Connect with us

Leaders d’opinion

Confronter les risques de sécurité des copilotes

mm
Published
Updated

De plus en plus, les entreprises utilisent des copilotes et des plateformes de développement à faible code pour permettre aux employés – même ceux ayant peu ou pas d’expertise technique – de créer des copilotes et des applications métier puissants, ainsi que de traiter de vastes quantités de données. Un nouveau rapport de Zenity, The State of Enterprise Copilots and Low-Code Development in 2024, a constaté que, en moyenne, les entreprises ont environ 80 000 applications et copilotes qui ont été créés en dehors du cycle de développement logiciel standard (SDLC).

Ce développement offre de nouvelles opportunités, mais également de nouveaux risques. Parmi ces 80 000 applications et copilotes, on compte environ 50 000 vulnérabilités. Le rapport note que ces applications et copilotes évoluent à une vitesse vertigineuse. Par conséquent, ils créent un grand nombre de vulnérabilités.

Risques des copilotes et des applications d’entreprise

Typiquement, les développeurs de logiciels construisent des applications avec soin le long d’un cycle de développement logiciel défini (SDLC) où chaque application est constamment conçue, déployée, mesurée et analysée. Mais aujourd’hui, ces garde-fous n’existent plus. Les personnes sans expérience de développement peuvent maintenant créer et utiliser des copilotes et des applications métier puissants dans Power Platform, Microsoft Copilot, OpenAI, ServiceNow, Salesforce, UiPath, Zapier et d’autres. Ces applications aident les opérations commerciales car elles transfèrent et stockent des données sensibles. La croissance dans ce domaine a été significative ; le rapport a constaté une croissance de 39 % d’une année sur l’autre dans l’adoption du développement à faible code et des copilotes.

En conséquence de ce contournement du SDLC, les vulnérabilités sont omniprésentes. De nombreuses entreprises adoptent avec enthousiasme ces capacités sans pleinement apprécier le fait qu’elles doivent comprendre combien de copilotes et d’applications sont créés – et leur contexte commercial, également. Par exemple, ils doivent comprendre pour qui les applications et les copilotes sont destinés, quels données l’application interagit et quels sont leurs objectifs commerciaux. Ils doivent également savoir qui les développe. Puisqu’ils ne le font souvent pas, et puisque les pratiques de développement standard sont contournées, cela crée une nouvelle forme d’informatique de l’ombre.

Cela met les équipes de sécurité dans une position difficile avec de nombreux copilotes, applications, automatisations et rapports qui sont construits en dehors de leur connaissance par les utilisateurs commerciaux dans diverses unités commerciales. Le rapport a constaté que toutes les catégories de risques OWASP (Open Web Application Security Project) Top 10 sont omniprésentes dans les entreprises. En moyenne, une entreprise compte 49 438 vulnérabilités. Cela se traduit par 62 % des copilotes et des applications construits via un code à faible code contenant une vulnérabilité de sécurité de quelque sorte.

Comprendre les différents types de risques

Les copilotes présentent un potentiel de menace si important parce qu’ils utilisent des informations d’identification, ont accès à des données sensibles et possèdent une curiosité intrinsèque qui les rendent difficiles à contenir. En fait, 63 % des copilotes construits avec des plateformes à faible code ont été partagés avec d’autres – et beaucoup d’entre eux acceptent des discussions non authentifiées. Cela permet un risque important pour les attaques d’injection de commande possible.

En raison de la façon dont les copilotes fonctionnent et de la façon dont l’IA fonctionne en général, des mesures de sécurité strictes doivent être appliquées pour empêcher le partage des interactions des utilisateurs finals avec les copilotes, le partage d’applications avec trop de personnes ou les mauvaises personnes, l’octroi d’un accès non nécessaire à des données sensibles via l’IA, etc. Si ces mesures ne sont pas en place, les entreprises risquent d’être exposées à des fuites de données et à des injections de commandes malveillantes.

Related Topics:
mm

Ben Kliger est le PDG et co-fondateur de Zenity, qui apporte la sécurité des applications au monde des copilotes d'entreprise, du développement d'applications à code faible et sans code. Ben a une vaste expérience dans l'industrie de la cybersécurité s'étendant sur plus de 16 ans. Son expertise va de la cybersécurité pratique, la construction d'équipes et le leadership à la stratégie commerciale et à la gestion.