
L’adoption en entreprise d’outils basés sur l’IA a ouvert un nouveau front en matière de sécurité des données : les fuites involontaires causées par des employés qui collent des informations sensibles dans des chatbots, des outils de recherche IA et des assistants de codage, souvent sans se rendre compte que les données quittent le contrôle de l’organisation.
TechRadar rapporte que le problème a atteint des proportions critiques alors que les entreprises déploient des outils d’IA comme ChatGPT, Claude, Copilot et Gemini auprès de leurs effectifs sans mesures de gouvernance des données correspondantes. Contrairement aux violations de données traditionnelles causées par des attaquants externes, ce type de fuite est généralement accidentel : un employé colle des données clients dans une invite, un développeur télécharge du code propriétaire vers un assistant de codage IA, ou un commercial demande à une IA d’analyser un tableur confidentiel.
L’ampleur. Des recherches de plusieurs sociétés de sécurité suggèrent que la majorité des entreprises ont désormais des données sensibles qui transitent par des modèles d’IA tiers sans supervision adéquate. Les vecteurs de fuite courants incluent :
- Saisie directe dans les invites : Les employés collent des informations personnelles identifiables, des données financières ou des secrets commerciaux dans des interfaces de chat IA dont les conditions d’utilisation autorisent l’entraînement sur les entrées.
- Outils de recherche IA en entreprise : Des plateformes comme Microsoft Copilot et Glean indexent des documents internes et peuvent divulguer des informations au-delà de ce que les utilisateurs sont autorisés à voir, violant les principes d’accès « besoin de savoir ».
- Assistants de codage IA : Les développeurs téléchargent du code source propriétaire vers des services de complétion de code cloud, exposant la propriété intellectuelle aux pipelines d’entraînement des modèles.
- Prolifération des intégrations SaaS : Les plugins et extensions IA connectés aux outils SaaS d’entreprise héritent de jetons OAuth dont la portée dépasse largement ce que le flux de travail nécessite.
Pression réglementaire. Le problème attire l’attention des régulateurs. L’AI Act de l’UE et le Digital Operational Resilience Act (DORA) exigent tous deux que les institutions financières et les opérateurs d’infrastructures critiques démontrent que leurs intégrations d’outils IA ne créent pas de voies d’exposition non autorisées aux données. La Cyber and Emerging Technologies Unit de la SEC examine activement les déclarations de gouvernance IA faites par les entités réglementées.
Les experts recommandent aux organisations de déployer des systèmes de classification au niveau des invites et d’application en temps réel qui inspectent les données avant qu’elles n’atteignent un modèle d’IA, de segmenter les autorisations des outils IA au minimum nécessaire, et de créer des journaux audités de toutes les données transitant par les pipelines IA. Un document politique sans application technique, notent-ils, n’empêche pas les données de fuir.
Source : TechRadar, Knostic, Wiz
Traduit par Lydie

