Suivez nous sur

Faire face aux risques de sécurité des copilotes

Des leaders d'opinion

Faire face aux risques de sécurité des copilotes

mm
Publié

De plus en plus, les entreprises utilisent des copilotes et des plateformes low-code pour permettre aux employés – même ceux qui ont peu ou pas d’expertise technique – de créer des copilotes et des applications professionnelles puissants, ainsi que de traiter de vastes quantités de données. Un nouveau rapport de Zenity, L'état des copilotes d'entreprise et du développement low-code en 2024, a constaté qu'en moyenne, les entreprises disposent d'environ 80,000 XNUMX applications et copilotes créés en dehors de l'entreprise. cycle de vie de développement de logiciel standard (SDLC).

Cette évolution offre de nouvelles opportunités, mais aussi de nouveaux risques. Parmi ces 80,000 50,000 applications et copilotes, on compte environ XNUMX XNUMX vulnérabilités. Le rapport souligne que ces applications et copilotes évoluent à une vitesse vertigineuse. Par conséquent, ils créent un nombre considérable de vulnérabilités.

Risques des copilotes et des applications d'entreprise

En règle générale, les développeurs de logiciels créent soigneusement des applications selon un cycle de vie de développement sécurisé (SDLC) défini, dans lequel chaque application est constamment conçue, déployée, mesurée et analysée. Mais aujourd’hui, ces garde-fous n’existent plus. Les personnes sans expérience de développement peuvent désormais créer et utiliser des applications copilotes et des applications métier très performantes au sein de Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier et d’autres. Ces applications facilitent les opérations commerciales car elles transfèrent et stockent des données sensibles. La croissance dans ce domaine a été significative ; le rapport a constaté une croissance de 39 % d’une année sur l’autre dans l’adoption du développement low-code et des copilotes.

En raison de ce contournement du cycle de vie du développement logiciel (SDLC), les vulnérabilités sont omniprésentes. De nombreuses entreprises adoptent avec enthousiasme ces fonctionnalités sans pleinement comprendre le fait qu'elles doivent comprendre le nombre de copilotes et d'applications créés, ainsi que leur contexte commercial. Par exemple, elles doivent comprendre à qui sont destinés les applications et les copilotes, avec quelles données l'application interagit et quels sont leurs objectifs commerciaux. Elles doivent également savoir qui les développe. Comme ce n'est souvent pas le cas et que les pratiques de développement standard sont contournées, cela crée une nouvelle forme d'informatique fantôme.

Cela met les équipes de sécurité dans une position difficile avec un grand nombre de copilotes, d'applications, d'automatisations et de rapports qui sont créés en dehors de leurs connaissances par des utilisateurs professionnels dans divers domaines d'activité. Le rapport a révélé que tous les OWASP (Open Web Application Security Project) Les 10 principales catégories de risques sont omniprésentes dans les entreprises. En moyenne, une entreprise compte 49,438 62 vulnérabilités. Cela signifie que XNUMX % des copilotes et des applications créés via low-code contiennent une vulnérabilité de sécurité d'une certaine sorte.

Comprendre les différents types de risques

Les copilotes représentent une menace potentielle importante car ils utilisent des identifiants, ont accès à des données sensibles et possèdent une curiosité intrinsèque qui les rend difficiles à contenir. En fait, 63 % des copilotes créés avec des plateformes low-code ont été partagés avec d’autres personnes – et beaucoup d’entre eux acceptent des conversations non authentifiées. Cela crée un risque substantiel d’attaques par injection rapide.

En raison du mode de fonctionnement des copilotes et de l’IA en général, des mesures de sécurité strictes doivent être appliquées pour empêcher le partage des interactions des utilisateurs finaux avec les copilotes, le partage d’applications avec un trop grand nombre de personnes ou avec les mauvaises personnes, l’octroi inutile d’un accès à des données sensibles via l’IA, etc. Si ces mesures ne sont pas mises en place, les entreprises risquent d’être davantage exposées aux fuites de données et aux injections d’invites malveillantes.

Deux autres risques importants sont les suivants :

Exécution à distance du copilote (RCE) – Ces vulnérabilités représentent une voie d’attaque spécifique aux applications d’IA. Cette version RCE permet à un attaquant externe de prendre le contrôle total de Copilot pour M365 et de le forcer à obéir à ses commandes simplement en envoyant un e-mail, une invitation de calendrier ou un message Teams.

Comptes invités : en utilisant un seul compte invité et une licence d'essai sur une plateforme low-code (généralement disponible gratuitement sur plusieurs outils), un attaquant n'a qu'à se connecter à la plateforme low-code ou au copilote de l'entreprise. Une fois connecté, l'attaquant bascule vers le répertoire cible et dispose alors de privilèges de niveau administrateur de domaine sur la plateforme. Par conséquent, les attaquants recherchent ces comptes invités, qui ont conduit à des failles de sécurité. Voici un point de données qui devrait effrayer les dirigeants d'entreprise et leurs équipes de sécurité : l'entreprise type compte plus de 8,641 XNUMX instances d'utilisateurs invités non fiables qui ont accès à des applications développées via le low-code et les copilotes.

Une nouvelle approche de la sécurité est nécessaire

Que peuvent faire les équipes de sécurité face à ce risque omniprésent, amorphe et critique ? Elles doivent s’assurer qu’elles ont mis en place des contrôles pour les alerter de toute application comportant une étape non sécurisée dans son processus de récupération des informations d’identification ou un secret codé en dur. Elles doivent également ajouter du contexte à toute application en cours de création pour s’assurer qu’il existe des contrôles d’authentification appropriés pour toutes les applications critiques pour l’entreprise qui ont également accès à des données internes sensibles.

Une fois ces tactiques déployées, la priorité suivante consiste à s'assurer que l'authentification appropriée est configurée pour les applications qui ont besoin d'accéder à des données sensibles. Ensuite, il est recommandé de configurer les informations d'identification de manière à ce qu'elles puissent être récupérées en toute sécurité à partir d'un coffre-fort d'informations d'identification ou de secrets, ce qui garantira que les mots de passe ne sont pas en texte clair ou simple.

Assurer votre avenir

 Le gĂ©nie du dĂ©veloppement low-code et copilote est sorti de la bouteille, il n'est donc pas rĂ©aliste d'essayer de le remettre en place. Les entreprises doivent plutĂ´t ĂŞtre conscientes des risques et mettre en place des contrĂ´les qui garantissent la sĂ©curitĂ© et la gestion adĂ©quate de leurs donnĂ©es. Les Ă©quipes de sĂ©curitĂ© ont Ă©tĂ© confrontĂ©es Ă  de nombreux dĂ©fis dans cette nouvelle ère de dĂ©veloppement pilotĂ© par l'entreprise, mais en adhĂ©rant aux recommandations mentionnĂ©es ci-dessus, elles seront dans la meilleure position possible pour apporter en toute sĂ©curitĂ© l'innovation et la productivitĂ© que les copilotes d'entreprise et les plateformes de dĂ©veloppement low-code offrent vers un nouvel avenir audacieux.

Rubriques connexes:
mm

Ben Kliger est le PDG et co-fondateur de Zénité, Ben apporte la sécurité des applications au monde des copilotes d'entreprise, du développement d'applications low-code et no-code. Ben possède une vaste expérience dans le secteur de la cybersécurité depuis plus de 16 ans. Son expertise s'étend de la cybersécurité pratique, de la constitution d'équipes et du leadership à la stratégie et à la gestion d'entreprise.