1Password a récemment interrogé 200 leaders de la sécurité en Amérique du Nord et a constaté que si l’adoption de l’IA s’accélère, de nombreuses organisations ne peuvent pas gérer en toute sécurité les outils d’IA. L’enquête a révélé quatre principaux problèmes.
1. Visibilité limitée
Premièrement, seulement environ une entreprise sur cinq (21%) a déclaré avoir une visibilité complète dans laquelle les employés des outils d’IA utilisent. Large Adoption d’outils d’IA publiccomme le chatppt, rend presque impossible les organisations d’appliquer les politiques existantes ou d’éviter que les données soient exposées.
Shadow AI a été un problème croissant, mais ce à quoi je m’attendais. Chaque nouvelle technologie introduite sur le lieu de travail a connu une utilisation des voyous au cours des premières manches d’adoption. Les utilisateurs ont toujours tourné vers de nouvelles technologies – telles que le LAN sans fil, le courrier électronique, les téléphones portables, le stockage cloud et plus – pour leur faciliter la vie. L’IA suit cette tendance. Le niveau de risque est cependant plus élevé et les organisations doivent le gérer maintenant avant que les données sensibles ne soient compromises.
2. Faible application de la gouvernance de l’IA
Deuxièmement, 54% des dirigeants de la sécurité ont admis avoir faible Application de la gouvernance de l’IA. Même avec des politiques en place, 32% des dirigeants ont déclaré que jusqu’à la moitié de leurs employés continuent d’utiliser des outils d’IA non autorisés.
Ces données révèlent que le simple fait d’avoir une politique ne suffit pas; Le véritable défi réside dans sa mise en œuvre et son application efficaces. Ce manque de contrôle ouvre une entreprise à de nombreux risques, notamment les violations de données, la perte de propriété intellectuelle et la non-conformité avec des réglementations telles que le RGPD ou le HIPAA.
Lorsque les employés utilisent des outils d’IA non approuvés, les données sensibles de l’entreprise peuvent être partagées sans le savoir avec des fournisseurs tiers, ce qui la rend vulnérable à l’exposition. Les résultats soulignent le besoin critique de cadres de gouvernance complets qui ne sont pas seulement des documents écrits mais qui sont activement gérés, surveillés et appliqués pour protéger les actifs et la réputation de l’organisation dans un paysage axé sur l’IA.
3. Accès aux données sensibles
Troisièmement, 63% des dirigeants ont déclaré que leur plus grande menace de sécurité intérieure était les employés donnant involontairement l’accès des outils d’IA aux données sensibles. La menace ne provient pas d’utilisateurs qui divulguent ou abutent délibérément les informations de l’entreprise. La plupart du temps, les employés ne réalisent pas que les données partagées avec des outils d’IA publics sont utilisées pour s’entraîner Modèles de grande langue (LLMS).
Cela souligne un risque majeur, souvent négligé, sur le lieu de travail numérique d’aujourd’hui. Cette menace est particulièrement insidieuse car elle n’est pas malveillante; Il découle d’un manque de sensibilisation plutôt que des actes répréhensibles intentionnels. Les employés, souvent dans le but d’être plus productifs, peuvent utiliser des outils d’IA publics sans se rendre compte que les données qu’ils entrent – qu’il s’agisse de listes de clients, de code propriétaire ou d’informations financières confidentielles – n’est pas privé. Les outils d’IA publics utilisent souvent cette entrée pour former leur LLMS, ce qui signifie que les données sensibles de l’entreprise peuvent faire partie d’un ensemble de données accessible au public.
Cela met en évidence le besoin critique d’une approche proactive de la sécurité qui se concentre sur l’éducation et la formation, plutôt que sur la punition. La clé est de transformer la plus grande vulnérabilité d’une entreprise – ses employés – en sa plus forte ligne de défense en les équipant des connaissances pour utiliser les outils d’IA en toute sécurité et responsable.
4. Outils d’IA non gérés
Quatrièmement, plus de la moitié des dirigeants de la sécurité (56%) ont estimé qu’entre 26% et 50% des outils d’IA que leur organisation utilise n’est pas géré. Les systèmes d’identité et d’accès existants n’ont pas été conçus pour l’IA. Il est difficile d’évaluer ce que font ces outils ou qui leur a donné accès. Cela crée des risques de sécurité potentiels et des violations de la conformité.
Le problème découle du fait que les systèmes d’identité et de gestion d’accès hérités (IAM) n’étaient pas conçus pour gérer la nature unique et dynamique des outils d’IA. Contrairement aux utilisateurs humains ayant des rôles et des cycles de vie prévisibles, les outils et agents d’IA peuvent fonctionner de manière autonome, souvent avec des autorisations héritées de l’employé qui les a déployés. Cela crée une multitude de connexions et de flux de données sans surveillance, ce qui rend difficile de déterminer ce que font ces outils ou qui leur a accordé un accès. Ce manque de visibilité et de contrôle présente un risque important d’exfiltration de données, de violations de la conformité et d’accès non autorisé, car un seul outil d’IA compromis pourrait potentiellement exposer une grande quantité de données sensibles.
Meilleures pratiques
1Password a fait plusieurs recommandations sur la façon dont les organisations peuvent combler le «Gap d’accès à la confiance d’accès» créé par l’utilisation d’IA non autorisée. Il est important de documenter où l’IA fait déjà partie des flux de travail quotidiens et où les employés prévoient de l’utiliser. Les organisations doivent également mettre en œuvre des solutions de gouvernance ou de fiducie de dispositifs pour surveiller l’IA non autorisée.
Une gouvernance efficace de l’IA devrait faire partie d’un plan d’adoption d’IA plus large. Pour identifier comment l’IA est utilisé à l’échelle de l’entreprise, les chefs de sécurité devraient travailler en étroite collaboration avec d’autres départements, tels que légaux. En plus de cela, la formation des employés sur les risques d’IA peut empêcher les fuites de données potentielles.
Enfin, les organisations devraient mettre à jour la façon dont elles contrôlent l’accès aux outils d’IA. Cela signifie définir des règles claires pour quand et comment les outils d’IA peuvent se connecter aux systèmes de l’entreprise. Ils devraient garder une trace de l’accès et de l’activité pour rester en conformité avec les politiques de l’entreprise. Il peut être nécessaire d’appliquer des politiques supplémentaires pour interdire les outils d’IA publics sur le lieu de travail.
