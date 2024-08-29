L’essor rapide des technologies d’intelligence artificielle générative (IA générative) a marqué le début d’une ère de transformation pour les secteurs industriels du monde entier. Au cours des 18 derniers mois, les entreprises ont de plus en plus intégré l’IA générative dans leurs opérations, tirant parti de son potentiel pour innover et rationaliser leurs processus. De l’automatisation du service client à l’amélioration du développement de produits, ses applications sont à la fois vastes et influentes. Selon un récent rapport d’IBM, environ 42 % des grandes entreprises ont adopté l’IA, une technologie capable d’automatiser jusqu’à 30 % du travail intellectuel dans divers secteurs, notamment la vente, le marketing, la finance et le service client.
Cependant, l’adoption accélérée de l’IA générative engendre également des risques importants, tels que l’inexactitude, les problèmes de propriété intellectuelle et les menaces liées à la cybersécurité. Bien sûr, il ne s’agit là que d’un exemple parmi d’autres où des entreprises ont adopté une nouvelle technologie, telle que le cloud computing, avant de se rendre compte qu’elles auraient dû privilégier l’intégration des principes de sécurité dès le départ. Nous pouvons désormais tirer les enseignements de ces erreurs passées et adopter les principes de sécurisation dès la conception dans le cadre du développement d’applications d’entreprise basées sur l’IA générative.
La récente vague d’adoption du cloud fournit des informations précieuses sur la nécessité de donner la priorité à la sécurité très tôt lors de toute transition technologique. De nombreuses entreprises ont adopté les technologies cloud pour bénéficier d’avantages tels que la réduction des coûts, l’évolutivité et la reprise après sinistre. Cependant, leur empressement à en profiter a souvent conduit à des négligences en matière de sécurité, entraînant des violations très médiatisées dues à des erreurs de configuration. Le graphique suivant montre l’impact de ces erreurs de configuration. Il illustre le coût et la fréquence des violations de données par vecteur d’attaque initial, les erreurs de configuration du cloud représentant un coût moyen significatif de 3,98 millions de dollars :
Un incident notable s’est produit en 2023 : un compartiment de stockage cloud mal configuré a exposé les données sensibles, notamment personnelles, de plusieurs entreprises, telles que des e-mails et des numéros de sécurité sociale. Cette violation a mis en évidence les risques associés à des configurations de stockage cloud inappropriées et l’impact financier lié à l’atteinte à la réputation.
De même, une vulnérabilité dans une application SaaS destinée aux espaces de travail d’entreprise a entraîné une violation majeure de données en 2023, où un accès non autorisé a été obtenu via un compte non sécurisé. Cela a mis en lumière l’impact d’une gestion et d’une surveillance inadéquates des comptes. Ces incidents, parmi tant d’autres (recensés dans le rapport IBM sur le coût d’une violation de données en 2024), soulignent la nécessité cruciale d’une approche de sécurisation dès la conception, qui garantit que les mesures de sécurité font partie intégrante de ces programmes d’adoption de l’IA dès le départ.
Alors que les entreprises intègrent rapidement l’IA générative dans leurs opérations, on ne saurait trop insister sur l’importance de traiter la question de la sécurité dès le départ. Les technologies d’IA, bien que transformatrices, introduisent de nouvelles failles de sécurité. Les récentes violations liées aux plateformes d’IA démontrent ces risques et leur impact potentiel sur les entreprises.
Voici quelques exemples de violations de sécurité liées à l’IA au cours des deux derniers mois :
1. Escroqueries par deepfake : dans un cas, le PDG d’une entreprise d’énergie britannique a été trompé et a transféré 243 000 dollars, croyant qu’il parlait à son supérieur. L’escroquerie a utilisé la technologie deepfake, soulignant le potentiel de fraude lié à l’IA.
2. Attaques par empoisonnement des données : les pirates peuvent corrompre les modèles d’IA en introduisant des données malveillantes pendant l’entraînement, ce qui conduit à des résultats erronés. Cela s’est produit lorsqu’un modèle de machine learning d’une entreprise de cybersécurité a été compromis, entraînant des retards dans la réponse aux menaces.
3. Exploits de modèles d’IA : les vulnérabilités des applications basées sur l’IA, telles que les chatbots, ont conduit à de nombreux incidents d’accès non autorisé à des données sensibles. Ces violations soulignent la nécessité de mesures de sécurité rigoureuses autour des interfaces d’IA.
Les conséquences des violations de sécurité liées à l’IA sont multiples :
Alors que les entreprises cherchent à intégrer rapidement l’IA générative dans leurs applications destinées à leurs clients, il est essentiel qu’elles mettent en place une approche structurée pour les sécuriser et ainsi réduire le risque d’interruption de leurs activités par des cybercriminels.
Afin de sécuriser efficacement les applications basées sur l’IA générative, les entreprises doivent adopter une stratégie de sécurité complète qui couvre l’ensemble du cycle de vie de l’IA. Cette stratégie comprend trois grandes étapes :
1. Collecte et traitement des données : garantir la sécurité de la collecte et du traitement des données, notamment par le biais du chiffrement et de contrôles d’accès stricts.
2. Développement et entraînement des modèles : mettre en œuvre des pratiques sécurisées pendant le développement, l’entraînement et le réglage fin des modèles d’IA afin de les protéger contre l’empoisonnement des données et d’autres attaques.
3. Inférence des modèles et utilisation en direct : surveiller les systèmes d’IA en temps réel et garantir des évaluations de sécurité continues afin de détecter et d’atténuer les menaces potentielles.
Ces trois étapes doivent être considérées parallèlement au modèle de responsabilité partagée des plateformes d’IA cloud classiques (illustré ci-dessous).
Le cadre d’IBM pour la sécurisation de l’IA générative fournit une description détaillée de ces trois étapes et des principes de sécurité à respecter. Ils sont associés à des contrôles de sécurité cloud au niveau de la couche d’infrastructure sous-jacente, qui exécute des applications et des grands modèles de langage.
La transition vers l’IA générative permet aux entreprises d’alimenter l’innovation dans leurs applications métier, d’automatiser des tâches complexes et d’améliorer l’efficacité, la précision et la prise de décision tout en réduisant les coûts et en augmentant la vitesse et l’agilité de leurs processus métier.
Comme l’a démontré la vague d’adoption du cloud, il est essentiel de privilégier la sécurité dès le départ. En intégrant très tôt des mesures de sécurité dans le processus d’adoption de l’IA, les entreprises peuvent s’appuyer sur leurs erreurs du passé afin de franchir des étapes cruciales et de se protéger contre les cybermenaces sophistiquées. Cette approche proactive garantit la conformité avec les exigences réglementaires en constante évolution dans le domaine de l’IA, protège les données sensibles des entreprises et de leurs clients et préserve la confiance des parties prenantes. Les entreprises peuvent ainsi atteindre leurs objectifs stratégiques en matière d’IA de manière sécurisée et durable.
IBM propose des solutions complètes qui aident les entreprises à adopter les technologies d’IA en toute sécurité. En proposant des services de conseil, des services de sécurité et un cadre rigoureux de sécurité de l’IA, IBM aide les entreprises à créer et à déployer des applications basées sur l’IA à grande échelle, tout en garantissant la transparence, l’éthique et la conformité. Les ateliers « AI Security Discovery » d’IBM constituent une première étape essentielle, permettant aux clients d’identifier et d’atténuer les risques de sécurité dès le début de leur parcours d’adoption de l’IA.
