Publié le 11 février 2024 à 05h34. L’utilisation de l’intelligence artificielle (IA) se répand à une vitesse fulgurante dans les entreprises, mais Microsoft alerte sur un danger croissant : l’IA « fantôme », c’est-à-dire des applications utilisées sans le contrôle des services informatiques et de sécurité, ouvrant la porte à de nouvelles vulnérabilités.
- Plus de 80 % des grandes entreprises (Fortune 500) utilisent déjà des outils d’IA pour la programmation.
- Seules 47 % des entreprises disposent de contrôles de sécurité spécifiques pour l’IA générative.
- 29 % des employés utilisent déjà des agents IA non autorisés dans leur travail.
Microsoft tire la sonnette d’alarme concernant l’utilisation incontrôlée d’assistants logiciels autonomes dotés d’intelligence artificielle. Son dernier « Cyber Pulse Report », publié à la veille de la conférence sur la sécurité de Munich, révèle que les outils d’aide à la programmation basés sur l’IA sont désormais présents dans plus de 80 % des entreprises figurant dans le classement Fortune 500. Cependant, une proportion alarmante d’entreprises manque de règles claires concernant leur utilisation, ce qui présente des risques considérables.
Ce phénomène, baptisé « IA fantôme », se caractérise par l’utilisation d’applications d’intelligence artificielle par les employés sans que les services informatiques ou de sécurité de l’entreprise en soient informés ou n’aient donné leur accord. Les salariés recourent de manière autonome à des outils ou agents d’IA disponibles sur internet, des programmes informatiques capables d’agir de manière indépendante, afin d’accomplir leurs tâches plus rapidement, sans que leur hiérarchie ne soit au courant.
Le rapport de Microsoft met en évidence un écart grandissant entre l’innovation et la sécurité. Alors que l’adoption de l’IA explose, moins de la moitié des entreprises (47 %) ont mis en place des mesures de sécurité spécifiques pour l’IA générative. De plus, près d’un tiers des employés (29 %) utilisent déjà des agents IA non autorisés dans le cadre de leur travail, créant ainsi des angles morts en matière de sécurité.
« Ceux qui décident ne comprennent rien à l’utilisation de l’IA »
Selon les experts de Microsoft, le risque s’accroît si les entreprises ne prennent pas le temps nécessaire pour intégrer les applications d’IA de manière sécurisée. « Le déploiement rapide d’agents d’IA peut compromettre les contrôles de sécurité et de conformité et augmenter le risque d’IA fantôme », avertissent-ils. Des acteurs malveillants pourraient exploiter les autorisations accordées à ces agents et les transformer involontairement en agents doubles : « Comme les employés humains, un agent disposant d’un accès trop large – ou d’instructions incorrectes – peut devenir une vulnérabilité. »
Les auteurs de l’étude soulignent qu’il ne s’agit pas de simples hypothèses. Récemment, l’équipe Defender de Microsoft a découvert une campagne frauduleuse dans laquelle plusieurs acteurs ont utilisé une technique d’attaque d’IA connue sous le nom d' »empoisonnement de la mémoire » pour manipuler de manière permanente la mémoire des assistants IA – et donc les résultats qu’ils produisent.
Limiter l’accès aux données
Le rapport recommande plusieurs mesures pour minimiser les risques liés à l’utilisation d’applications d’IA. Les assistants logiciels dotés d’intelligence artificielle ne devraient avoir accès qu’aux données strictement nécessaires à l’exécution de leur tâche. Les entreprises devraient également créer un registre centralisé recensant tous les agents d’IA présents au sein de l’organisation, leur propriétaire et les données auxquelles ils ont accès. Les agents non autorisés devraient être identifiés et isolés.
(fds)