Garde-fous d’IA générative : comment faire face à l’IA fantôme

Certains l’appellent « IA fantôme ».

D’autres l’appellent « le nouveau shadow IT pour l’IA générative (GenAI) ».

Beaucoup d’autres utilisent des termes traditionnels tels que « gouvernance pour GenAI » ou « politiques et conformité GenAI ».

Les cyberprofessionnels utilisent des termes connexes ayant des implications plus larges, comme « sécuriser GenAI », « cybersécurité GenAI » ou « politiques de sécurité GenAI ».

Et un nombre croissant de groupes des secteurs public et privé préfèrent qualifier cela de « garde-fous pour GenAI ».

Mais quelle que soit la terminologie que vous utilisez, de nombreuses conversations ont émergé sur ce sujet à travers le monde. Tout le monde essaie de se mettre en mesure de répondre oui dans notre monde en évolution rapide des applications GenAI, dont beaucoup sont actuellement disponibles gratuitement via votre navigateur Internet préféré ou sur votre smartphone en tant qu’application.

En attendant, ma prédiction préférée pour 2024 est « Bring Your Own AI (BYOAI) dominera les entreprises. »

Comme je l’ai partagé à ce sujet Décodage numérique podcast concernant les principales prévisions en matière de cybersécurité pour 2024, GenAI domine les conversations. Mais les RSSI ont du mal à comprendre comment ils peuvent gagner en visibilité sur ce qui est réellement utilisé actuellement par les utilisateurs finaux de leur entreprise avec ces outils d’IA.

Cette conversation GenAI était au centre de ce récent webinaire Kiteworks :

QUELS SONT LES PROBLEMES DE SÉCURITÉ AVEC LES APPLICATIONS GenAI GRATUITES ?

L’automne dernier, Forbes a publié cet article de contribution de Dell : Qu’est-ce que Shadow AI et que peut-il faire à ce sujet ? Voici un extrait :

L’IA fantôme est un terme décrivant l’utilisation non autorisée ou ad hoc de l’IA générative au sein d’une organisation en dehors de la gouvernance informatique. Les recherches montrent qu’environ 49 % des personnes ont utilisé l’IA générative, et plus d’un tiers l’utilisent quotidiennement, selon Salesforce. Sur le lieu de travail, cela peut signifier que les employés accèdent à des outils d’IA générative tels que ChatGPT pour effectuer des tâches telles que la rédaction de textes, la création d’images ou même l’écriture de code. Pour l’informatique, cela peut se traduire par un cauchemar de gouvernance qui nécessite de décider quelle utilisation de l’IA autoriser ou restreindre pour soutenir le personnel tout en assurant la sécurité de l’entreprise.

Si cela ne suffisait pas pour l’informatique, l’utilisation de l’IA générative s’accélère. Selon cette même enquête Salesforce, 52 % des personnes interrogées ont déclaré que leur utilisation de l’IA générative est en augmentation par rapport à leurs débuts. Cela signifie que la menace de l’IA fantôme est là pour l’informatique et qu’elle grandit. »

Au début de l’été 2023, j’ai été l’un des premiers à écrire sur les nouveaux défis qui émergeaient pour les équipes de cybersécurité du monde entier dans ce message viral. Magazine des OSC article : L’IA générative a-t-elle discrètement inauguré une nouvelle ère de shadow IT sous stéroïdes ? Voici un extrait :

Ce qui me préoccupe, ce n’est pas la variété, les gains de productivité ou les nombreux autres avantages des outils GenAI. Il s’agit plutôt de savoir si ces nouveaux outils constituent désormais une sorte de cheval de Troie pour les entreprises. Les utilisateurs finaux prennent-ils les choses en main en utilisant ces applications et en ignorant les politiques et procédures relatives à l’utilisation acceptable des applications non approuvées ? Je crois que la réponse pour de nombreuses organisations est oui.

Mais ce qui me préoccupe le plus, c’est la croissance étonnante des applications d’IA générative ainsi que la rapidité avec laquelle ces applications sont adoptées pour une myriade de raisons. En effet, si Internet peut être décrit comme un accélérateur du bien et du mal, ce qui, à mon avis, est vrai, l’IA générative accélère cette accélération dans les deux sens.

En termes simples, il est difficile de rivaliser avec le gratuit. La plupart des organisations progressent lentement dans l’acquisition de nouvelles technologies, et ce processus de budgétisation et de déploiement peut prendre des mois, voire des années. Les utilisateurs finaux, qui enfreignent probablement déjà les politiques en utilisant ces outils gratuits d’IA générative, sont généralement réticents à se regrouper et à insister pour que le CTO de l’entreprise (ou d’autres dirigeants) achète de nouveaux produits qui pourraient finir par coûter des millions de dollars pour une utilisation en entreprise au fil du temps. . Ce retour sur investissement pourrait survenir au cours des prochaines années, mais en attendant, ils expérimentent des versions gratuites parce que tout le monde le fait.

Après avoir écrit cet article, Magazine du DSI est sorti et a proclamé : Shadow AI sera bien pire que Shadow IT.

L’IA fantôme a le potentiel d’éclipser le Shadow IT. Comment et pourquoi demandez-vous? Avec le Shadow IT, vos développeurs étaient vraiment les seuls points d’échec dans l’équation ; avec l’IA générative, chaque utilisateur a le potentiel d’en être un. Cela signifie que vous devez compter sur tout le monde, des administrateurs aux dirigeants, pour prendre la bonne décision à chaque fois qu’ils utilisent GenAI. Cela nécessite que vous accordiez un degré élevé de confiance au comportement des utilisateurs, mais cela oblige également vos utilisateurs à s’auto-gouverner d’une manière qui pourrait paralyser leur propre vitesse et leur agilité s’ils remettent constamment en question leurs propres actions. Il existe un moyen plus simple, mais nous y reviendrons plus tard.

(En passant, je pense en fait que l’IA fantôme est un sous-ensemble de l’informatique fantôme, donc je ne suis pas sûr que cette affirmation ait un sens logique. Lorsque je travaillais pour l’État du Michigan, les utilisateurs finaux utilisaient parfois leur propre technologie cloud plutôt que la technologie cloud. solution d’entreprise. Néanmoins, je suis d’accord sur le fait que l’IA fantôme a considérablement accéléré le problème de l’informatique fantôme de nouvelles manières.)

NOUS AVONS ÉTÉ ICI AVANT : UNE LEÇON D’HISTOIRE RAPIDE

Oui, nous avons déjà rencontré des problèmes similaires. Comme je l’ai écrit à plusieurs reprises, nous devons tirer les leçons de l’histoire.

Dans un article intitulé « Shadow AI poses new Generation of Menaces to Enterprise IT », les auteurs identifient une série de risques qui doivent être traités avec Shadow AI. Ceux-ci inclus:

• Risques fonctionnels
• Risques opérationnels
• Risques juridiques
• Risques liés aux ressources

Ils recommandent de commencer par le leadership :

Premièrement, les dirigeants doivent savoir combien d’argent est dépensé pour l’IA, autorisée ou non.

Deuxièmement, les groupes travaillant auparavant en dehors du champ des contrôles institutionnels des risques doivent être intégrés dans le giron. Leurs projets doivent respecter les exigences de gestion des risques de l’entreprise, voire ses choix techniques.

Troisièmement, les auteurs de l’article encouragent la classification des données, la création d’un ensemble de politiques en matière d’IA, ainsi que l’éducation et la formation des employés.

Dans le Magazine des OSC Dans cet article, je décris les étapes pragmatiques que les équipes de sécurité doivent suivre, telles que :

Certains lecteurs pensent peut-être que nous avons déjà traité de ce problème de shadow IT il y a des années et qu’il s’agit d’un problème classique de courtier de sécurité d’accès au cloud (CASB). Dans une large mesure, ils auraient raison. Des entreprises telles que Netskope et Zscaler, connues pour proposer des solutions CASB dans leurs suites de produits, proposent des ensembles d’outils pour gérer les politiques d’entreprise relatives à la gestion des applications d’IA générative.

Il ne fait aucun doute que d’autres solutions sont disponibles pour aider à gérer les applications d’IA générative des principaux fournisseurs CASB, et cet article fournit davantage d’options CASB potentielles. Néanmoins, ces solutions CASB doivent être déployées et configurées correctement pour que CASB puisse contribuer à la gouvernance.

Pour être clair, les outils CASB ne résolvent toujours pas tous les problèmes liés à vos applications d’IA générative. Les organisations doivent encore répondre à d’autres questions liées aux licences, à la prolifération des applications, aux politiques et procédures de sécurité et de confidentialité, etc. Il y a également des considérations en matière de formation, d’évaluation de produits et de gestion des flux de travail à prendre en compte. En termes simples, qui étudie les différentes options et optimise les approches d’IA générative les plus adaptées à votre organisation du secteur public ou privé ou à votre secteur d’activité particulier ?

DERNIÈRES PENSÉES

J’aime ça Article sur la technologie gouvernementale, qui décrit comment l’IA a marqué le début d’une nouvelle ère et comment l’IA a été incluse dans les discours sur l’état de l’État de 2024 (avec des notes attribuées sous la forme de 1 à 5 étoiles pour chacune, en fonction de la quantité de technologie mentionnée).

Ce qui est clair, c’est que ce problème continue de s’aggraver et ne disparaîtra pas. Les équipes de cybersécurité fédérales, étatiques et locales doivent agir pour aider à la surveillance et à la gestion des garde-fous en cours pour l’utilisation de GenAI.

Ce guide de juillet 2023 du UK Cyber ​​Security Centre peut être utile en matière d’informatique fantôme (et je pense que l’IA fantôme est incluse sous ce parapluie. Voir la section sur les services cloud.)

Un autre article de Venturebeat, « Pourquoi les responsables informatiques devraient s’appuyer sur l’IA fantôme pour moderniser la gouvernance », propose également plusieurs solutions utiles.