ChatGPT, Gemini et Copilot une menace pour la cybersécurité des organisations ?
Retour d'expérience sur l'usage de ChatGPT en entreprise
Premiers incidents en matière de cybersécurité
Nous avons récemment rencontré nos premiers incidents en matière de cybersécurité liés à une IA générative. La problématique n’est pas tant liée à l’outil en lui-même, mais à la facilitation de l’accès à des données sensibles.
L’un des incidents s’inscrit dans le cadre d’une augmentation des effectifs, ce qui a posé problème à une personne syndiquée. En utilisant Copilot, cette personne a découvert que les augmentations de salaire différaient selon le lieu d’emploi, révélant une inégalité de rémunération entre hommes et femmes. Dans notre contexte, le problème n’est pas tant les augmentations de salaire, mais l’accès à des documents qui n’auraient dû être consultables que par un nombre limité de personnes.
Il s’est avéré que des documents mal catégorisés ou marqués comme “publics” dans l’entreprise étaient facilement accessibles grâce aux requêtes de l’IA générative intégrée aux outils de gestion documentaire.
Cet incident nous a amenés à réfléchir sur l’évolution de l’usage de tels outils.
Une explosion de son usage personnel et professionnel
Durant les derniers mois, l'intégration de ChatGPT dans la sphère personnelle de nombreuses personnes, y compris en France, a connu une croissance spectaculaire. Un exemple marquant : lors d'un goûter organisé par un père, peu familier avec les technologies informatiques, qui avait invité mes enfants. Il a utilisé ChatGPT pour obtenir des idées innovantes afin de planifier et rythmer les activités destinées aux enfants présents. Sa démarche, alliant curiosité et utilisation pratique de l'intelligence artificielle, m'a à la fois impressionné et surpris.
Dans le secteur professionnel également, l'usage de ChatGPT a explosé. Il est devenu rare de trouver une entreprise où une partie des employés ne recourt pas quotidiennement à cet outil pour diverses tâches comme la rédaction de bulletins de veille, la génération d'idées créatives ou la traduction de documents en anglais. Ces outils d'intelligence artificielle sont désormais omniprésents dans nos routines professionnelles, transformant nos méthodes de travail.
Plus encore, j'ai observé de nombreux impacts positifs découlant de l'utilisation de ChatGPT, notamment une accélération notable dans l'adoption de processus de veille et la création de documentations techniques auparavant inexistantes. Je pense particulièrement à la mise en place de procédures informatiques et de plans de continuité d'activité (PCA). Certaines entreprises, autrefois réticentes, ont commencé à développer sérieusement ces outils, encouragées par leur assistant virtuel basé sur l'intelligence artificielle. L'adoption de ces technologies permet non seulement d'améliorer l'efficacité opérationnelle, mais aussi de renforcer la sécurité et la résilience des systèmes informatiques.
Le début du drame
Le partage et la gestion des informations liées à l'entreprise et à ses clients peuvent inclure diverses tâches, parmi lesquelles :
La traduction en français d'appels d'offre provenant d'acteurs majeurs du secteur bancaire, afin de faciliter leur compréhension et leur traitement par les équipes locales.
La consultation de documents professionnels en anglais, nécessitant une expertise spécifique dans un contexte international, afin de garantir une interprétation précise et conforme aux normes globales.
La création de synthèses concises pour des argumentaires commerciaux, permettant une communication efficace et ciblée lors des réunions de vente et des présentations aux clients.
La reformulation et l'optimisation de comptes rendus d'activités, pour assurer la clarté et la pertinence des informations transmises aux parties prenantes.
Cependant, ces pratiques soulèvent d'importantes préoccupations en matière de confidentialité et de cybersécurité. En effet, la majorité de ces échanges d'informations s'opère via des comptes personnels. Dans ce contexte, ni l'entreprise ni ses clients n'ont souvent formalisé des Accords de Traitement de Données (DPA) qui encadreraient spécifiquement ces usages, laissant ainsi des failles de sécurité potentielles.
Le niveau de risque atteint son paroxysme lorsque les systèmes permettent le téléchargement de documents sensibles. Ce mécanisme peut involontairement ouvrir la porte à des fuites d'informations critiques. Voici quelques exemples des types de documents que j'ai pu observer en cours de partage :
Téléchargement de bilans financiers, qui peuvent contenir des données détaillées sur la santé financière de l'entreprise.
Téléchargement de documentations techniques très détaillées, comprenant des informations potentiellement brevetables ou des secrets de fabrication.
Téléchargement de présentations internes confidentielles, qui devraient normalement rester strictement au sein de l'entreprise.
Listes de collaborateurs, incluant des informations personnelles sensibles, telles que les coordonnées ou les identifiants.
Rapports de tests de pénétration (pentests), qui révèlent les vulnérabilités de la sécurité informatique de l'entreprise.
Ces pratiques, si elles ne sont pas correctement gérées et sécurisées, peuvent exposer l'entreprise à des risques significatifs, affectant sa réputation, sa conformité réglementaire et sa sécurité globale.
Une sécurisation qui amène de nouveaux problèmes
Au cours des derniers mois, j'ai observé que de nombreuses entreprises ont pris conscience des risques liés à l'utilisation de comptes personnels pour des applications d'intelligence artificielle générative. En réponse à ces défis, un nombre croissant d'organisations ont migré vers les versions professionnelles et d'entreprise de ChatGPT, et plus récemment, ont commencé à intégrer Copilot dans leurs processus opérationnels.
Toutefois, lors d'un récent audit de sécurité mené par un prestataire externe chez l'un de nos clients importants, des préoccupations majeures ont été soulevées. Il est apparu que Copilot avait accès à une quantité inquiétante de données sensibles. L'audit a également révélé que de nombreuses données étaient soit mal classifiées, soit complètement exposées à travers le système d'information de l'entreprise. Cette situation est similaire aux problèmes rencontrés précédemment avec l'usage de PowerAutomate, où des comptes d'administration étaient impliqués.
À l'heure actuelle, nous n'avons pas réussi à mettre en place un mécanisme permettant de limiter efficacement l'accès de Copilot à un nombre restreint de ressources au sein de l'entreprise. La gestion de ces accès doit être configurée individuellement pour chaque application, ce qui pose un problème conséquent pour les organisations qui ne possèdent pas un niveau avancé de maturité en matière de sécurité des données. Ce contexte nécessite une attention renforcée et une action immédiate pour renforcer les protocoles de sécurité et éviter des expositions non désirées de données critiques.
Conclusion
L’usage du generative AI est aujourd’hui un indispensable mais doit être accompagné d’un point de vue cybersécurité pour éviter les mauvaises surprises avec les clients et les menaces internes cybersécurité.
La cybersécurité est un domaine passionnant, difficile où il ne faut pas rester seul.
Je suis Téodor, passionné par la Cybersécurité. Fondateur de CyberLead après plusieurs expériences à Paris, Washington DC et dans la Silicon Valley.
Nous aidons les organisations à déployer leur cybersécurité dans toutes les dimensions physiques et numériques.
Nous partageons des ressources Cybersécurité pour aider à déployer plus vite la cybersécurité à travers un Notion.