L’intelligence artificielle est devenue le plus grand canal incontrôlé pour l’exfiltration des données d’entreprise, dépassant à la fois Shadow SaaS et le partage de fichiers non géré, selon un nouveau rapport de l’IA et de la société de sécurité de navigateur Layerx. La recherche, basée sur la télémétrie de navigation dans le monde réel, indique que le risque principal de l’IA dans l’entreprise n’est pas une menace future, mais une réalité actuelle qui se déroule dans les flux de travail quotidiens. Les données sensibles de l’entreprise se déroulent déjà dans des outils d’IA génératifs comme Chatgpt, Claude et Copilot à des taux élevés, principalement via des comptes personnels non gérés et de la fonction de copie et de coche.
L’adoption rapide et non gouvernée de l’IA
Les outils d’IA ont atteint un niveau d’adoption en seulement deux ans qui a pris d’autres décennies à atteindre. Près de la moitié de tous les employés de l’entreprise (45%) utilisent déjà une IA générative, Chatgpt à lui seul atteignant 43% de pénétration. L’IA représente désormais 11% de toutes les activités d’application de l’entreprise, rivalisant avec les applications de partage de fichiers et de productivité de bureau. Cette croissance s’est largement produite sans gouvernance correspondante. Le rapport a révélé que 67% de l’utilisation de l’IA se produit via des comptes personnels non gérés, laissant les équipes de sécurité sans visibilité dans lesquelles les employés utilisent quels outils ou quelles données sont partagées.
Les données sensibles fuient les fichiers et la copie-coller
La recherche a révélé des tendances alarmantes dans la façon dont les données sensibles sont gérées avec les plates-formes d’IA.
- Téléchargements de fichiers: 40% des fichiers téléchargés dans des outils d’IA génératifs contiennent des données personnellement identifiables (PII) ou des données de l’industrie des cartes de paiement (PCI). Près de quatre de ces téléchargements sur dix sont effectués en utilisant des comptes personnels.
- Copie-coller: Le canal principal pour la fuite de données est la fonction de copie-coller. 77% des employés collent des données dans des outils d’IA génératifs, et 82% de cette activité provient de comptes personnels non gérés. En moyenne, les employés collent des données sensibles à ces outils via des comptes personnels au moins trois fois par jour.
Le rapport identifie la copie-coller dans une IA générative comme le vecteur numéro un pour les données de l’entreprise quittant le contrôle de l’entreprise. Les programmes de sécurité traditionnels axés sur la numérisation des pièces jointes et le blocage des téléchargements non autorisés manquent entièrement cette menace.
Autres angles morts de sécurité majeurs
Le rapport met en évidence deux autres domaines critiques où les données d’entreprise sont en danger.
- Connects non fédérés: Même lorsque les employés utilisent des références d’entreprise pour des plates-formes à haut risque comme les systèmes CRM et ERP, ils contournent massivement l’authentification unique (SSO). 71% des connexions CRM et 83% des connexions ERP ne sont pas fédérées, ce qui rend une connexion d’entreprise fonctionnellement la même que personnelle d’un point de vue de la visibilité de la sécurité.
- Messagerie instantanée: 87% de l’utilisation du chat d’entreprise se produit via des comptes personnels non gérés, et 62% des utilisateurs cossent des données PII ou PCI.
Recommandations pour la sécurité des entreprises à l’ère AI
Le rapport offre plusieurs recommandations claires pour les chefs de la sécurité.
- Traitez la sécurité AI comme une catégorie d’entreprise de base, et non une catégorie émergente, avec une surveillance des téléchargements, des invites et des flux de comp-coller.
- Passer d’un modèle de sécurité centré sur le fichier à un modèle centré sur l’action qui explique des méthodes sans fichier comme la copie-coller et le chat.
- Restreindre l’utilisation de comptes personnels non gérés et appliquer les connexions fédérées pour toutes les applications d’entreprise.
- Prioriser les catégories d’applications les plus à risque pour les contrôles les plus serrés: AI, chat et stockage de fichiers.
Les résultats brossent une image claire: le périmètre de sécurité de l’entreprise s’est déplacé vers le navigateur, où les employés déplacent fluide les données sensibles entre les outils sanctionnés et non autorisés. Le rapport conclut que si les équipes de sécurité ne s’adaptent pas à cette nouvelle réalité, l’IA ne façonnera pas seulement l’avenir du travail, mais aussi l’avenir des violations de données.
