Considérez ceci : un nombre stupéfiant de 97 % des organisations ayant subi un incident de sécurité lié à l’IA déclarent qu’elles n’avaient pas de contrôles d’accès appropriés à l’IA, selon les conclusions du Rapport sur le coût d’une violation de données. De plus, parmi les 600 entreprises étudiées par l’institut indépendant Ponemon, 63 % ont révélé qu’elles n’avaient mis en place aucune politique de gouvernance de l’IA pour gérer l’IA ou empêcher les travailleurs d’utiliser l’IA fantôme.

Cette lacune dans la surveillance de l’IA entraîne des coûts financiers et opérationnels importants. Le rapport montre que la présence d’un niveau élevé d’IA fantôme, lorsque les employés téléchargent ou utilisent des outils d’IA non approuvés sur Internet, a ajouté 670 000 USD au coût moyen mondial des violations de sécurité. Les violations liées à l’IA ont également eu des répercussions : elles ont conduit à une compromission de données à grande échelle et à une perturbation opérationnelle. Ces perturbations peuvent empêcher les entreprises de traiter les commandes, de fournir un service client et de maintenir les chaînes d’approvisionnement.

En négligeant les pratiques fondamentales de cybersécurité lors de l’adoption de l’IA, les entreprises se retrouvent vulnérables à des perturbations opérationnelles des charges de travail basées sur l’IA, à des violations de données à grande échelle couvrant des environnements multi-cloud et sur site, ainsi qu’à l’exposition potentielle de la propriété intellectuelle utilisée pour entraîner ou affiner leurs implémentations d’IA.

Alors que les chefs d’entreprise continuent de se plonger dans l’engouement pour l’IA et de le stimuler, ils doivent faire face au risque élevé qui persiste au sein de leurs infrastructures globales. C’est particulièrement vrai lorsqu’il s’agit de la sécurité du cloud, où les charges de travail et les données de l’IA passent le plus clair de leur temps. Pour s’assurer que ces dernières restent conformes aux niveaux d’appétit pour le risque de l’entreprise, les responsables de la sécurité doivent aider leur entreprise à réussir dans le domaine de l’IA en réévaluant leurs cadres de cybersécurité. Ces dirigeants doivent s’assurer que leurs entreprises peuvent s’adapter à l’évolution des risques qui accompagnent les technologies de l’IA.

Cela implique des audits réguliers des politiques de sécurité et de protection des données, l’adaptation des contrôles, l’évolution des plans de réponse et l’investissement dans la formation des employés. Alors que les nouveaux Chief IA Officers (CAIO) rejoignent progressivement les rangs de la direction, les responsables de la sécurité doivent être à leurs côtés. Ils doivent renforcer leurs liens avec les équipes chargées de la gouvernance, du risque et de la conformité (GRC) afin d’aider à supprimer les silos actuels ou émergents avec le service chargé de la conformité réglementaire. Cela contribuera grandement à garantir l’alignement et à créer un lien solide de réponse à la crise en cas de violation de données impliquant des actifs d’IA.

À quel point cette situation est-elle risquée ? Les cybercriminels sont parfaitement conscients de cette faiblesse situationnelle et considèrent les charges de travail liées à l’IA comme des cibles de grande valeur prêtes à être compromises. Le risque se matérialise-t-il dans le monde réel ? La réponse, comme vous pouvez le voir dans les données ci-dessus, est oui. Le rapport révèle que 13 % des entreprises sondées ont subi une attaque ayant impacté leurs modèles d'IA ou leurs applications. Ce pourcentage est faible, pour le moment. Il est probable que nous en verrons beaucoup plus au cours des 12 prochains mois, à moins que les responsables de la sécurité et leurs homologues des entreprises ne reconnaissent le risque et ne pivotent pour se concentrer plus intensément sur la sécurité de l’IA.