ChatGPT et l’adoption rapide de l’IA générative ont poussé les responsables de la sécurité des systèmes d’information (RSSI) à leurs limites, les employés testant ces outils sur leur lieu de travail.

Une étude publiée plus tôt cette année a révélé que peu d’entreprises prennent ce vecteur de menace suffisamment au sérieux pour avoir déjà mis en place une solution de gestion des cyber-risques de sécurité tierce. Alors que 94 % des RSSI sont préoccupés par les menaces de cybersécurité tierces (dont 17 % considèrent qu’il s’agit d’une priorité absolue), seuls 3 % ont déjà mis en œuvre une solution de gestion des cyber-risques tierces dans leur organisation, et 33 % prévoient de le faire cette année.

Panorays, une société de logiciels de gestion des risques de sécurité, apporte un nouvel éclairage sur les problèmes de sécurité réseau de plus en plus graves causés par les employés. Cette menace interne survient lorsque les employés utilisent le réseau de leur entreprise pour expérimenter l'IA générative et d'autres outils d'IA.

Selon l’étude, 65 % des RSSI s’attendent à ce que le budget consacré à la gestion des cyber-risques liés aux tiers augmente. Parmi ces personnes interrogées, 40 % ont déclaré que ce budget passerait de 1 % à 10 % cette année. Le rapport révèle également que les RSSI des très grandes entreprises (73 %) sont plus préoccupés par les menaces de cybersécurité liées aux tiers que ceux des entreprises de taille moyenne (47 %). Seuls 7 % des RSSI ont déclaré ne pas être du tout inquiets.

« Les RSSI comprennent la menace que représentent les vulnérabilités de cybersécurité des tiers, mais il existe un écart entre cette prise de conscience et la mise en œuvre de mesures proactives », a déclaré Matan Or-El, PDG de Panorays.

Il a averti qu’il était essentiel de donner aux RSSI les moyens de renforcer leurs défenses en analysant et en comblant rapidement les lacunes pour s’orienter dans le paysage cybernétique actuel. Avec la rapidité du développement de l’IA, les acteurs malveillants continueront d’exploiter cette technologie pour commettre des violations de données, des perturbations opérationnelles, etc.

Défis négligés augmentant les risques de cybersécurité

Selon 20 % des RSSI interrogés, le principal défi qu'ils voient dans la résolution des problèmes de gestion des risques liés aux tiers est de se conformer aux nouvelles réglementations en matière de gestion des risques liés aux tiers.

La majorité des RSSI sont convaincus que les solutions d’IA peuvent améliorer la gestion de la sécurité des tiers. Cependant, d’autres experts en cybersécurité non cités dans le rapport Panorays soutiennent que l’IA est encore trop naissante pour fournir cette solution de manière fiable.

D’autres défis incluent :

  • Communiquer l'influence commerciale de la gestion des risques liés aux tiers : 19 %
  • Pas assez de ressources pour gérer les risques dans la chaîne d'approvisionnement en pleine croissance : 18 %
  • Augmentation des violations de données par des tiers basées sur l'IA : 17 %
  • Aucune visibilité sur l'utilisation du Shadow IT dans leur entreprise : 16 %
  • Prioriser les efforts d'évaluation des risques en fonction de leur criticité : 10 %

« Il est primordial de faire face aux changements réglementaires et à l’escalade des cyber-risques liés aux tiers », a poursuivi Or-El. « Malgré les contraintes en matière de ressources et l’augmentation des violations liées à l’IA, l’augmentation du budget alloué à la gestion des cyber-risques est un pas positif dans la bonne direction. »

L’importance de réduire les risques de sécurité liés aux tiers

Jasson Casey, PDG de l’entreprise de cybersécurité Beyond Identity, a reconnu que l’accès aux outils d’IA pouvait exposer les entreprises à des attaques sophistiquées. Ces outils peuvent être manipulés pour révéler des informations confidentielles ou servir de points d’entrée pour les cybermenaces.

« La nature probabiliste des modèles d’IA signifie qu’ils peuvent être amenés à contourner les mesures de sécurité, soulignant l’importance de pratiques de sécurité rigoureuses et la nécessité d’outils d’IA qui donnent la priorité à la confidentialité et à la protection des données », a-t-il déclaré à Technews.fr.

Casey a ajouté que le Shadow IT, en particulier l’utilisation non autorisée d’outils d’IA, compromet considérablement les efforts de cybersécurité des organisations. Il augmente le risque de violation de données et complique les efforts de réponse aux incidents et de conformité.

« Pour lutter contre les défis posés par l’informatique fantôme, les organisations doivent encourager la transparence, fournir des alternatives sécurisées aux outils d’IA les plus répandus et mettre en œuvre des politiques strictes mais adaptables qui guident l’utilisation de l’IA au sein de l’entreprise », a-t-il proposé.

Les entreprises peuvent mieux gérer les risques associés à ces technologies non autorisées en s’attaquant aux causes profondes du shadow IT, comme le manque d’outils disponibles et approuvés qui répondent aux besoins des employés. Les RSSI doivent fournir des solutions d’IA sécurisées et approuvées qui atténuent le risque de fuite d’informations.

Les entreprises peuvent réduire leur dépendance aux applications d’IA externes, moins sécurisées, en proposant des outils d’IA internes qui respectent la confidentialité et l’intégrité des données. Casey a souligné que favoriser une culture soucieuse de la sécurité et s’assurer que l’utilisation de tous les outils d’IA soit conforme aux politiques organisationnelles sont des étapes cruciales pour freiner la prolifération de l’informatique fantôme.

Équilibrer innovation et sécurité

Même si cette formule peut paraître simple, sa mise en œuvre est l’un des plus grands obstacles auxquels les RSSI sont aujourd’hui confrontés. Parmi les défis les plus redoutables auxquels ils sont confrontés figurent le rythme rapide des avancées technologiques et les tactiques innovantes employées par les cyber-adversaires.

« Trouver un équilibre entre la volonté d’innovation et la nécessité de mesures de sécurité complètes, notamment face à l’évolution des technologies de l’IA et au phénomène de l’informatique fantôme, exige une vigilance et une adaptabilité constantes. De plus, surmonter la lassitude des employés en matière de sécurité et encourager une posture de sécurité proactive restent des obstacles importants », a noté Casey.

Les augmentations les plus significatives de l’utilisation et de l’adoption de l’IA de nouvelle génération et d’autres outils d’IA se produisent dans les secteurs qui ont tout à gagner de l’analyse des données, de l’automatisation et de l’amélioration des processus décisionnels. Il s’agit notamment de la finance, de la santé et de la technologie.

« Cette augmentation nécessite une compréhension plus nuancée des avantages et des risques de l'IA, incitant les organisations à adopter de manière proactive des pratiques d'IA sûres et éthiques », a-t-il déclaré.

Atténuer les risques d'exposition au Shadow IT

Selon Casey, les responsables informatiques doivent donner la priorité à la mise en place de formations à la sécurité axées sur l’IA. Les employés doivent reconnaître que chaque interaction avec l’IA peut potentiellement entraîner ses modèles de base.

En mettant en œuvre une authentification résistante au phishing, les entreprises peuvent passer d’une formation traditionnelle à la sécurité contre le phishing à une formation des employés sur l’utilisation appropriée des outils d’IA. Cette focalisation sur la formation constituera une défense solide contre les violations de données accidentelles et fournira un bon point de départ pour se défendre contre les cyberattaques de tiers.

Les RSSI ont tout intérêt à élaborer des politiques dynamiques qui tiennent compte de la nature évolutive des outils d’IA et des risques de sécurité associés. Ces politiques doivent limiter les données confidentielles et exclusives fournies aux services d’IA publics, atténuant ainsi le risque de divulgation de ces informations.

« De plus, ces politiques doivent être évolutives, régulièrement revues et mises à jour pour rester efficaces face aux nouvelles menaces », a souligné Casey. « En comprenant et en légiférant contre l’utilisation abusive de l’IA, y compris les jailbreaks potentiels, les RSSI peuvent protéger leurs organisations contre les menaces émergentes. »