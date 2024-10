Lecture Zen Résumer l'article

La multiplication des outils à base d’intelligence artificielle dans les bureaux a ouvert une nouvelle vulnérabilité dans le réseau des entreprises.

Votre chatbot dopé à l’IA met-il en danger votre bureau ? L’adoption de nombreux outils basés sur l’intelligence artificielle dans les entreprises et les administrations a créé de nouveaux risques pour la sécurité du réseau. Des entreprises comme Samsung interdisent aujourd’hui l’utilisation de ChatGPT en interne avec de bonnes raisons : des ingénieurs de la division semi-conducteurs avaient utilisé l’agent conversationnel en lui fournissant un code source confidentiel qu’ils voulaient améliorer. On peut aussi citer la ville de Montpellier qui a appliqué les mêmes consignes et blocages sur les postes des employés de la municipalité. La crainte serait toujours la même : les employés fournissent trop d’infos sensibles à ChatGPT.

De nombreux grands groupes ont dès lors privilégié une approche différente : développer leur propre intelligence artificielle interne, à partir des bases « entreprise » de ChatGPT ou Claude. Des données hébergées parfois localement, des employés qui optimisent l’outil interne, tout semble impeccable en théorie. Sauf que cet outil, comme d’autres, est piratable. Et le gain peut être d’autant plus intéressant une fois que le cybercriminel aura dérobé un accès à ce programme offert à tous les salariés.

Concrètement, quels sont les risques ? « Si un pirate a accès au compte professionnel d’un chatbot populaire, il pourra retrouver des documents sensibles transférés à celui-ci ou encore l’historique des discussions », nous explique Adrien Merveille, expert en cybersécurité chez Check Point. « Un programme développé en interne n’est pas à l’abri non plus. Le cybercriminel peut tenter un code poisoning (un empoisonnement de code) afin de modifier les résultats produits par une IA et causer un tort à l’entreprise » ajoute le spécialiste. Une société qui analyserait des images de caméra pourrait par exemple être trompée dans les analyses fournies par son programme.

Des modules pour bloquer les requêtes vers ChatGPT

Des solutions commencent à émerger pour sécuriser ces nouveaux outils internes. L’entreprise Check Point propose aujourd’hui des modules sur les moteurs de recherche pour bloquer les requêtes d’un employé sur ChatGPT dès lors qu’il divulgue des infos privées.

Si vous demandez une synthèse à partir des résultats des différentes branches de l’entreprise, celle-ci sera bloquée puisqu’elle contient des informations considérées comme sensible.

Un exemple de requête bloquée où l’employerait fournirait des infos financières au chatbot. // Source : Check Point

L’ANSSI, la sentinelle chargée de la protection numérique de l’administration française, s’est également penchée sur le sujet et a fourni au printemps dernier un livret en ligne pour sécuriser l’utilisation de l’IA en entreprise.

« L’erreur la plus primaire est de croire que l’intelligence artificielle est un sujet à part, au point d’oublier que les règles de sécurité ne s’appliquent pas à son utilisation » avertit Vincent Strubel, directeur général de l’ANSSI. « On constate quelques erreurs de pratiques, des IA qui se rafraichissent d’elle-même en ligne, qui ne sont pas surveillées… avant de laisser le programme prendre une décision, on recommande de bien la maîtriser » nous explique-t-il.

Vincent Strubel, directeur général de l’ANSSI. // Source : Patrick Gaillardin

Pour avancer l’ANSSI réfléchirait à des labels pour utiliser des programmes d’intelligence artificielle sécurisée. Ces certifications nationales existent déjà pour les solutions de cybersécurité, reste encore à trouver les critères pour une IA sûre.

En attendant, vous pouvez toujours demander à ChatGPT de ne pas garder l’historique des discussions pour éviter de nourrir son IA.

