Les employés utilisent secrètement ChatGPT, ce qui pose des risques pour les entreprises.

L'utilisation non contrôlée de l'IA générative, une bombe à retardement pour les sociétés

Les employés utilisent l'IA générative pour faciliter leur travail, sans l’autorisation ou la supervision du service informatique. Ils peuvent ainsi gagner du temps, augmenter leur productivité, innover ou améliorer leur expérience client. Cependant, l’adoption non contrôlée de l’IA générative devient progressivement un défi pour les responsables de la sécurité de l’information qui doivent aborder l’IA générative avec prudence et se préparer avec les mesures de cyberdéfense nécessaires. Étant donné que toutes les entreprises ne disposent pas de leur propre GPT, elles doivent surveiller la façon dont les employés se servent de cette technologie.

L’investissement croissant des grandes entreprises technologiques dans l’intelligence artificielle et les chatbots, dans un contexte de licenciements massifs et un déclin de la croissance de leurs activités, a plongé de nombreux responsables de la sécurité de l’information dans la tourmente.

De ChatGPT d'OpenAI à Bard de Google, sans oublier le Bing nouvelle génération ou le projet d'Elon Musk pour créer son propre chatbot, l'IA générative fait plus que parler d'elle dans les journaux : elle s'infiltre dans le lieu de travail. Les actualités faisant état de l'utilisation de ChatGPT en entreprise ne manquent pas.

Nous pouvons citer le cas d'Amazon où ChatGPT a été utilisé comme une sorte « d'assistant de codage » pour aider les techniciens à écrire ou à améliorer des blocs de code interne existant. La situation a été découverte assez simplement : des extraits de texte générés par ChatGPT ressemblaient beaucoup à ses secrets d'entreprise, raison pour laquelle l'entreprise a tenté d'empêcher ses employés de divulguer quoi que ce soit d'autre à l'algorithme.

Face à cette situation, les responsables de la sécurité de l’information doivent aborder cette technologie avec prudence et se préparer avec les mesures de sécurité nécessaires.

Toutes les entreprises ne disposent pas de leur propre GPT

L’IA générative est une technologie qui permet de produire du texte, des images, des sons ou des vidéos à partir de données existantes ou de zéro. Elle repose sur des modèles linguistiques volumineux (MLV), ou des algorithmes qui apprennent à partir de vastes corpus de données et qui peuvent générer des conversations humaines à partir d’un chatbot. C'est cette technologie sur laquelle s'appuie GPT, mais toutes les entreprises n'ont pas leur propre version de GPT, et doivent donc surveiller la façon dont les travailleurs utilisent cette technologie.

Les gens vont utiliser l'IA générative s'ils la trouvent utile pour faire leur travail, a estimé Michael Chui, partenaire du McKinsey Global Institute, en la comparant à la façon dont les travailleurs utilisent les ordinateurs personnels ou les téléphones. « Même lorsqu'il n'est pas sanctionné ou béni par le service informatique, les gens trouvent [les chatbots] utiles », a déclaré Chui.

« Tout au long de l'histoire, nous avons trouvé des technologies si convaincantes que les individus sont prêts à payer pour cela », a-t-il déclaré. « Les gens achetaient des téléphones portables bien avant que les entreprises ne disent: "Je vais vous le fournir". Les PC étaient similaires, nous voyons donc l'équivalent maintenant avec l'IA générative ».

En conséquence, il y a un « rattrapage » pour les entreprises quant à la manière dont elles vont aborder les mesures de sécurité, a ajouté Chui.

Qu'il s'agisse de pratiques commerciales standard telles que la surveillance des informations partagées sur une plate-forme d'IA ou l'intégration d'un GPT sanctionné par l'entreprise sur le lieu de travail, les experts pensent qu'il existe certains domaines dans lesquels les RSSI (responsables de la sécurité de l'information) et les entreprises devraient commencer.


Commencez par les bases de la sécurité de l'information

Alors que l'IA et le GPT s'installent sur le lieu de travail, les RSSI peuvent commencer par les bases de la sécurité.

Chui a déclaré que les entreprises peuvent autoriser l'utilisation d'une plate-forme d'IA existante, afin qu'elles puissent surveiller ce que les employés disent à un chatbot et s'assurer que les informations partagées sont protégées.

« Si vous êtes une entreprise, vous ne voulez pas que vos employés formulent des requêtes avec des informations confidentielles sur un chatbot accessible au public », a déclaré Chui. « Ainsi, vous pouvez mettre en place des moyens techniques, où vous pouvez obtenir une licence pour le logiciel et avoir un accord juridique exécutoire sur l'endroit où vos données vont ou ne vont pas ».

L'utilisation de logiciels sous licence s'accompagne de freins et contrepoids supplémentaires, a déclaré Chui. La protection des informations confidentielles, la réglementation de l'endroit où les informations sont stockées et les directives sur la manière dont les employés peuvent utiliser le logiciel sont toutes des procédures standard lorsque les entreprises octroient une licence à un logiciel, IA ou non.

« Si vous avez un accord, vous pouvez auditer le logiciel, afin de voir s'il protège les données de la manière dont vous souhaitez qu'elles soient protégées », a déclaré Chui.

La plupart des entreprises qui stockent des informations avec des logiciels basés sur le cloud le font déjà, a rappelé Chui, donc aller de l'avant et offrir aux employés une plate-forme d'IA approuvée par l'entreprise signifie qu'une entreprise est déjà en ligne avec les pratiques existantes de l'industrie.

Le Congrès américain, cas pratique d'utilisation des licences

En parlant de licences, le service numérique de la Chambre des représentants des États-Unis (House Digital Services) a obtenu 40 licences pour ChatGPT Plus.

L'achat des licences intervient dans le contexte d'un débat généralisé sur la manière dont la technologie de l'intelligence artificielle devrait être utilisée et réglementée dans le secteur privé et au sein du gouvernement. Cela représente l'un des premiers exemples d'utilisation de ChatGPT dans le cadre du processus d'élaboration des politiques.

Les 40 licences ont été attribuées selon le principe du premier arrivé, premier servi, et la House Digital Services paiera le plan d'abonnement de 20 $/mois par bureau pour une durée indéterminée, selon le responsable. Les détails sur les bureaux du Congrès qui ont reçu les licences ChatGPT Plus resteront anonymes pour le moment.

« Souvent, les membres expérimentent des choses, de nouveaux outils, à leur manière et nous voulons simplement être au courant de cela. Nous voulons aider à faciliter cette expérimentation », a déclaré le responsable. Et d'ajouter : « il y a tellement de cas d'utilisation différents pour ChatGPT, mais ce que nous avons entendu est en tête de liste pour les bureaux du Congrès, c'est la création et la synthèse de contenu ».

Le chatbot ne pourra pas fonctionner sur le serveur interne de la Chambre des représentants, qui dispose d'un pare-feu qui le bloquera. Il a également été conseillé au personnel de ne pas utiliser l'outil pour exécuter des requêtes à l'aide de données du Congrès ou d'autres informations internes sensibles. De plus, l'outil OpenAI ne peut pas être utilisé pour télécharger du code sur des appareils du Congrès, mais peut être utilisé dans...