L'ombre portée de GenAI met en danger les données de votre entreprise.

Les solutions d'intelligence artificielle générative (GenAI) ne sont plus de simples « tests » pour les employés d'entreprise. Elles sont adoptées et intégrées au travail quotidien à un rythme de plus en plus rapide. Selon un rapport, 40 % des organisations ont signalé l'utilisation de GenAI dans leurs flux de travail quotidiens Au cours de l'année écoulée, plus de 80 % des utilisateurs ont déclaré utiliser ces outils chaque semaine.

Mais si l'adoption de l'IA progresse, la visibilité et le contrôle ne suivent pas le même rythme. À mesure que l'IA de génération s'intègre dans boîtes de réception e-mail, éditeurs de code, suites collaboratives, assistants virtuels, et bien plus encore, il a donné accès à des quantités de plus en plus importantes de données sensibles via des invites, des téléchargements et des actions de copier-coller — autant d'actions qui contournent probablement les contrôles traditionnels.

Il en résulte une accumulation croissante de données fantômes : des informations critiques circulant entre les services SaaS, cloud et sur site, avec des garanties limitées en matière de visibilité, de gouvernance et de conservation. Pour innover durablement et en toute sécurité grâce aux solutions d’IA, il est essentiel que les entreprises modernes comprennent ce décalage entre adoption et contrôle, et apprennent à gérer les données fantômes avant qu’elles ne leur échappent.

L'ombre large et trouble de GenAI

Le principal défi posé par les données fantômes réside dans le manque de contexte. Alors que les problèmes liés à l'informatique fantôme se limitent aux fichiers stockés, aux applications autorisées et aux points de sortie connus, les frontières des données fantômes générées par l'IA sont beaucoup moins clairement définies. Les équipes ne peuvent plus se contenter de découvrir et de sécuriser les outils inconnus ; elles doivent également surveiller les modèles d'IA intégrés aux applications approuvées, telles que les plateformes de messagerie, les solutions de stockage cloud et les CRM. Cela remet en cause les solutions « sûres » qu'elles utilisaient et surveillaient jusqu'à présent, et élargit considérablement leur champ d'action face aux menaces.

GenAI modifie également la circulation des données sensibles au sein de l'architecture d'entreprise. Contrairement aux flux de travail traditionnels des solutions SaaS, basés sur des applications et des fichiers, elle fonctionne sur une couche conversationnelle continue qui encourage les utilisateurs à partager le contexte pour obtenir de meilleurs résultats. Ceci les amène à effectuer des actions de copier-coller et de chargement courantes, pouvant inclure des extraits de code source, des dossiers clients, des documents internes, etc., autant de données qui ne bénéficient pas d'une gouvernance de partage adaptée à leur niveau de sensibilité respectif.

De plus, l'adoption de l'IA générale ne suit généralement pas un schéma simple et centralisé. Chaque utilisateur de données d'entreprise est unique, et sa recherche d'optimisation des flux de travail et d'automatisation pour gagner du temps peut l'amener à exploiter de nombreuses solutions d'IA, créant ainsi des flux de données encore plus fragmentés. Multipliez ce phénomène à l'échelle de l'ensemble des effectifs de votre entreprise, et l'impact devient considérable.

Pourquoi bloquer GenAI ne fonctionnera pas

Face à ces menaces, la réaction instinctive de nombreuses organisations est de bloquer purement et simplement – ​​ou de restreindre fortement – ​​l'accès aux outils d'IA générale. Bien que cette approche soit compréhensible, elle est souvent moins efficace que ce que l'entreprise pourrait espérer. Une fois l'IA générale déployée, il est extrêmement difficile de la maîtriser. De nombreux employés utilisent ces outils pour optimiser leurs flux de travail quotidiens, intégrant ainsi l'IA générale à la planification et à l'exécution de leurs tâches.

Lorsque l'accès est restreint par la direction, l'utilisation ne cessera probablement pas ; elle deviendra simplement invisible. Si les employés optent pour des comptes personnels ou non gérés, les entreprises perdent toute visibilité sur les données partagées et conservées par les applications. En effet, un rapport a révélé que 44% d'employés ont déjà utilisé l'IA d'une manière qui contrevient aux politiques et aux directives, tandis qu'une autre étude a rapporté que 75% d'employés Des personnes utilisant des outils d'IA non approuvés ont admis avoir partagé avec eux des informations potentiellement sensibles. Lorsque des employés bien intentionnés contournent involontairement les mesures de protection et créent des opportunités pour que des données sensibles quittent des environnements contrôlés et pénètrent dans des systèmes aux contrôles flous, cela engendre un risque interne important, susceptible d'avoir des conséquences financières considérables pour l'organisation. en moyenne 19.5 millions de dollars par anEn poussant l'activité des utilisateurs davantage vers des navigateurs non gérés, des comptes cloud personnels ou des outils d'IA de niche, les entreprises créent davantage de vecteurs de menace que les équipes de sécurité risquent de ne jamais détecter.

Ainsi, les données fantômes ne sont pas uniquement le résultat d'employés imprudents ayant accès aux outils d'IA. Elles résultent de la conception accessible de l'IA de nouvelle génération, de la nécessité de contextualiser les données et de son omniprésence. Tant que les entreprises n'auront pas retrouvé la visibilité sur la circulation de leurs données fantômes, l'adoption de l'IA de nouvelle génération continuera de dépasser leur capacité à gérer les risques associés.

Éliminer les données fantômes grâce à la visibilité et à la protection

Bien qu'il soit peu probable que le blocage total des solutions GenAI fonctionne, les entreprises peuvent soutenir l'innovation en IA tout en freinant la prolifération des données fantômes en prenant trois mesures essentielles :

1. Établir une visibilité de bout en bout

Avant de pouvoir protéger efficacement leurs écosystèmes de données, les entreprises doivent connaître précisément la nature de leurs données. Cela commence par un recensement complet des applications d'IA générale utilisées par leurs employés, y compris celles intégrées aux outils autorisés. Il s'agit également d'identifier les types de données partagées avec ces applications (financières, propriété intellectuelle, données personnelles, données de santé ou autres informations réglementées), ainsi que leur parcours au sein des réseaux sur site, SaaS et cloud. Sans ces informations cruciales, les équipes de sécurité et de conformité doivent se baser sur des suppositions plutôt que sur une analyse précise des comportements réels des employés.

2. Appliquer des politiques de protection des données adaptées au contexte

La visibilité seule ne suffit pas si les contrôles ne s'adaptent pas à l'utilisation de l'IA de génération. Les politiques classiques d'« autorisation ou blocage » sont trop rigides pour les flux de travail d'IA qui nécessitent un échange de données continu et conversationnel. Pour protéger efficacement ces solutions, les équipes doivent créer des politiques contextuelles qui évaluent les utilisateurs, les données et les destinations en temps réel. Cela permet d'agir de manière réaliste et proportionnée sur le comportement des utilisateurs : bloquer les chargements risqués, masquer les informations sensibles avant leur diffusion ou inciter les employés à privilégier des alternatives plus sûres. Ces garde-fous automatisés s'intègrent plus facilement aux tâches quotidiennes qu'une interruption brutale ou une intervention manuelle, ce qui sécurise l'utilisation de l'IA de génération sans nuire à la productivité.

3. Garantir une application cohérente des politiques

Les entreprises doivent appliquer un ensemble unique et cohérent de politiques de protection des données, quel que soit l'environnement de travail, sans pour autant contraindre les équipes à abandonner les outils qu'elles utilisent régulièrement. Il est impératif d'éviter de remplacer brutalement les outils existants, car cela perturberait considérablement la productivité. Au contraire, il convient de mettre en place des politiques uniformes qui suivent les données et les utilisateurs sur l'ensemble des plateformes de stockage cloud, de collaboration, d'applications SaaS et d'assistants d'intelligence artificielle. Cette cohérence permettra de réduire les risques et les frictions, d'éviter la gestion de contrôles fragmentés par les équipes de sécurité et de garantir aux employés un cadre de sécurité prévisible, plutôt que de les exposer à des interdictions inattendues. En définitive, une approche proactive et cohérente sera bien plus efficace qu'une approche réactive et fragmentée.

Soutenir une adoption sûre et durable

Les outils d'IA générale se sont trop rapidement intégrés aux flux de travail quotidiens pour que les organisations puissent les considérer comme une niche ou un risque expérimental. Il est impossible de les ignorer, ni de les éradiquer complètement. Les entreprises doivent donc définir une stratégie qui permette une utilisation innovante de l'IA tout en évitant la circulation opaque et non protégée des données sensibles au sein des écosystèmes de données. Le succès ne réside pas dans la suppression de l'adoption, mais dans sa facilitation sécurisée grâce à une protection des données continue, contextuelle et cohérente, quel que soit leur flux.