Comment empêcher l’IA de divulguer les données confidentielles de votre entreprise

Quelques mois après son lancement en novembre 2022, ChatGPT avait commencé à s’imposer comme un formidable outil d’écriture et d’optimisation de code. Invariablement, certains ingénieurs de Samsung pensaient que c’était une bonne idée d’utiliser l’IA pour optimiser un morceau de code spécifique avec lequel ils avaient du mal depuis un certain temps. Cependant, ils ont oublié de noter la nature de la bête. L’IA n’oublie tout simplement pas ; il apprend des données sur lesquelles il travaille, les intégrant discrètement à sa base de connaissances.

Lorsque l’exposition du code propriétaire a été découverte, Samsung a immédiatement publié un mémo interdisant explicitement l’utilisation d’outils d’IA générative. Et ils avaient de solides raisons de le faire. Les pertes typiques estimées à partir d’une telle exposition de données peuvent s’élever à des millions et entraîner une perte d’avantage concurrentiel.

Comprendre le risque caché

En quoi les outils d’IA diffèrent des logiciels traditionnels :

La plupart d’entre nous sont habitués à travailler avec des logiciels traditionnels. Nous partageons avec eux toutes les données que nous souhaitons et les résultats nous sont confidentiels. Comme on pouvait s’y attendre, les employés des entreprises ne prêtent guère attention au type de données qu’ils partagent, s’attendant à ce que les contrôles d’accès standard couvrent toute menace de sécurité.

À l’opposé, les systèmes d’IA ont tendance à absorber toutes les données que nous partageons avec eux. Chaque extrait de code, chaque document et même nos invites sont utilisés pour améliorer intrinsèquement les résultats du système. Cela conduit au problème de permanence, car les données absorbées par l’IA peuvent techniquement être accessibles à des tiers, surtout si vous utilisez une plate-forme d’IA accessible au public.

De plus, vous n’avez vraiment pas de bouton Supprimer dans l’IA contrairement aux logiciels traditionnels, où vous pouvez simplement supprimer toutes vos données. Les systèmes d’IA intègrent des apprentissages qui ne peuvent être supprimés car ils finissent par devenir partie intégrante de son corpus de connaissances et sont indissociables du modèle lui-même.

Prenons un scénario hypothétique : au fil des années de recherche et d’expérience intenses, votre organisation a construit une formidable stratégie de fusions et acquisitions. Que se passe-t-il lorsque cette information hautement privilégiée devient publique ? Vous risqueriez une sérieuse perte d’avantage concurrentiel. La même chose peut se produire pour un éditeur de logiciels si la feuille de route de son produit ou le code source de son produit devient public. Désormais, les risques peuvent même s’étendre à l’avenir même de l’entreprise et à son existence.

Les 3 politiques essentielles que chaque entreprise doit mettre en place

1. Créez une politique d’utilisation de l’IA claire et acceptable

L’une des meilleures mesures de sécurité contre les fuites liées à l’IA est un document de politique clair, rédigé dans un langage simple, expliquant ce qui peut être partagé avec les systèmes d’IA et ce qui ne peut en aucun cas l’être. La politique doit être très claire et inclure des exemples pour présenter différents scénarios.

Des exemples typiques de données explicitement interdites incluent le code source, les feuilles de route des produits, les cadres propriétaires, les données clients identifiables et les dossiers financiers, pour n’en nommer que quelques-uns. En fonction de votre entreprise et de ce que vous considérez comme critique, vous devez clairement définir le type de données que les employés doivent éviter lorsqu’ils travaillent avec des systèmes d’IA.

Ensuite, vous devez également vous assurer que des NDA stricts sont en place et que les normes de conformité obligent les employés à informer les seniors et les équipes de sécurité de la divulgation de tout nouveau type de données aux systèmes d’IA. Associez cela aux conséquences en cas de violation de la politique, qui peuvent aller de la formation obligatoire jusqu’au licenciement en fonction du degré de comportement flagrant.

2. Déployez des solutions d’IA de niveau entreprise avec des contrôles de données

Les plateformes publiques d’IA, comme ChatGPT, constituent souvent un élément de risque ouvert pour les entreprises. Au lieu de cela, vous devriez investir dans des éditions d’entreprise de systèmes d’IA, comme ChatGPT Enterprise, qui offrent un environnement sécurisé avec une promesse explicite de ne pas former leurs modèles sur vos données propriétaires et un cryptage fort. Vous pouvez également exécuter des solutions comme Azure OpenAI Service à partir de votre instance privée ou d’un cloud sécurisé.

Même si les versions d’entreprise spécifiques et les instances privées peuvent coûter plus cher, l’investissement nécessaire pour fournir une plate-forme d’IA sécurisée à vos employés est tout simplement dérisoire face aux coûts énormes que vous pourriez encourir en raison de l’exposition de données critiques.

3. Mettre en œuvre des garanties techniques robustes et une surveillance régulière

Aujourd’hui, on ne peut pas simplement mettre en œuvre une politique et espérer que tout le monde commencera à la suivre. Par conséquent, il est important de placer des contrôles techniques via des outils de prévention contre la perte de données. Ces systèmes sont conçus pour reconnaître des modèles et peuvent déclencher une alerte lorsque des informations exclusives telles que le code source, les numéros de carte de crédit ou même les cadres sont saisies dans la console IA. Parallèlement, vous devez mettre en œuvre des audits informatiques réguliers pour l’utilisation de l’IA par les employés afin d’éviter les fuites involontaires.

Dans le même temps, vous devez proposer une solution pour les cas d’utilisation typiques en fonction de la nature de votre entreprise. Par exemple, si votre équipe a souvent besoin de l’aide de l’IA pour un codage efficace, assurez-vous de disposer d’outils tels que GitHub Copilot for business installés avec des contrôles de sécurité appropriés.

Mettre en œuvre un changement culturel grâce à une sensibilisation continue

Lorsqu’il s’agit de prévenir les fuites de données via les systèmes d’IA, les modules de formation annuels ou les rappels de politiques par e-mail ne suffisent pas. Vous devez avoir des champions de l’IA dans votre organisation qui assurent la liaison avec différentes équipes et les alertent sur les différentes vulnérabilités, des exemples réels et des meilleures pratiques. De plus, gardez un environnement ouvert où les employés peuvent mentionner leurs erreurs ou leurs éventuels quasi-accidents sans attirer de mesures punitives.

L’utilisation de l’IA dans les organisations devient désormais inévitable, et les entreprises doivent trouver un équilibre entre innovation et sécurité des données. En tant que leader, vous devez adopter une approche proactive en créant un cadre qui facilite l’innovation tout en protégeant les données organisationnelles critiques. Cela vous aidera à acquérir un avantage concurrentiel sur vos pairs qui oscillent entre des interdictions absurdes et une utilisation ouverte de l’IA.

Inscrivez-vous à la newsletter Entrepreneur Daily pour recevoir les nouvelles et les ressources que vous devez connaître aujourd’hui pour vous aider à mieux gérer votre entreprise. Recevez-le dans votre boîte de réception.

Quelques mois après son lancement en novembre 2022, ChatGPT avait commencé à s’imposer comme un formidable outil d’écriture et d’optimisation de code. Invariablement, certains ingénieurs de Samsung pensaient que c’était une bonne idée d’utiliser l’IA pour optimiser un morceau de code spécifique avec lequel ils avaient du mal depuis un certain temps. Cependant, ils ont oublié de noter la nature de la bête. L’IA n’oublie tout simplement pas ; il apprend des données sur lesquelles il travaille, les intégrant discrètement à sa base de connaissances.

Lorsque l’exposition du code propriétaire a été découverte, Samsung a immédiatement publié un mémo interdisant explicitement l’utilisation d’outils d’IA générative. Et ils avaient de solides raisons de le faire. Les pertes typiques estimées à partir d’une telle exposition de données peuvent s’élever à des millions et entraîner une perte d’avantage concurrentiel.