Le risque lié à l'IA que personne ne surveille : divulgation de secrets dans les flux de travail d'entreprise

La plupart des discussions sur les risques liés à l'IA en entreprise débutent par une préoccupation bien connue : le transfert de données clients par les employés vers les chatbots. Les questions de confidentialité et de conformité réglementaire font la une des journaux et sont au cœur des réunions des conseils d'administration. une étude de Deloitte Ces études montrent que la confidentialité et la sécurité des données figurent parmi les principaux risques liés à l'IA qui préoccupent les organisations.

Pourtant, les données issues de l'utilisation en entreprise révèlent une tout autre réalité. Les informations sensibles les plus fréquemment transmises aux outils d'IA ne sont pas des données personnelles, mais des secrets et des identifiants.

Les clés API, les jetons d'accès, les webhooks et les éléments d'authentification représentent désormais la part la plus importante des fuites de données sensibles observées lors des interactions avec l'IA. Ces fuites résultent rarement d'une négligence ou d'une intention malveillante ; elles surviennent plutôt lors de tâches courantes telles que le débogage d'une intégration défaillante, le dépannage de l'automatisation, les tests de code ou la résolution d'un problème client. À mesure que l'IA s'intègre aux flux de travail quotidiens, ces incidents se produisent constamment et souvent en dehors du champ de vision des contrôles de sécurité traditionnels.

Les conséquences sont évidentes. À mesure que l'adoption de l'IA se généralise, les organisations perçoivent plus précisément les risques réels et leur gouvernance doit évoluer pour y faire face.

Un risque d'exposition des données d'IA négligé se cache pourtant sous nos yeux.

Une IA récente analyse d'utilisation Une étude menée par Nudge Security a examiné des données de télémétrie anonymisées dans des environnements d'entreprise afin de comprendre comment les outils d'IA sont réellement utilisés au travail. Au lieu de s'appuyer sur des enquêtes ou des déclarations subjectives, cette recherche a analysé l'activité, les intégrations et les comportements des IA observés au sein des écosystèmes SaaS d'entreprise.

Ces résultats apportent un éclairage nouveau sur les risques liés à l'IA en entreprise. Les divulgations de données sensibles via les invites d'IA concernent principalement les identifiants opérationnels. Les secrets et identifiants représentent environ 48 % des incidents de données sensibles détectés, contre 36 % pour les données financières et 16 % pour les informations de santé. Ces tendances suggèrent que le principal défi en matière de divulgation de données par l'IA n'est pas la fuite de données personnelles, mais la prolifération des secrets.

La même étude montre que l'adoption de l'IA a dépassé le stade de l'expérimentation. Les outils d'IA sont intégrés aux processus métier, aux plateformes d'entreprise essentielles et de plus en plus capables d'agir de manière autonome. Les principaux fournisseurs de modèles de langage sont désormais quasi omniprésents : OpenAI est présent dans 96 % des organisations et Anthropic dans 78 %.

Recherche de McKinsey Une étude révèle que 88 % des organisations déclarent utiliser régulièrement l'IA dans au moins une fonction métier, contre 78 % il y a un an. Les outils d'analyse de réunions, les plateformes de codage assisté par IA, les générateurs de présentations et les technologies vocales sont largement déployés, témoignant de l'expansion de l'IA, des interfaces de messagerie instantanée aux flux de travail quotidiens. Cette expansion est préoccupante car l'utilisation s'accompagne de risques. À mesure que l'IA s'intègre aux environnements de développement, aux plateformes collaboratives et aux processus de support client, elle se rapproche des systèmes sensibles et des données opérationnelles.

L'adoption s'est également faite de manière ascendante. une étude récente de KPMG Une étude a révélé que 44 % des employés utilisent des outils d'IA sans l'autorisation de leur employeur, ce qui témoigne de la rapidité avec laquelle ces outils s'intègrent aux flux de travail quotidiens. Les employés installent des extensions de navigateur, connectent des assistants et expérimentent différentes intégrations pour accélérer leurs tâches quotidiennes, souvent en dehors des processus d'approvisionnement centralisés. Les analystes en sécurité décrivent ce phénomène comme suit : IA de l'ombreDans ce contexte, les outils fonctionnent au sein des navigateurs et des flux de travail SaaS, échappant ainsi à la visibilité informatique traditionnelle. Du fait de leur déploiement instantané et de leur faible besoin de configuration technique, les programmes de gouvernance, basés sur les processus d'approbation des fournisseurs et les politiques d'utilisation acceptable, peinent à suivre le rythme de l'introduction et de l'utilisation réelles de l'IA en entreprise.

Pourquoi les fuites de secrets peuvent créer un risque opérationnel immédiat

Les données personnelles restent sensibles et réglementées, mais les secrets ont un impact opérationnel immédiat. Une clé API divulguée peut donner accès aux systèmes de production. Un jeton compromis peut exposer des référentiels. Une URL de webhook peut permettre une automatisation non autorisée. Les identifiants apparaissent fréquemment dans les invites d'IA lors des flux de travail de routine. Les développeurs collent des jetons dans les interfaces de chat lors du dépannage des échecs d'authentification, les ingénieurs peuvent partager des extraits de configuration pour diagnostiquer des problèmes d'intégration. Ces actions ne sont pas inhabituelles. Les secrets sont intégrés aux flux de travail techniques et apparaissent dans les journaux, les scripts, les fichiers de configuration et les résultats d'automatisation. Lorsque les équipes sont sous pression pour résoudre rapidement les problèmes, elles peuvent partager ces éléments sans prendre le temps de considérer les données sensibles qu'ils contiennent.

Les interfaces d'IA amplifient ce comportement. Les invites encouragent le partage de contexte. Le téléchargement de fichiers facilite un dépannage plus poussé. Les flux de travail intégrés simplifient le transfert de données entre les systèmes. Une étude de Nudge Security a révélé que 17 % des invites impliquent des opérations de copier-coller ou des téléchargements de fichiers. Dans ce contexte, des identifiants sensibles peuvent être compromis en quelques secondes.

La gouvernance traditionnelle néglige le risque comportemental

Les programmes de gouvernance de l'IA se concentrent souvent sur des contrôles formels tels que les politiques et les outils approuvés. Cette approche part du principe que le risque provient d'une mauvaise utilisation ou du comportement du modèle. En pratique, les risques les plus importants surviennent lors des flux de travail de routine effectués par des employés bien intentionnés.

Le paysage de l'IA évolue à une vitesse fulgurante, avec de nouvelles technologies lancées quotidiennement. Face à l'essor des outils les plus récents, vos employés contournent les méthodes traditionnelles de contrôle réseau, faute de pouvoir suivre le rythme. Le navigateur permet une observation directe des comportements contextuels, offrant ainsi la flexibilité nécessaire pour s'adapter à l'évolution constante du monde du travail moderne.

Ce décalage explique pourquoi les organisations peuvent mettre en œuvre des politiques rigoureuses tout en subissant des expositions de données sensibles. Les politiques définissent les attentes. Les comportements déterminent les résultats. Une gouvernance efficace exige une visibilité sur l'utilisation réelle des outils d'IA et des garde-fous permettant de prendre des décisions plus sûres au moment du partage des données.

Les intégrations et les agents étendent le champ d'exposition

Le profil de risque d'un outil d'IA est déterminé par ses droits d'accès. Les intégrations créent des voies de communication sécurisées entre les systèmes. Les autorisations OAuth, les jetons d'API et les comptes de service permettent aux outils d'IA de récupérer des documents, de mettre à jour des tickets ou d'interagir avec les dépôts de code. Les études sur l'adoption de l'IA en entreprise soulignent que les intégrations définissent précisément le périmètre d'exposition. Une autorisation mal configurée ou un jeton compromis peut exposer des dépôts de documents entiers ou des environnements de développement, car les connexions sécurisées permettent des transferts de données à la vitesse de la machine.

L'IA agentique introduit une complexité supplémentaire. Les premiers déploiements privilégient souvent la fonctionnalité au détriment du principe du moindre privilège. Les autorisations accordées lors des expérimentations peuvent persister longtemps après l'évolution des cas d'utilisation initiaux. Avec le temps, ces autorisations accumulées créent un risque latent. Les équipes de sécurité doivent considérer les intégrations et les autorisations des agents comme des décisions d'accès pérennes et non comme de simples commodités temporaires.

Que doivent faire les équipes de sécurité maintenant ?

Réduire l'exposition des secrets dans les flux de travail d'IA nécessite de passer de contrôles réactifs à une gouvernance qui reflète la réalité du travail. Les responsables de la sécurité peuvent commencer par des mesures concrètes qui améliorent la visibilité, encouragent des comportements plus sûrs et réduisent l'exposition sans ralentir la productivité :

• Cartographier les zones où se produisent les interactions avec l'IA.
  Identifiez les environnements par lesquels les données alimentent les outils d'IA, notamment les extensions de navigateur, les environnements de développement, les plateformes d'automatisation et les interfaces de messagerie instantanée. Une visibilité continue sur ces points de contact est essentielle à une gouvernance efficace.
• Intervenir au moment même où les décisions sont prises.
  Mettez en place un système de contrôle des informations confidentielles, des invites de rédaction et des alertes en temps réel informant les utilisateurs lorsque des identifiants ou des données sensibles sont sur le point d'être partagés. Ces avertissements opportuns réduisent les risques de divulgation accidentelle tout en préservant la fluidité des flux de travail.
• Appliquez la gouvernance d'intégration avec la même rigueur que pour les applications OAuth.
  Examinez les outils d'IA connectés à la messagerie, aux documents, aux systèmes de billetterie et aux référentiels. Appliquez le principe du moindre privilège et effectuez des revues périodiques des autorisations afin de réduire les risques d'exposition à long terme.
• Créer des flux de travail plus sûrs pour le dépannage et l'assistance.
  Fournissez des modèles expurgés, des connecteurs sécurisés et des outils internes pour analyser les journaux ou les fichiers de configuration afin que les équipes puissent utiliser l'IA pour résoudre les problèmes sans exposer leurs identifiants en direct.
• Établir des garde-fous pour l'automatisation basée sur des agents.
  Exiger une approbation humaine pour les actions à fort impact, consigner l'activité des agents de manière centralisée et utiliser des jetons d'accès limités pour éviter la prolifération des autorisations et l'automatisation non intentionnelle.
• Formation pratique en situation réelle.
  La formation est plus efficace lorsqu'elle s'appuie sur des tâches courantes telles que le débogage d'intégrations, l'analyse de journaux ou le chargement de fichiers. Des exemples concrets aident les employés à identifier les risques dès leur apparition.

Ces mesures alignent la gouvernance sur le travail quotidien, permettant aux organisations de réduire l'exposition aux secrets tout en soutenant les gains de productivité qui favorisent l'adoption de l'IA.

De la politique en matière d'IA à la gouvernance comportementale de l'IA

L'IA évolue d'un outil de productivité vers une couche opérationnelle intégrée au travail quotidien, recherche montrant Les agents d'IA sont désormais intégrés aux processus métiers des entreprises, et les prévisions prévoient la présence d'agents dédiés à des tâches spécifiques au sein d'une grande partie des applications d'entreprise. À mesure que leur adoption se généralise, les principaux risques dépassent le simple cadre des atteintes à la vie privée ou de l'utilisation abusive des modèles. Ils découlent de l'interaction entre les personnes, les autorisations et les plateformes dans les processus métiers réels.

La divulgation de secrets dans les invites d'IA est un signe visible de cette transformation plus large. Elle met en lumière les limites des contrôles périmétriques et de la gouvernance fondée uniquement sur des politiques, et renforce la nécessité de garde-fous opérant au cœur même des processus décisionnels. Les organisations qui s'adaptent dépasseront les contrôles réactifs pour adopter des modèles de gouvernance ancrés dans les comportements réels. Elles considéreront les intégrations et les permissions comme des relations d'accès durables. Elles guideront les employés au moment de l'action plutôt que de s'appuyer uniquement sur l'application des politiques.

Dans le monde du travail moderne, l'IA passe du statut d'outil à celui de collaborateur. Pour garantir cette collaboration, une gouvernance adaptée est indispensable afin de protéger les données critiques, de favoriser des décisions plus sûres et de maintenir la rapidité et l'efficacité permises par l'IA.