L’ombre large et obscure de GenAI met les données de votre entreprise en danger

Les solutions d’intelligence artificielle générative (GenAI) ne sont plus quelque chose que les employés d’entreprise « testent ». Elles sont adoptées et intégrées dans le travail quotidien à un rythme de plus en plus rapide. Selon un rapport, 40 % des organisations ont déclaré utiliser GenAI dans leurs flux de travail quotidiens au cours de la dernière année, et plus de 80 % ont déclaré que les utilisateurs interagissaient avec ces outils chaque semaine.

Mais alors que l’adoption de l’IA augmente, la visibilité et le contrôle ne suivent pas le même rythme. Alors que GenAI s’intègre dans les boîtes de réception de messagerie électronique, les éditeurs de code, les suites de collaboration, les assistants virtuels et plus encore, il obtient accès à des quantités de plus en plus grandes de données sensibles via des invites, des téléchargements et des actions de copier-coller – tout cela contourne probablement les contrôles traditionnels.

Le résultat est un bassin croissant de données d’ombre : des informations critiques pour l’entreprise qui circulent dans les services SaaS, le cloud et les services sur site avec des garanties limitées pour la visibilité, la gouvernance ou la conservation. Pour innover de manière durable et sécurisée avec les solutions d’IA, il est essentiel que les entreprises modernes comprennent cet écart entre adoption et contrôle et apprennent à résoudre le problème des données d’ombre avant qu’elles ne leur échappent.

L’ombre large et obscure de GenAI

Le défi principal des données d’ombre provient d’un manque de contexte. Alors que les défis de l’informatique d’ombre sont limités aux fichiers au repos, aux applications sanctionnées et aux points de sortie connus, les limites des données d’ombre alimentées par l’IA sont beaucoup moins rigoureusement définies. Les équipes ne peuvent pas simplement découvrir et sécuriser des outils inconnus ; elles doivent également surveiller les modèles d’IA intégrés dans les applications approuvées telles que les plateformes de messagerie électronique, les solutions de stockage cloud et les CRM. Cela bouleverse les « solutions sûres » avec lesquelles ils ont travaillé et les surveillent, et élargit leur paysage de menaces.

GenAI modifie également la façon dont les données sensibles circulent dans l’architecture de l’entreprise. Contrairement aux flux de travail basés sur les applications et les fichiers des solutions SaaS traditionnelles, il fonctionne sur une couche conversationnelle continue qui encourage les utilisateurs à partager du contexte pour obtenir de meilleurs résultats. Cela amène les utilisateurs à effectuer des actions de copier-coller et de téléchargement routinières qui peuvent inclure des extraits de code source, des dossiers de clients, des documents internes et plus encore, tous ces éléments manquant de la gouvernance appropriée pour leurs niveaux de sensibilité respectifs.

De plus, l’adoption de GenAI ne suit souvent pas un modèle centralisé propre. Aucun deux utilisateurs de données d’entreprise ne sont exactement identiques, et leur recherche de flux de travail optimisés et d’automatisation pour gagner du temps peut les amener à utiliser de nombreuses solutions d’IA, ce qui à son tour crée encore plus de chemins de données fragmentés. Multipliez cela par l’ensemble de la main-d’œuvre de votre entreprise, et l’ombre devient incroyablement large.

Pourquoi bloquer GenAI ne fonctionnera pas

Confrontés à ces menaces, de nombreuses organisations ont une réaction de blocage immédiat – ou de restriction étroite – de l’accès aux outils GenAI. Même si cette approche est compréhensible, elle n’est souvent pas aussi efficace que l’entreprise pourrait l’espérer. Une fois que le génie GenAI est sorti de la bouteille, pour ainsi dire, il est extrêmement difficile de le reprendre en main. De nombreux employés utilisent ces outils pour rationaliser leurs flux de travail quotidiens, en intégrant GenAI dans leur planification et exécution de tâches.

Lorsque l’accès est restreint d’en haut, l’utilisation ne s’arrête pas ; elle passe simplement hors de vue. Si les employés basculent sur des comptes personnels ou non gérés, les entreprises perdent toute visibilité sur les données partagées et conservées par les applications. En fait, un rapport a constaté que 44 % des employés ont déjà utilisé l’IA de manière contraire aux politiques et lignes directrices, tandis qu’une autre étude a constaté que 75 % des employés qui utilisent des outils d’IA non approuvés ont admis partager des informations potentiellement sensibles avec eux. Lorsque des employés bien intentionnés contournent involontairement les garanties et créent des opportunités pour que des données sensibles quittent des environnements gérés et entrent dans des systèmes à contrôles incertains, cela crée un risque important pour l’entreprise, qui peut coûter en moyenne 19,5 millions de dollars par an. En poussant l’activité des utilisateurs vers des navigateurs non gérés, des comptes cloud personnels ou des outils d’IA de niche, les entreprises créent plus de vecteurs de menace que les équipes de sécurité pourraient jamais voir.

De cette façon, les données d’ombre ne sont pas le seul résultat d’employés imprudents ayant accès à des outils d’IA. C’est un résultat structurel de la conception accessible de GenAI, de la demande de contexte et de l’ubiquité globale. Et jusqu’à ce que les entreprises puissent retrouver la visibilité sur la façon dont et où leurs données d’ombre circulent, l’adoption de GenAI continuera à dépasser leur capacité à gérer son risque.

Éliminer les données d’ombre avec la visibilité et la protection

Même si le blocage complet des solutions GenAI n’est pas susceptible de fonctionner, les entreprises peuvent soutenir l’innovation de l’IA tout en dissuadant la prolifération des données d’ombre en prenant trois mesures essentielles :

1. Établir une visibilité de bout en bout

Les entreprises doivent savoir exactement avec quoi elles sont confrontées avant de pouvoir protéger efficacement leurs écosystèmes de données. Cela commence par dresser un tableau complet des applications GenAI utilisées par leurs employés, y compris celles intégrées dans des outils sanctionnés. Cela s’étend également aux types de données – financières, PI, PII, PHI ou autres informations réglementées – partagées avec ces applications, ainsi qu’à l’endroit où les données voyagent à travers les réseaux sur site, SaaS et cloud. Sans ces informations cruciales, les équipes de sécurité et de conformité sont laissées pour gouverner des hypothèses plutôt que le comportement réel des employés.

2. Appliquer des politiques de protection des données sensibles au contexte

La visibilité seule n’est pas suffisante si les contrôles ne peuvent pas s’adapter à la façon dont GenAI est utilisé. Les politiques classiques « autoriser ou bloquer » sont trop rigides pour les flux de travail d’IA qui nécessitent un échange de données conversationnel continu. Pour protéger efficacement ces solutions, les équipes doivent créer des politiques sensibles au contexte qui évaluent les utilisateurs, les données et les destinations en temps réel. Cela permet de prendre des mesures réalistes et proportionnées sur le comportement des utilisateurs, en bloquant les téléchargements risqués, en supprimant les informations sensibles avant qu’elles ne quittent l’environnement ou en instruisant les employés pour essayer des alternatives plus sûres. Ces garde-fous automatisés peuvent être intégrés dans les tâches quotidiennes de manière plus efficace que la perturbation complète ou l’intervention manuelle, ce qui rend l’utilisation de GenAI plus sûre sans entraver la productivité.

3. Assurer l’application cohérente des politiques

Les entreprises doivent appliquer un ensemble unique et cohérent de politiques de protection des données partout où le travail se déroule, sans forcer les équipes à abandonner les outils dont elles sont venues à dépendre. Ils ne devraient pas « déchirer et remplacer » les outils établis, car cela perturberait considérablement la productivité. Au lieu de cela, ils devraient établir des politiques uniformes qui suivent les données et les utilisateurs à travers le stockage cloud, les plateformes de collaboration, les applications SaaS et les assistants GenAI. Cette cohérence réduira à la fois les risques et les frictions, permettant aux équipes de sécurité d’éviter de gérer des contrôles fragmentés et aux employés de travailler dans des garde-fous prévisibles plutôt que de faire face à des interdictions inattendues. En fin de compte, une réponse proactive et cohérente sera beaucoup plus efficace qu’une réponse réactive et fragmentée.

Soutenir l’adoption sûre et durable

Les outils GenAI sont devenus trop rapidement intégrés dans les flux de travail quotidiens pour que les organisations les traitent comme un risque de niche ou expérimental. Ils ne peuvent pas être ignorés, ni complètement arrachés. Au lieu de cela, les entreprises doivent naviguer un chemin vers l’avant qui permet une utilisation innovante de l’IA tout en évitant le mouvement non protégé de données sensibles à travers les écosystèmes de données. Le succès ne viendra pas de la suppression de l’adoption, mais de la rendre sûre grâce à une protection des données continue, contextuelle et cohérente partout où leurs données circulent. Les entreprises doivent naviguer un chemin vers l’avant qui permet une utilisation innovante de l’IA tout en évitant le mouvement non protégé de données sensibles à travers les écosystèmes de données. Le succès ne viendra pas de la suppression de l’adoption, mais de la rendre sûre grâce à une protection des données continue, contextuelle et cohérente partout où leurs données circulent.