DeepSeek a rapidement attiré l’attention du monde entier, dépassant récemment ChatGPT en tant qu’application gratuite la plus téléchargée dans l’App Store d’Apple.
Bien que son faible coût, ses fonctionnalités avancées et son approche open source attirent les utilisateurs, les organisations doivent comprendre les implications en matière de sécurité de l’utilisation de DeepSeek par leurs employés.
Préoccupations critiques en matière de sécurité
Pour de bonnes raisons, les organisations et les gouvernements du monde entier s’empressent d’interdire DeepSeek en raison de préoccupations croissantes en matière de sécurité. Le Congrès des États-Unis l’a interdit. Il en va de même pour la marine américaine. L’Italie a également bloqué DeepSeek et il fut un temps où elle interdisait également ChatGPT.
Passons en revue les motifs d’inquiétude.
Traitement des données en Chine
- DeepSeek traite les demandes des utilisateurs sur des serveurs situés en Chine, conformément à leur politique de confidentialité
- Cependant, les développeurs peuvent héberger des instances locales de DeepSeek sur des serveurs isolés du vaisseau-mère chinois
- Toutes les données sont soumises aux lois et réglementations chinoises sur la confidentialité des données
- Les organisations doivent prendre en compte les implications de conformité aux exigences réglementaires américaines
Les risques liés à l’IA fantôme
- Les employés peuvent télécharger et utiliser DeepSeek sans l’approbation de l’organisation
- Les interdictions classiques des entreprises sur les outils d’IA se sont révélées difficiles à appliquer
- Des informations sensibles de l’entreprise pourraient être partagées par inadvertance lors de conversations informelles
Contrairement à TikTok ou Huawei, la nature open source pose différents problèmes de sécurité. De plus, en raison de son faible coût de formation et de fonctionnement, les cybercriminels peuvent utiliser DeepSeek pour lancer des campagnes massives de manière plus efficace.
Stratégies d’atténuation des risques
DeepSeek ne sera pas la dernière application d’IA fantôme dont vous devrez vous inquiéter. Alors, quelles mesures pouvez-vous prendre pour vous assurer de détecter et d’empêcher les applications d’IA fantôme de subtiliser vos secrets professionnels ?
Actions immédiates
1. Élaborer des politiques claires en matière d’IA
- Créez des directives claires concernant les outils d’IA approuvés
- Établissez des protocoles pour le traitement des informations sensibles
- Définissez les conséquences de l’utilisation d’outils d’IA non autorisés
2. Proposer des alternatives sûres
- Envisagez de créer des instances isolées en utilisant le code open source de DeepSeek
- Évaluez les solutions d’IA professionnelles avec des contrôles de sécurité appropriés
- Implémentez des versions cloisonnées qui ne se connectent pas à des serveurs externes
3. Formation des employés
- Sensibilisez le personnel aux risques liés à la sécurité des données
- Fournissez des alternatives claires aux outils d’IA non autorisés
- Expliquez les implications du partage d’informations sensibles avec des modèles d’IA
Utiliser Varonis pour découvrir et bloquer DeepSeek
- Varonis peut vous aider à détecter et à classer les données sensibles, ainsi qu’à mettre en œuvre le principe du moindre privilège afin de minimiser votre exposition potentielle à DeepSeek et aux autres outils d’IA risqués
- Varonis for Network peut vous aider en détectant l’utilisation de DeepSeek grâce à la surveillance des DNS et des proxys Web
- La fonctionnalité SSPM de Varonis détecte et supprime automatiquement les applications DeepSeek fantômes et les plugins que les utilisateurs ont intégrés dans vos applications SaaS autorisées sans l’approbation du service informatique.
- Nous vous montrerons quels utilisateurs ont installé les applications DeepSeek, à quel moment, quelles autorisations ont été accordées et quelles actions ont été réalisées.
- Varonis peut détecter et classer les fichiers, le code source, les e-mails, etc. qui se rapportent à DeepSeek afin de démasquer les développeurs malhonnêtes ou les employés zélés qui téléchargent et testent le code
À venir
Bien que les capacités de DeepSeek soient impressionnantes, les organisations doivent soigneusement peser les avantages par rapport aux risques de sécurité. La nature open source du code de DeepSeek présente à la fois des opportunités et des défis :
Opportunités :
- Les organisations peuvent inspecter la pondération du modèle et le code d’entraînement
- Possibilité de créer des implémentations sécurisées et isolées
- Transparence sur la manière dont le modèle fonctionne
Défis :
- Vulnérabilité accrue aux attaques ciblées
- Potentiel d’utilisation malveillante
- Problèmes de conformité avec les réglementations relatives à la protection de la vie privée
Conclusion
Bien que DeepSeek représente une avancée technologique significative, les organisations doivent aborder son utilisation avec prudence.
La combinaison des exigences chinoises en matière de souveraineté des données, des vulnérabilités des logiciels open source et du potentiel d’utilisation de l’IA fantôme crée un défi complexe en matière de sécurité qui nécessite une attention minutieuse et une gestion proactive.
Cet avis de sécurité sera mis à jour dès que de nouvelles informations seront disponibles concernant les implications de sécurité de DeepSeek et les bonnes pratiques pour une utilisation en entreprise.
Rob Sobers
Rob Sobers est un ingénieur logiciel spécialisé dans la sécurité du Web et co-auteur du livre ''Learn Ruby the Hard Way''.
Découverte DeepSeek : comment identifier et stopper l’IA fantôme
Comprenez les implications de sécurité liées à l’utilisation de DeepSeek par les employés, telles que l’IA fantôme, et comment votre organisation peut immédiatement atténuer les risques.
Veuillez noter que cet article a été traduit avec l'aide de l'IA et révisé par un traducteur humain.
Rob Sobers
Contents
DeepSeek a rapidement attiré l’attention du monde entier, dépassant récemment ChatGPT en tant qu’application gratuite la plus téléchargée dans l’App Store d’Apple.
Bien que son faible coût, ses fonctionnalités avancées et son approche open source attirent les utilisateurs, les organisations doivent comprendre les implications en matière de sécurité de l’utilisation de DeepSeek par leurs employés.
Préoccupations critiques en matière de sécurité
Pour de bonnes raisons, les organisations et les gouvernements du monde entier s’empressent d’interdire DeepSeek en raison de préoccupations croissantes en matière de sécurité. Le Congrès des États-Unis l’a interdit. Il en va de même pour la marine américaine. L’Italie a également bloqué DeepSeek et il fut un temps où elle interdisait également ChatGPT.
Passons en revue les motifs d’inquiétude.
Traitement des données en Chine
Les risques liés à l’IA fantôme
Contrairement à TikTok ou Huawei, la nature open source pose différents problèmes de sécurité. De plus, en raison de son faible coût de formation et de fonctionnement, les cybercriminels peuvent utiliser DeepSeek pour lancer des campagnes massives de manière plus efficace.
Stratégies d’atténuation des risques
DeepSeek ne sera pas la dernière application d’IA fantôme dont vous devrez vous inquiéter. Alors, quelles mesures pouvez-vous prendre pour vous assurer de détecter et d’empêcher les applications d’IA fantôme de subtiliser vos secrets professionnels ?
Actions immédiates
1. Élaborer des politiques claires en matière d’IA
2. Proposer des alternatives sûres
3. Formation des employés
Utiliser Varonis pour découvrir et bloquer DeepSeek
À venir
Bien que les capacités de DeepSeek soient impressionnantes, les organisations doivent soigneusement peser les avantages par rapport aux risques de sécurité. La nature open source du code de DeepSeek présente à la fois des opportunités et des défis :
Opportunités :
Défis :
Conclusion
Bien que DeepSeek représente une avancée technologique significative, les organisations doivent aborder son utilisation avec prudence.
La combinaison des exigences chinoises en matière de souveraineté des données, des vulnérabilités des logiciels open source et du potentiel d’utilisation de l’IA fantôme crée un défi complexe en matière de sécurité qui nécessite une attention minutieuse et une gestion proactive.
Cet avis de sécurité sera mis à jour dès que de nouvelles informations seront disponibles concernant les implications de sécurité de DeepSeek et les bonnes pratiques pour une utilisation en entreprise.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.
Essayez Varonis gratuitement.
Se déploie en quelques minutes.
Keep reading
Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.