Lors de son discours d'ouverture à la RSA Conference 2024, Matt Radolec, vice-président de la réponse aux incidents et des opérations cloud chez Varonis, a décrit un scénario de plus en plus courant à l'ère de l'IA générative :
Une organisation s’est adressée à Varonis pour lui faire part d’un mystère. Un concurrent avait, d’une manière ou d’une autre, accédé à des informations sensibles sur ses comptes et utilisait ces données pour cibler les clients de l’organisation au moyen de campagnes publicitaires.
L’organisation n’avait aucune idée de la manière dont les données avaient été obtenues. Cette catastrophe en matière de sécurité pouvait nuire à la confiance de ses clients.
En collaboration avec Varonis, l’entreprise a identifié la source de la fuite de données. Un ancien employé a utilisé un copilote optimisé par l’IA générative pour accéder à une base de données interne contenant des informations sur les comptes. Ensuite, il a copié des informations sensibles, telles que les dépenses des clients et l’utilisation des produits, pour les transmettre à un concurrent.
Regardez l’intégralité du discours de Matt Radolec sur la prévention des fuites de données liées à l’IA lors de la RSA Conference 2024.
Cet exemple met en lumière un problème croissant : l’utilisation généralisée de copilotes optimisés par l’IA générative va inévitablement entraîner une hausse des fuites de données.
Selon une récente enquête de Gartner, les cas d’utilisation de l’IA les plus courants comprennent des applications optimisées par l’IA générative, comme Microsoft 365 Copilot et Einstein Copilot de Salesforce. Bien que ces outils soient un excellent moyen pour les organisations d’accroître leur productivité, ils créent également des défis importants en matière de sécurité des données.
Dans cet article, nous allons passer en revue ces défis et vous donner des conseils pour sécuriser vos données à l’ère de l’IA générative.
Le risque de violation de données lié à l'IA générative
Près de 99 % des autorisations sont inutilisées et plus de la moitié d’entre elles sont à haut risque. L’accès non utilisé et trop permissif aux données est toujours un problème pour la sécurité des données, mais l’IA générative met de l’huile sur le feu.
Lorsqu’un utilisateur pose une question à un copilote optimisé par l’IA générative, l’outil formule une réponse en langage naturel basée sur Internet et sur le contenu de l’entreprise via la technologie graphique.
Les utilisateurs ont souvent un accès trop permissif aux données. Le copilote peut donc facilement obtenir des données sensibles, même si l’utilisateur ignorait y avoir accès. De nombreuses organisations ne connaissent pas les données sensibles dont elles disposent, et il est presque impossible de redimensionner l’accès manuellement.
L'IA générative facilite les violations de données.
Les acteurs malveillants n’ont plus besoin de savoir comment pirater un système ou de comprendre les tenants et les aboutissants de votre environnement. Ils peuvent simplement demander à un copilote des informations sensibles ou des informations d’identification leur permettant de se déplacer latéralement dans l’environnement.
Les défis de sécurité liés à l'activation des outils d'IA générative sont les suivants :
- Les employés ont accès à beaucoup trop de données
- Les données sensibles ne sont souvent pas étiquetées ou mal étiquetées
- Les personnes en interne peuvent rapidement trouver et exfiltrer des données en utilisant le langage naturel
- Les attaquants peuvent découvrir les secrets à des fins d'escalade des privilèges et de déplacements latéraux
- Il est impossible de modifier tous les accès et d'appliquer le principe du moindre privilège manuellement
- L'IA générative peut créer de nouvelles données sensibles très rapidement
Ces failles en matière de sécurité des données ne sont pas nouvelles, mais elles sont hautement exploitables, compte tenu de la rapidité et de la facilité avec lesquelles l’IA générative peut faire apparaître des informations.
Comment éviter votre première violation liée à l'IA
La première étape pour éliminer les risques associés à l’IA générative est de s’assurer que tout est en ordre.
L’utilisation généralisée de copilotes dans votre organisation est une mauvaise idée si vous ne connaissez pas la nature et l’emplacement de vos données sensibles, si vous ne pouvez pas analyser l’exposition et les risques, et si vous ne pouvez pas résoudre les failles de sécurité ni corriger les erreurs de configuration de manière efficace.
Une fois que vous maîtrisez la sécurité des données dans votre environnement et que les bons processus sont en place, vous pouvez déployer un copilote. À ce stade, vous devez vous concentrer sur trois domaines : les autorisations, les étiquettes et l’activité humaine.
- Autorisations : assurez-vous que les autorisations de vos utilisateurs sont correctement définies et que l'accès du copilote reflète ces autorisations.
- Étiquettes : lorsque vous avez une bonne connaissance de la nature de vos données sensibles, vous pouvez leur appliquer des étiquettes pour mettre en œuvre la DLP.
- Activité humaine : il est essentiel de surveiller la manière dont le copilote est utilisé et d’examiner tout comportement suspect détecté. La surveillance des invites et des fichiers consultés est cruciale pour éviter l’exploitation des copilotes.
La mise en œuvre de ces trois approches de la sécurité des données n’est pas facile et ne peut généralement pas être réalisée manuellement. Peu d’organisations peuvent adopter en toute sécurité des copilotes optimisés par l’IA générative sans une approche holistique de la sécurité des données et des contrôles spécifiques pour les copilotes eux-mêmes.
Empêchez les violations liées à l'IA avec Varonis.
Varonis se concentre sur la sécurisation des données depuis près de 20 ans, aidant plus de 8 000 clients dans le monde à protéger ce qui compte le plus.
Grâce à notre expertise approfondie, nous protégeons les entreprises qui envisagent de mettre en œuvre l’IA générative.
Si vous vous lancez dans l’aventure de l’IA générative, commencez par notre évaluation gratuite des risques sur vos données.
En moins de 24 heures, vous aurez un panorama en temps réel des risques liés à vos données sensibles afin de déterminer si vous pouvez adopter en toute sécurité un copilote optimisé par l’IA générative. Varonis est également la première solution de sécurité des données du secteur pour Microsoft 365 Copilot et propose un large éventail de fonctionnalités de sécurité optimisées par l’IA pour d’autres copilotes, LLM et outils d’IA générative.
Pour en savoir plus, consultez nos ressources sur la sécurité de l'IA.
Nolan Necoechea
Nolan Necoechea is a product marketing strategist at Varonis. He has spent more than a decade working with data and AI innovators.
Comment éviter votre première fuite de données liée à l’IA
Contents
Lors de son discours d'ouverture à la RSA Conference 2024, Matt Radolec, vice-président de la réponse aux incidents et des opérations cloud chez Varonis, a décrit un scénario de plus en plus courant à l'ère de l'IA générative :
Une organisation s’est adressée à Varonis pour lui faire part d’un mystère. Un concurrent avait, d’une manière ou d’une autre, accédé à des informations sensibles sur ses comptes et utilisait ces données pour cibler les clients de l’organisation au moyen de campagnes publicitaires.
L’organisation n’avait aucune idée de la manière dont les données avaient été obtenues. Cette catastrophe en matière de sécurité pouvait nuire à la confiance de ses clients.
En collaboration avec Varonis, l’entreprise a identifié la source de la fuite de données. Un ancien employé a utilisé un copilote optimisé par l’IA générative pour accéder à une base de données interne contenant des informations sur les comptes. Ensuite, il a copié des informations sensibles, telles que les dépenses des clients et l’utilisation des produits, pour les transmettre à un concurrent.
Regardez l’intégralité du discours de Matt Radolec sur la prévention des fuites de données liées à l’IA lors de la RSA Conference 2024.
Cet exemple met en lumière un problème croissant : l’utilisation généralisée de copilotes optimisés par l’IA générative va inévitablement entraîner une hausse des fuites de données.
Selon une récente enquête de Gartner, les cas d’utilisation de l’IA les plus courants comprennent des applications optimisées par l’IA générative, comme Microsoft 365 Copilot et Einstein Copilot de Salesforce. Bien que ces outils soient un excellent moyen pour les organisations d’accroître leur productivité, ils créent également des défis importants en matière de sécurité des données.
Dans cet article, nous allons passer en revue ces défis et vous donner des conseils pour sécuriser vos données à l’ère de l’IA générative.
Le risque de violation de données lié à l'IA générative
Près de 99 % des autorisations sont inutilisées et plus de la moitié d’entre elles sont à haut risque. L’accès non utilisé et trop permissif aux données est toujours un problème pour la sécurité des données, mais l’IA générative met de l’huile sur le feu.
Lorsqu’un utilisateur pose une question à un copilote optimisé par l’IA générative, l’outil formule une réponse en langage naturel basée sur Internet et sur le contenu de l’entreprise via la technologie graphique.
Les utilisateurs ont souvent un accès trop permissif aux données. Le copilote peut donc facilement obtenir des données sensibles, même si l’utilisateur ignorait y avoir accès. De nombreuses organisations ne connaissent pas les données sensibles dont elles disposent, et il est presque impossible de redimensionner l’accès manuellement.
L'IA générative facilite les violations de données.
Les acteurs malveillants n’ont plus besoin de savoir comment pirater un système ou de comprendre les tenants et les aboutissants de votre environnement. Ils peuvent simplement demander à un copilote des informations sensibles ou des informations d’identification leur permettant de se déplacer latéralement dans l’environnement.
Les défis de sécurité liés à l'activation des outils d'IA générative sont les suivants :
Ces failles en matière de sécurité des données ne sont pas nouvelles, mais elles sont hautement exploitables, compte tenu de la rapidité et de la facilité avec lesquelles l’IA générative peut faire apparaître des informations.
Comment éviter votre première violation liée à l'IA
La première étape pour éliminer les risques associés à l’IA générative est de s’assurer que tout est en ordre.
L’utilisation généralisée de copilotes dans votre organisation est une mauvaise idée si vous ne connaissez pas la nature et l’emplacement de vos données sensibles, si vous ne pouvez pas analyser l’exposition et les risques, et si vous ne pouvez pas résoudre les failles de sécurité ni corriger les erreurs de configuration de manière efficace.
Une fois que vous maîtrisez la sécurité des données dans votre environnement et que les bons processus sont en place, vous pouvez déployer un copilote. À ce stade, vous devez vous concentrer sur trois domaines : les autorisations, les étiquettes et l’activité humaine.
La mise en œuvre de ces trois approches de la sécurité des données n’est pas facile et ne peut généralement pas être réalisée manuellement. Peu d’organisations peuvent adopter en toute sécurité des copilotes optimisés par l’IA générative sans une approche holistique de la sécurité des données et des contrôles spécifiques pour les copilotes eux-mêmes.
Empêchez les violations liées à l'IA avec Varonis.
Varonis se concentre sur la sécurisation des données depuis près de 20 ans, aidant plus de 8 000 clients dans le monde à protéger ce qui compte le plus.
Grâce à notre expertise approfondie, nous protégeons les entreprises qui envisagent de mettre en œuvre l’IA générative.
Si vous vous lancez dans l’aventure de l’IA générative, commencez par notre évaluation gratuite des risques sur vos données.
En moins de 24 heures, vous aurez un panorama en temps réel des risques liés à vos données sensibles afin de déterminer si vous pouvez adopter en toute sécurité un copilote optimisé par l’IA générative. Varonis est également la première solution de sécurité des données du secteur pour Microsoft 365 Copilot et propose un large éventail de fonctionnalités de sécurité optimisées par l’IA pour d’autres copilotes, LLM et outils d’IA générative.
Pour en savoir plus, consultez nos ressources sur la sécurité de l'IA.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.
Essayez Varonis gratuitement.
Se déploie en quelques minutes.
Keep reading
Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.