Les outils d’IA générative gagnent du terrain dans les entreprises. Mais, une menace moins visible prend de l’ampleur : la fuite involontaire de données sensibles via des requêtes anodines. Un récent rapport du cabinet Harmonic révèle que 8,5 % des requêtes adressées à des outils comme ChatGPT ou Copilot contiennent des informations confidentielles. Entre autres, des données clients, des identifiants ou des documents internes.
En apparence inoffensives, ces demandes peuvent contenir des éléments précieux : une facture, un nom de client, un extrait de plan stratégique. Combinées, ces informations constituent une mine d’or pour les cybercriminels, les courtiers en données ou les concurrents peu scrupuleux.
« Beaucoup de gens ne réalisent pas la quantité d’informations sensibles qu’ils saisissent », alerte Anna Collard, spécialiste cybersécurité chez KnowBe4 Afrique.
Une IA trop familière ?
L’interface conviviale des outils comme ChatGPT encourage les utilisateurs à baisser la garde. Des requêtes comme « réécris ce rapport pour le client X » ou « améliore notre plan RH » suffisent à transmettre des données sensibles à des plateformes souvent opaques.
La multiplication de plateformes pour générer des CV ou des textes juridiques ajoute au problème. Beaucoup sont développées par de petites équipes, sans sécurité robuste, ni audit indépendant. Résultat : les données peuvent fuiter vers des bases de données tierces. Elles peuvent également être intégrées à des modèles IA sans consentement. Pire, vos données peuvent finir sur des marchés cybercriminels.
Beaucoup de gens ne réalisent pas la quantité d’informations sensibles qu’ils saisissent
Anna Collard, spécialiste cybersécurité chez KnowBe4 Afrique
Le danger dépasse le cadre individuel. Une requête mal formulée peut exposer toute l’organisation. Selon Harmonic, plus de la moitié des fuites identifiées sont causées par les outils d’IA générative gratuits. La cause est leurs licences permissives et l’absence de contrôle interne.
« Cela inclut des données clients, des plans produits, des détails stratégiques. Autant d’informations qui intéressent fortement les attaquants, les concurrents et les régulateurs », rappelle Collard.
Adopter un usage sain de l’IA générative
Face à cette réalité, il revient aux entreprises d’adopter une hygiène de l’IA. Cela implique :
- De restreindre l’accès aux outils d’IA non validés
- De former les employés à ce qu’il est acceptable ou non de saisir
- De préférer les outils avec des garanties de confidentialité
- D’installer des extensions qui bloquent les données sensibles
- D’aligner l’usage de l’IA sur les réglementations via des standards comme l’ISO/IEC 42001, dédié à la gouvernance responsable de l’IA
Quoique justifié, l’enthousiasme pour l’IA générative ne doit pas faire oublier les fondamentaux de la sécurité des données. Entre productivité et confidentialité, les entreprises doivent désormais trouver le juste équilibre.
