions existentielles, telles que les opportunits et les menaces potentielles que l’IA peut apporter l’humanit. Pourtant, les organisations du monde entier et leurs dirigeants sont confronts une proccupation plus immdiate : comment utiliser les applications d’IA en toute scurit ?
Les organisations s’efforcent d’exploiter les applications d’IA pour amliorer leurs oprations et l’exprience de leurs clients, ainsi que pour faciliter la prise de dcisions fondes sur des donnes. L’essentiel est d’y parvenir tout en garantissant la sret et la scurit. Cependant, le principal obstacle la scurit rside dans la manire dont certains utilisateurs peuvent employer ces applications.
Par exemple, ChatGPT peut tre utilis pour examiner le code source la recherche de failles de scurit ou pour aider diter du contenu crit. ChatGPT a t utilis pour diter ce rsum. Invitablement, certaines personnes tlchargeront un code source propritaire ou un texte contenant des donnes rglementes ou de la proprit intellectuelle. Le dfi consiste dcourager ce type de comportement sans entraver la productivit de l’ensemble de l’organisation. Un blocage pur et simple des applications d’IA pourrait rsoudre ce problme, mais cela se ferait au dtriment des avantages potentiels offerts par les applications d’IA.
Alors que le battage mdiatique autour des possibilits de l’IA se poursuit, il est vident que ChatGPT et d’autres applications d’IA sont en passe de devenir des piliers de l’entreprise. Parmi les clients de Netskope, leur popularit crot de manire exponentielle et devrait doubler au cours des sept prochains mois s’ils continuent crotre au rythme actuel. Ce rapport se penche sur l’importance croissante des applications d’IA dans les entreprises, dcrit les risques associs, notamment les fuites de donnes et l’activit potentielle des attaquants, et propose des stratgies pour intgrer en toute scurit ChatGPT et d’autres outils d’IA dans l’environnement de l’entreprise.
Les applications d’IA gagnent en popularit
Le nombre d’utilisateurs accdant des applications d’IA dans l’entreprise augmente de faon exponentielle. Au cours des deux derniers mois, le pourcentage d’utilisateurs d’entreprise accdant au moins une application d’IA chaque jour a augment de 2,4 % par semaine, soit une augmentation totale de 22,5 % sur cette priode. Au rythme actuel de croissance, le nombre d’utilisateurs accdant des applications d’IA doublera au cours des sept prochains mois. Au cours de la mme priode, le nombre d’applications d’IA utilises dans les entreprises est rest stable, les organisations comptant plus de 1 000 utilisateurs utilisant en moyenne 3 applications d’IA diffrentes par jour, et les organisations comptant plus de 10 000 utilisateurs utilisant en moyenne 5 applications d’IA par jour. la fin du mois de juin, 1 utilisateur d’entreprise sur 100 interagissait avec une application d’IA chaque jour.
L’application d’IA d’entreprise la plus populaire est de loin ChatGPT, avec plus de 8 fois plus d’utilisateurs actifs quotidiens que n’importe quelle autre application d’IA. ChatGPT a fait l’objet d’un grand battage mdiatique au cours des six derniers mois et est galement trs polyvalente, ce qui a probablement contribu sa popularit. L’application la plus populaire est Grammarly, qui se concentre exclusivement sur l’aide la rdaction. Bard, le chatbot de Google, arrive juste aprs Grammarly. Toutes les autres applications d’IA combines (dont nous suivons plus de 60, y compris Jasper, Chatbase et Copy.ai) sont moins populaires que Google Bard.
Au cours des deux derniers mois, l’application d’IA qui a connu la croissance la plus rapide dans les entreprises est Google Bard. Bien qu’elle soit encore loin de ChatGPT en termes de popularit, Google Bard compte actuellement 7,1 % d’utilisateurs supplmentaires par semaine, contre 1,6 % pour ChatGPT. ce rythme, Google Bard devrait rattraper ChatGPT dans un peu plus d’un an. Toutefois, l’espace des applications d’IA tant trs dynamique, nous nous attendons ce que de nombreux autres changements interviennent au cours de cette priode, ce qui perturbera les taux de croissance actuels.
Netskope Threat Labs suit la popularit des applications d’IA dans les environnements d’entreprise, plutt que la popularit globale des applications parmi les consommateurs. Par exemple, alors que la popularit de ChatGPT a grimp en flche parmi les consommateurs avant de se calmer en juin, son adoption dans les entreprises a t plus mesure et continue d’augmenter de faon exponentielle. Le reste de ce rapport met en vidence certaines des raisons de cette augmentation mesure, notamment les risques de fuite de donnes et les contrles relatifs son utilisation.
Risques lis l’IA – Donnes sensibles
Ce segment se concentre sur ChatGPT, l’application d’IA la plus rpandue dans les entreprises. Un utilisateur moyen de ChatGPT interagit avec l’application en envoyant 6 messages par jour. Le niveau d’activit varie en fonction de l’utilisateur, les 10 % d’utilisateurs les plus performants affichant 22 messages et les 1 % les plus performants affichant 68 messages par jour. Pour 10 000 utilisateurs, une organisation peut s’attendre recevoir environ 660 messages quotidiens sur ChatGPT. Mais la vritable question rside dans le contenu de ces messages : S’agit-il de requtes inoffensives ou rvlent-elles par inadvertance des donnes sensibles ?
Une tude de Netskope a rvl que le code source tait le type de donnes sensibles le plus frquemment expos, avec 22 utilisateurs d’entreprise sur 10 000 publiant du code source sur ChatGPT par mois. Au total, ces 22 utilisateurs sont responsables d’une moyenne de 158 messages contenant du code source par mois. Cette tendance n’est pas totalement inattendue, compte tenu de la capacit de ChatGPT examiner et expliquer le code et reprer les bogues et les failles de scurit. Bien que ces services soient bnfiques, le partage de code source confidentiel avec ChatGPT prsente des risques, notamment des violations potentielles de donnes, la divulgation accidentelle de donnes et des risques juridiques et rglementaires.
Par rapport au code source, les messages contenant d’autres formes de donnes sensibles sont relativement moins frquents. Pour 10 000 utilisateurs d’entreprise, on dnombre gnralement 18 incidents de partage de donnes rglementes (comprenant les donnes financires, les informations sur les soins de sant et les informations personnelles identifiables) sur une base mensuelle. La proprit intellectuelle ( l’exclusion du code source) est encore plus rare, avec une moyenne de 4 incidents par mois pour 10 000 utilisateurs. Il est intressant de noter que les mots de passe et les cls figurent galement parmi les types de donnes sensibles partages, gnralement intgres dans le code source. Malgr sa relative raret (environ 4 incidents pour 10 000 utilisateurs par mois), cette pratique rappelle aux ingnieurs en informatique les risques lis l’intgration de secrets dans le code source.
Attaquants opportunistes
Avec tout le battage mdiatique autour de ChatGPT et des applications d’IA en gnral, il n’est pas surprenant que des escrocs, des cybercriminels et d’autres attaquants tentent d’exploiter le battage mdiatique pour obtenir des gains illicites. Il s’agit d’une pratique courante chez les attaquants. Par exemple, le Netskope Threat Labs Cloud and Threat Report du printemps 2023 a mis en vidence des attaquants tentant de tirer parti de la guerre russo-ukrainienne, du tremblement de terre en Turquie et en Syrie, et de l’effondrement de la Silicon Valley Bank. Le battage mdiatique et la popularit de ChatGPT attirent l’attention des attaquants et des escrocs en raison du grand nombre de cibles et du potentiel de profit, combins la comptence varie des utilisateurs de la plateforme.
Au cours du premier semestre 2023, Netskope Threat Labs a suivi de nombreuses campagnes de phishing, de distribution de logiciels malveillants, de spam et de sites Web frauduleux cherchant tirer parti de l’engouement pour le ChatGPT. Netskope Threat Labs a mme repr plusieurs proxys ChatGPT, des sites qui semblent offrir l’avantage d’un accs gratuit et non authentifi au chatbot, mais au prix de la rvlation de toutes vos invites et rponses l’oprateur du proxy.
Au total, Netskope Threat Labs suit actuellement plus de 1 000 URL et domaines malveillants cherchant tirer parti de l’engouement pour le ChatGPT et l’IA. Ce chiffre rappelle lui seul l’importance d’une approche multicouche pour protger les utilisateurs contre les attaquants qui tentent de tirer parti de l’engouement et de la popularit qui entourent tout vnement ou toute tendance importante. Une telle approche devrait inclure le filtrage des domaines, le filtrage des URL et l’inspection du contenu afin de se protger contre les attaques connues et inconnues.
Contrles par l’entreprise
Alors qu’au dbut de la popularit du ChatGPT, les entreprises avaient l’habitude de bloquer compltement le chatbot, elles ont depuis accept le fait que le ChatGPT et d’autres applications d’IA peuvent offrir des avantages l’organisation, notamment l’amlioration des oprations, l’amlioration de l’exprience client et la facilitation de la prise de dcision base sur les donnes. Au lieu de bloquer le ChatGPT, les organisations ont opt pour un modle plus permissif qui comprend gnralement une combinaison de DLP et de coaching des utilisateurs. La DLP peut tre utilise pour identifier les donnes potentiellement sensibles publies dans les applications d’IA, y compris ChatGPT, et le coaching des utilisateurs peut laisser l’utilisateur la dcision finale de poursuivre ou non avec une invite.
Les contrles spcifiques autour de ChatGPT varient selon les secteurs d’activit. Dans l’ensemble, les entreprises des secteurs des services financiers, de la sant et de la technologie ont t les premires mettre en place des contrles sur le ChatGPT. Cependant, l’approche adopte par chaque secteur varie considrablement. Dans les services financiers et les soins de sant, deux secteurs trs rglements, prs d’une organisation sur cinq a mis en place une interdiction gnrale. Aucun utilisateur n’est autoris utiliser ChatGPT. Dans le secteur technologique, seule une organisation sur 20 a mis en place une interdiction gnrale.
Au lieu de cela, 1 organisation sur 4 utilise des contrles DLP pour dtecter des types spcifiques d’informations sensibles (en particulier le code source) publies sur ChatGPT. En outre, 1 organisation technologique sur 5 met en uvre un coaching en temps rel des utilisateurs pour leur rappeler la politique de l’entreprise et les risques lis ChatGPT et d’autres applications d’IA. En fin de compte, il est probable que de plus en plus d’organisations adoptent des contrles DLP et un coaching des utilisateurs en temps rel pour permettre l’utilisation d’applications d’IA comme ChatGPT tout en se protgeant contre l’exposition indsirable de donnes.
Recommandations
- Permettre en toute scurit l’adoption d’applications d’IA dans l’entreprise est un dfi multiples facettes. Il s’agit d’identifier les apps autorises et de mettre en place des contrles qui permettent aux utilisateurs de les exploiter au maximum de leur potentiel tout en protgeant l’organisation contre les risques. Cette section comprend des recommandations techniques gnrales pour les organisations visant activer les apps d’IA en toute scurit.
- Examiner rgulirement l’activit, les tendances, les comportements et la sensibilit des donnes des apps d’IA, afin d’identifier les risques pour l’organisation.
- Bloquer l’accs aux apps qui ne servent aucun objectif professionnel lgitime ou qui prsentent un risque disproportionn. Un bon point de dpart consiste autoriser les applications rputes actuellement utilises et bloquer toutes les autres.
- Utiliser des politiques DLP pour dtecter les messages contenant des informations potentiellement sensibles, notamment le code source, les donnes rglementes, les mots de passe et les cls, ainsi que la proprit intellectuelle.
- Employer un coaching utilisateur en temps rel (combin au DLP) pour rappeler aux utilisateurs la politique de l’entreprise entourant l’utilisation des apps d’IA au moment de l’interaction.
- Bloquer les attaquants opportunistes qui tentent de tirer parti de la popularit croissante des apps d’IA en bloquant les domaines et URL malveillants connus, et en inspectant tous les contenus HTTP et HTTPS.
- Utiliser la technologie d’isolation des navigateurs distance (RBI) pour fournir une protection supplmentaire lorsqu’il est ncessaire de visiter des sites web dans des catgories qui peuvent prsenter un risque plus lev, comme les domaines nouvellement observs et nouvellement enregistrs.
- Veiller ce que toutes les dfenses de scurit partagent des informations et collaborent pour rationaliser les oprations de scurit. Les clients de Netskope peuvent utiliser Cloud Exchange pour partager des IOC, importer des renseignements sur les menaces, exporter des journaux d’vnements, automatiser des flux de travail et changer des scores de risque.
Source : Netskope
Et vous ?
Trouvez-vous ce rapport pertinent ou crdible ?
Qu’en est-il au sein de votre organisation ?
Votre entreprise est-elle suffisamment protge face aux risques lis ChatGPT et autres applications dIA gnrative ?
Voir aussi :