Quantify the value of Netskope One SSE – Get the 2024 Forrester Total Economic Impact™ study

fermer
loupe
Commencez
loupe
Support
signe chevron
Support Langue
fermer
  • Pourquoi Netskope signe chevron

    Changer la façon dont le réseau et la sécurité fonctionnent ensemble.

  • Nos clients signe chevron

    Netskope sert plus de 3 400 clients dans le monde, dont plus de 30 entreprises du Fortune 100

  • Nos partenaires signe chevron

    Nous collaborons avec des leaders de la sécurité pour vous aider à sécuriser votre transition vers le cloud.

Un leader sur SSE. Désormais leader en matière de SASE à fournisseur unique.

Découvrez pourquoi Netskope a été classé parmi les leaders de l'édition 2024 du Gartner® Magic Quadrant™️ pour le Secure Access Service Edge à fournisseur unique.

Recevoir le rapport
Pleins feux sur les clients visionnaires

Découvrez comment des clients innovants naviguent avec succès dans le paysage évolutif de la mise en réseau et de la sécurité d’aujourd’hui grâce à la plateforme Netskope One.

Obtenir l'EBook
Pleins feux sur les clients visionnaires
La stratégie de commercialisation de Netskope privilégie ses partenaires, ce qui leur permet de maximiser leur croissance et leur rentabilité, tout en transformant la sécurité des entreprises.

En savoir plus sur les partenaires de Netskope
Groupe de jeunes professionnels diversifiés souriant
Votre réseau de demain

Planifiez votre chemin vers un réseau plus rapide, plus sûr et plus résilient, conçu pour les applications et les utilisateurs que vous prenez en charge.

Obtenir le livre blanc
Votre réseau de demain
Netskope Cloud Exchange

Le Netskope Cloud Exchange (CE) fournit aux clients des outils d'intégration puissants pour optimiser les investissements dans l'ensemble de leur infrastructure de sécurité.

En savoir plus sur Cloud Exchange
Aerial view of a city
  • Security Service Edge signe chevron

    Protégez-vous contre les menaces avancées et compatibles avec le cloud et protégez les données sur tous les vecteurs.

  • SD-WAN signe chevron

    Fournissez en toute confiance un accès sécurisé et performant à chaque utilisateur, appareil, site et cloud distant.

  • Secure Access Service Edge signe chevron

    Netskope One SASE fournit une solution SASE cloud-native, entièrement convergée et à fournisseur unique.

La plateforme du futur est Netskope

Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG), and Private Access for ZTNA built natively into a single solution to help every business on its journey to Secure Access Service Edge (SASE) architecture.

Présentation des produits
Vidéo Netskope
Next Gen SASE Branch est hybride - connectée, sécurisée et automatisée

Netskope Next Gen SASE Branch fait converger Context-Aware SASE Fabric, Zero-Trust Hybrid Security et SkopeAI-Powered Cloud Orchestrator dans une offre cloud unifiée, ouvrant la voie à une expérience de succursale entièrement modernisée pour l'entreprise sans frontières.

En savoir plus Next Gen SASE Branch
Personnes au bureau de l'espace ouvert
L'architecture SASE pour les nuls

Obtenez votre exemplaire gratuit du seul guide consacré à la conception d'une architecture SASE dont vous aurez jamais besoin.

Obtenir l'EBook
SASE Architecture For Dummies eBook
Aller à l'aperçu des solutions
Aller à l'aperçu des solutions
Aller à l'aperçu des solutions
Optez pour les meilleurs services de sécurité cloud du marché, avec un temps de latence minimum et une fiabilité élevée.

Découvrez NewEdge
Autoroute éclairée traversant des lacets à flanc de montagne
Permettez en toute sécurité l'utilisation d'applications d'IA générative grâce au contrôle d'accès aux applications, à l'accompagnement des utilisateurs en temps réel et à une protection des données de premier ordre.

Découvrez comment nous sécurisons l'utilisation de l'IA générative
Autorisez ChatGPT et l’IA générative en toute sécurité
Solutions Zero Trust pour les déploiements du SSE et du SASE

En savoir plus sur la confiance zéro
Bateau roulant en pleine mer
Netskope obtient l'autorisation FedRAMP High Authorization

Choisissez Netskope GovCloud pour accélérer la transformation de votre agence.

En savoir plus sur Netskope GovCloud
Netskope GovCloud
  • Ressources signe chevron

    Découvrez comment Netskope peut vous aider à sécuriser votre migration vers le Cloud.

  • Blog signe chevron

    Découvrez comment Netskope permet la transformation de la sécurité et de la mise en réseau grâce à l'accès sécurisé à la périphérie des services (SASE).

  • Événements et ateliers signe chevron

    Restez à l'affût des dernières tendances en matière de sécurité et créez des liens avec vos pairs.

  • Définition de la sécurité signe chevron

    Tout ce que vous devez savoir dans notre encyclopédie de la cybersécurité.

Podcast Security Visionaries

Prévisions pour 2025
Dans cet épisode de Security Visionaries, Kiersten Todt, présidente de Wondros et ancienne directrice de cabinet de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), nous parle des prévisions pour 2025 et au-delà.

Écouter le podcast Parcourir tous les podcasts
Prévisions pour 2025
Derniers blogs

Découvrez comment Netskope peut faciliter le parcours Zero Trust et SASE grâce à des capacités d'accès sécurisé à la périphérie des services (SASE).

Lire le blog
Lever de soleil et ciel nuageux
SASE Week 2024 A la demande

Apprenez à naviguer dans les dernières avancées en matière de SASE et de confiance zéro et découvrez comment ces cadres s'adaptent pour répondre aux défis de la cybersécurité et de l'infrastructure.

Explorer les sessions
SASE Week 2024
Qu'est-ce que SASE ?

Découvrez la future convergence des outils réseau et sécurité dans le modèle économique actuel, dominé par le cloud.

En savoir plus sur SASE
  • Entreprise signe chevron

    Nous vous aidons à conserver une longueur d'avance sur les défis posés par le cloud, les données et les réseaux en matière de sécurité.

  • Carrières signe chevron

    Join Netskope's 3,000+ amazing team members building the industry’s leading cloud-native security platform.

  • Solutions pour les clients signe chevron

    Nous sommes là pour vous et avec vous à chaque étape, pour assurer votre succès avec Netskope.

  • Formation et accréditations signe chevron

    Avec Netskope, devenez un expert de la sécurité du cloud.

Aller à Solutions clients
Formation Netskope
Soutenir le développement durable par la sécurité des données

Netskope est fière de participer à Vision 2045 : une initiative visant à sensibiliser au rôle de l'industrie privée dans le développement durable.

En savoir plus
Soutenir le développement durable grâce à la sécurité des données
Contribuez à façonner l'avenir de la sécurité du cloud

At Netskope, founders and leaders work shoulder-to-shoulder with their colleagues, even the most renowned experts check their egos at the door, and the best ideas win.

Rejoignez l’équipe
Carrières chez Netskope
Les professionnels du service et de l'assistance de Netskope veilleront à ce que vous puissiez déployer avec succès notre plateforme et en tirer toute la valeur.

Aller à Solutions clients
Services professionnels Netskope
Sécurisez votre parcours de transformation numérique et tirez le meilleur parti de vos applications cloud, Web et privées grâce à la formation Netskope.

En savoir plus sur les formations et les certifications
Groupe de jeunes professionnels travaillant

Rapport sur le cloud et les menaces :
Applications d’IA dans l’entreprise

bleu clair plus
Ce rapport examine comment les organisations équilibrent les avantages des applications d’IA générative tout en gérant les risques associés, en mettant en évidence une stratégie de plus en plus populaire qui implique la DLP (Prévention des pertes de données) et le coaching utilisateur interactif.
Nuage noir au coucher du soleil

Netskope Threat LabsJuillet 2024

Résumé About this report Netskope Threat Labs Tendances
Presque toutes les organisations utilisent des applications genAI Les organisations utilisent de plus en plus d’applications genAI Principales applications genAI L’activité des utilisateurs augmente
Risks Controls
Applications Prévention des pertes de données (DLP) Coaching Analyse comportementale
Orientations
Créer une base de référence d’utilisation de l’application Réduire les inconnues Réduire la perte de données sensibles Affiner le cadre de gestion des risques
Perspective
Best practices Impact des trois grandes entreprises Plus d’investissements, d’innovation et de menaces Entreprises d’infrastructure Chat/LLM Services Le point de vue d’un RSSI
Conclusion References
28 min de lecture

Résumé lien lien

Le rapport sur le cloud et les menaces de cette année sur les applications d’IA se concentre spécifiquement sur les tendances et les risques des applications genAI, car l’utilisation de genAI a connu une croissance rapide avec une large portée et un impact considérable sur les utilisateurs d’entreprise. 96 % des organisations interrogées ont des utilisateurs utilisant genAI, le nombre d’utilisateurs ayant triplé au cours des 12 derniers mois. L’utilisation réelle des applications genAI comprend l’aide au codage, l’aide à la rédaction, la création de présentations et la génération de vidéos et d’images. Ces cas d’utilisation présentent des défis en matière de sécurité des données, en particulier comment empêcher l’envoi de données sensibles, telles que le code source, les données réglementées et la propriété intellectuelle, à des applications non approuvées.

Nous commençons ce rapport en examinant les tendances d’utilisation des applications genAI, puis nous analysons les risques généralisés introduits par l’utilisation de genAI, discutons des contrôles spécifiques qui sont efficaces et peuvent aider les organisations à s’améliorer face à des données incomplètes ou à de nouvelles zones de menace, et terminons par un regard sur les tendances et les implications futures.

Sur la base de millions d’activités d’utilisateurs anonymisées, l’utilisation de l’application genAI a connu des changements significatifs de juin 2023 à juin 2024 :

  • Pratiquement toutes les organisations utilisent maintenant des applications genAI, leur utilisation étant passée de 74 % à 96 % au cours de la dernière année.
  • L’adoption de GenAI augmente rapidement et n’a pas encore atteint un état stable. L’entreprise moyenne utilise plus de trois fois plus d’applications genAI et compte près de trois fois plus d’utilisateurs qui utilisent activement ces applications qu’il y a un an.
  • Le risque lié aux données est une priorité pour les premiers utilisateurs des applications genAI, le partage de code source propriétaire avec les applications genAI représentant 46 % de toutes les violations de la politique de données.
  • L’adoption de contrôles de sécurité pour activer en toute sécurité les applications genAI est en hausse, avec plus des trois quarts des organisations utilisant des politiques de blocage/autorisation, DLP (Prévention des pertes de données), coaching des utilisateurs en direct et d’autres contrôles pour activer les applications genAI tout en protégeant les données.

L’IA en général a été populaire et a attiré des investissements considérables, avec un financement totalisant plus de 28 milliards de dollars à travers 240+ transactions d’actions de 2020 au 22/03/2024.[1]

AI 100 des meilleures entreprises en termes de financement par actions

Avec OpenAI et Anthropic totalisant près des deux tiers (64 %) du financement total, le financement de l’IA est dominé et piloté par genAI. Cela reflète l’enthousiasme croissant de genAI depuis la sortie de ChatGPT d’OpenAI en novembre 2022. En plus des startups, plusieurs ETF et fonds communs de placement axés sur l’IA ont été créés, ce qui indique un autre niveau de financement de la part des investisseurs du marché public. Le montant important des investissements fournira un vent arrière pour la recherche et le développement, les lancements de produits et les risques et abus associés.

Des ratios cours/ventes démesurés indiquent que l’exécution est à la traîne par rapport aux attentes élevées des investisseurs. Hugging Face a un multiple de 150x d’une valorisation de 4,5 milliards de dollars sur un chiffre d’affaires de 30 millions de dollars et Perplexity un multiple de 65x d’une valorisation de 520 millions de dollars sur un chiffre d’affaires de 8 millions de dollars[1]:

AI 100 Chiffre d’affaires multiple par entreprise

Bien que le chiffre d’affaires réel soit à la traîne, l’activité de lancement de produits est élevée, ce qui indique que nous sommes encore au début du cycle d’innovation de l’IA avec de lourds investissements en R&D. À titre d’exemple, il y a eu 34 versions de fonctionnalités (mineures et majeures) de ChatGPT depuis novembre 2022[2], soit environ deux par mois.

Il est clair que genAI sera le moteur de l’investissement dans l’IA à court terme et qu’elle introduira le risque et l’impact les plus larges pour les utilisateurs d’entreprise. Il est ou sera regroupé par défaut sur les principales plates-formes d’applications, de recherche et périphériques, avec des cas d’utilisation tels que la recherche, la révision, l’ajustement du style/ton et la création de contenu. Le risque principal découle des données que les utilisateurs envoient aux applications, notamment la perte de données, le partage involontaire d’informations confidentielles et l’utilisation inappropriée des informations (droits légaux) des services genAI. Actuellement, le texte (LLM) est plus utilisé, avec leurs cas d’utilisation plus larges, bien que les applications genAI pour la vidéo, les images et d’autres médias soient également un facteur.

Ce rapport résume l’utilisation et les tendances de genAI sur la base de données clients anonymisées au cours des 12 derniers mois, détaillant l’utilisation des applications, les actions des utilisateurs, les zones de risque et les contrôles précoces, tout en fournissant des conseils normatifs pour les 12 prochains mois.

 

 test answer

About this report lien lien

Netskope offre une protection contre les menaces et des données à des millions d’utilisateurs dans le monde entier. Les informations présentées dans ce rapport sont basées sur des données d’utilisation anonymisées collectées par la plate-forme Netskope Security Cloud concernant un sous-ensemble de clients Netskope disposant d’une autorisation préalable. Les statistiques de ce rapport sont basées sur la période de treize mois allant du 1er juin 2023 au 30 juin 2024.

Ce rapport comprend des millions d’utilisateurs dans des centaines d’organisations dans le monde entier dans plusieurs secteurs, notamment les services financiers, les soins de santé, l’industrie manufacturière, les télécommunications et la vente au détail. Les organisations incluses dans ce rapport comptent chacune plus de 1 000 utilisateurs actifs.

 

 sdofjsfojefgejelosij

Netskope Threat Labs lien lien

Composé des plus éminents chercheurs du secteur en matière de menaces cloud et de logiciels malveillants, Netskope Threat Labs découvre, analyse et conçoit des défenses contre les dernières menaces Web, cloud et de données qui affectent les entreprises. Nos chercheurs sont des présentateurs réguliers et des bénévoles lors de conférences de premier plan sur la sécurité, notamment DEF CON, Black Hat et RSAC.

 

Tendances lien lien

Presque toutes les organisations utilisent des applications genAI

Au cours des quelque 18 mois qui se sont écoulés depuis la sortie publique de ChatGPT en novembre 2022, une grande majorité d’organisations ont des utilisateurs utilisant un type d’application genAI. Ce chiffre n’a cessé d’augmenter, passant de 74 % en juin 2023 à 96 % en juin 2024. Presque toutes les organisations utilisent aujourd’hui des applications genAI.

 

Les organisations utilisent de plus en plus d’applications genAI

Le nombre d’applications genAI utilisées dans chaque organisation augmente considérablement, passant d’une médiane de 3 applications genAI différentes en juin 2023 à plus de 9,6 applications en juin 2024. Il y a une croissance encore plus importante si l’on considère les extrêmes supérieurs. Les 25 % des organisations les plus performantes sont passées de 6 à 24 applications, et les 1 % les plus performants (non illustrés) sont passés de 14 à 80 applications.

Cette tendance est compréhensible en raison de l’augmentation des offres genAI au début d’un cycle d’innovation technologique, alimentée par l’investissement important et l’enthousiasme des opportunités qu’elles offrent pour accroître l’efficacité de l’organisation. L’implication pour les organisations qui gèrent les risques de leurs utilisateurs est que le nombre d’offres GenAI utilisées continue de croître, ce qui représente une cible mouvante lorsque l’on examine les contrôles des risques, dont nous parlerons plus loin dans ce rapport.

 

Principales applications genAI

Les principales applications d’IA utilisées ont changé au cours de l’année écoulée. En juin 2023, ChatGPT, Grammarly et Google Bard (maintenant Gemini) étaient les seules applications genAI importantes avec un nombre important d’utilisateurs d’entreprise. À partir de juin 2024, il y a plus d’applications GenAI disponibles avec une utilisation significative. Ce rapport couvre près de 200 applications différentes suivies par Netskope Threat Labs. ChatGPT conserve sa domination en termes de popularité, avec 80 % des organisations qui l’utilisent, tandis que Microsoft Copilot, qui est devenu généralement disponible en janvier 2024, est troisième avec 57 % des organisations qui l’utilisent. Grammarly et Google Gemini (anciennement Bard) conservent des classements élevés.

La croissance au fil du temps montre des augmentations généralement constantes pour toutes les applications, à l’exception notable de Microsoft Copilot, dont l’utilisation a augmenté pour atteindre 57 % de toutes les organisations interrogées au cours des six mois suivant sa publication. Cela montre, en partie, les taux d’adoption élevés de la base installée de Microsoft pour les nouvelles offres Microsoft.

La liste des applications genAI les plus populaires comprend une variété de nouveaux arrivants, qui fluctueront au cours de l’année à venir. La catégorisation de chacune de ces applications est également intéressante, car elle indique quels sont les cas d’utilisation les plus populaires pour les applications genAI des utilisateurs d’entreprise.

Catégories d’applications GenAI les plus populaires

L’application GenAICategory
ChatGPTRecherche, Général
GrammarlyÉcriture
GémeauxRecherche, Général
Microsoft CopilotRecherche, Général
Perplexité IARecherche, Général
QuillBotÉcriture
VEEDRecherche
ChatbaseGénéral, Recherche
WritesonicÉcriture
GammaPrésentations

Nous nous attendons à ce que les principales demandes changent considérablement au cours de l’année à venir et qu’elles soient très différentes dans le rapport de l’année prochaine. Il y aura également d’autres consolidations, ainsi que des relations avec les fabricants d’équipement d’origine (OEM). Par exemple, Chatbase propose les modèles ChatGPT et Gemini au choix. Du point de vue de la part de marché, nous pouvons vouloir regrouper l’activité applicative par technologie sous-jacente. Cependant, du point de vue des risques de l’organisation, le regroupement par application orientée utilisateur est plus important, car les contrôles de sécurité diffèrent souvent d’une application à l’autre et intègrent des domaines/URL à un certain niveau pour distinguer les applications. C’est-à-dire qu’il pourrait très bien y avoir une politique pour interdire ChatGPT proprement dit, mais autoriser Chatbase à utiliser ChatGPT en dessous. Parce que leurs cas d’utilisation sont différents, la gestion des risques et les contrôles diffèrent.

 

L’activité des utilisateurs augmente

Non seulement les organisations utilisent davantage d’applications genAI, mais le nombre d’activités des utilisateurs avec ces applications augmente également. Bien que le pourcentage global d’utilisateurs utilisant les applications genAI soit encore relativement faible, le taux d’augmentation est significatif, passant de 1,7 % en juin 2023 à plus de 5 % en juin 2024, soit près du triple en 12 mois pour l’organisation moyenne. Même les organisations ayant un nombre d’utilisateurs par mois supérieur à la moyenne ont constaté une adoption significative de genAI d’une année sur l’autre : les 25 % des organisations les plus performantes sont passées de 7 % à 15 % en utilisant des applications genAI. Quelle que soit la taille de l’organisation, nous continuons de constater une croissance de l’adoption de genAI qui se poursuivra au cours de la prochaine année, car nous n’avons pas encore vu de signes d’aplatissement des taux de croissance.

 

Risks lien lien

Les données restent l’actif le plus important à protéger lors de l’utilisation d’applications genAI. Les utilisateurs sont toujours les acteurs clés dans la création et la prévention des risques liés aux données et, aujourd’hui, les risques de sécurité les plus urgents pour les utilisateurs de GenAI sont tous liés aux données.
Il est utile de considérer le risque lié aux données du point de vue de l’utilisateur selon deux dimensions :

  • Quelles données les utilisateurs envoient-ils aux services genAI ?
  • Quelles données les utilisateurs reçoivent-ils et utilisent-ils des services genAI ?

Entrée : Soumission des données

Produit : Données Résultats

Quelles données les utilisateurs envoient-ils aux services genAI ?

Quelles données les utilisateurs reçoivent-ils et utilisent-ils des services genAI ?

Risques:

  • Applications inconnues/suspectes

  • Fuite de données : PII, identifiants, droits d’auteur, secrets commerciaux, HIPAA/GDPR/PCI

Risques:

  • Exactitude : hallucinations, désinformation

  • Juridique : violations du droit d’auteur

  • Économique : efficacité du travail, remplacement

  • Ingénierie sociale : phishing, deepfakes

  • Chantage

  • Contenu répréhensible

Parmi les organisations incluses dans cette étude, les risques et menaces reconnus au cours des 12 derniers mois se concentrent sur l’utilisation des applications et les risques liés aux données, ce qui est souvent le cas dans les premiers stades des marchés axés sur les applications ou les services. De plus, les risques qui sont pris en compte se trouvent sur le côté gauche du tableau : les risques liés aux données associés aux utilisateurs soumettant des invites aux applications genAI, par opposition au côté droit du tableau qui concerne le risque d’utilisation des données provenant ou semblant provenir des services genAI. Cette hiérarchisation est logique pour la plupart des organisations : la première priorité tend à protéger les actifs informationnels d’une organisation et ce qui suivra plus tard, ce sont les problèmes de responsabilité ou d’exactitude liés à l’utilisation du contenu des applications genAI.

En énumérant et en hiérarchisant davantage les risques à ce niveau, les organisations seront non seulement en mesure de mieux comprendre les risques spécifiques à leurs applications genAI, mais surtout de déterminer les contrôles et les politiques nécessaires pour faire face à ces risques.

 

Controls lien lien

Étant donné que les premiers risques sur le marché de l’IA génique se sont concentrés sur la soumission de données par les utilisateurs, les contrôles du côté gauche du tableau ont également été la priorité des organisations. Ces contrôles sont décrits plus en détail ci-dessous.

Entrée : Soumission des données

Produit : Données Résultats

Quelles données les utilisateurs envoient-ils aux services genAI ?

Quelles données les utilisateurs reçoivent-ils et utilisent-ils des services genAI ?

Risques:

  • Applications inconnues/suspectes

  • Fuite de données : PII, identifiants, droits d’auteur, secrets commerciaux, HIPAA/GDPR/PCI

Risques:

  • Exactitude : hallucinations, désinformation

  • Juridique : violations du droit d’auteur

  • Économique : efficacité du travail, remplacement

  • Ingénierie sociale : phishing, deepfakes

  • Chantage

  • Contenu répréhensible

Controls:

  • AUP : restreindre les applications utilisées

  • DLP (Prévention des pertes de données) : prévention/blocage

  • Formation des utilisateurs/coaching

  • Détection avancée des mouvements de données suspects

Controls:

  • AUP : quelles données de quelles applications, dans quel but

  • Stratégies de référence/source de données

  • Clarifications/outils/processus du poste

  • Anti-phishing

  • Détection de deepfake/hallucination (audit de données)

  • Traçabilité des données/empreintes digitales

 

Applications

Le point de départ du risque lié aux applications genAI sont les applications elles-mêmes. En pratique, les contrôles d’application sont également le point de départ du contrôle de ce risque, généralement mis en œuvre sous forme de listes d’autorisation ou de blocage au sein d’un SWG ou d’un proxy en ligne.

La plupart des organisations ont restreint l’utilisation des applications genAI pour protéger leurs données, 77 % des organisations bloquant au moins une application genAI en juin 2024, ce qui représente une augmentation de 45 % par rapport aux 53 % des organisations en juin 2023.

Cette tendance indique une bonne maturité et une bonne adoption des contrôles de base autour de l’utilisation des applications genAI. Le contrôle des applications utilisées dans une organisation est un point de départ nécessaire pour réduire les risques. Cependant, des contrôles plus granulaires seront nécessaires pour être efficaces. L’utilisation spécifique d’une application détermine souvent si l’activité doit être autorisée ou non. Par exemple, une recherche générale dans ChatGPT devrait être autorisée, tandis que la soumission du code source ne devrait pas l’être.

Si l’on examine plus en détail les applications bloquées, le nombre médian d’applications bloquées pour tous les utilisateurs d’une organisation a également augmenté, passant de 0,6 application en juin 2023 à plus de 2,6 applications en juin 2024. Le fait d’avoir si peu d’interdictions à l’échelle de l’organisation sur les applications genAI par rapport aux centaines d’applications genAI sur le marché indique la popularité d’autres contrôles plus nuancés, dont nous parlerons plus en détail plus loin dans ce rapport.

Les applications genAI les plus bloquées connaissent une certaine popularité, mais un bon nombre d’applications moins populaires sont les plus bloquées. Parmi les organisations qui bloquent les applications genAI, 28 % bloquent Beautifal.ai (ce qui en fait l’application genAI la plus souvent bloquée) et 19 % bloquent Perplexity AI, qui est la 10e application la plus fréquemment bloquée. Les blocages peuvent souvent être une mesure temporaire, car les nouvelles applications sont évaluées pour déterminer si elles servent des objectifs commerciaux légitimes et si elles sont sûres pour certains cas d’utilisation.

Les applications spécifiques qui sont bloquées varient en fonction de la politique de l’organisation, mais lorsque les pourcentages sont suffisamment élevés, comme dans la liste des 10 premières ci-dessus, il est utile pour toutes les organisations de vérifier si les applications spécifiques sont utilisées dans leur propre environnement, ainsi que d’ajuster les contrôles autour de la catégorie d’applications. Le tableau suivant montre que les applications les plus bloquées couvrent une variété de cas d’utilisation différents dans l’espace genAI.

Catégories d’applications GenAI les plus bloquées

L’application GenAICategory
Beautiful.aiPrésentations
WritesonicÉcriture
CraiyonImages
TactiqTranscription de réunions d’affaires (Zoom, Meet)
AIChattingGénéral, Recherche, Rédaction, Résumé PDF
Github CopilotCodage
DeepAIGénéral, Recherche, Chat, Image, Vidéo
sciteRecherche
Poe AIGénéral, Recherche
Perplexité IAGénéral, Recherche

 

Prévention des pertes de données (DLP)

Au fur et à mesure que les organisations dépassent les listes d’applications autorisées, elles ont tendance à commencer à mettre en place des contrôles plus précis autour de l’utilisation des applications autorisées. Sans surprise, les contrôles DLP (Prévention des pertes de données) gagnent en popularité en tant que contrôle des risques liés aux données genAI. La prévention des pertes de données est passée de 24 % en juin 2023 à plus de 42 % des organisations utilisant la DLP (Prévention des pertes de données) pour contrôler les types de données envoyées aux applications genAI en juin 2024, soit une croissance de plus de 75 % d’une année sur l’autre.

L’augmentation des contrôles DLP (Prévention des pertes de données) reflète une compréhension au sein des organisations de la manière d’atténuer efficacement les risques liés aux données dans le cadre de la tendance plus large et plus large de l’utilisation croissante des applications genAI. Dans le cadre des politiques DLP (Prévention des pertes de données), les organisations cherchent à contrôler des flux de données spécifiques, notamment pour bloquer les invites genAI contenant des informations sensibles ou confidentielles. Dans les organisations ayant des politiques de protection des données, le code source représente près de la moitié (46 %) de toutes les violations de DLP (Prévention des pertes de données), les données réglementées étant régies par les réglementations du secteur ou les exigences de conformité à 35 % et la propriété intellectuelle à 15 %. Les données réglementées ont été l’un des principaux domaines de violation avant la génération d’IA et renforcent les défis liés à la formation manuelle des utilisateurs au partage inapproprié des données réglementées.


La publication de données sensibles dans les applications genAI reflète non seulement les priorités actuelles des organisations, mais montre également l’utilité de diverses applications genAI. Par exemple, la popularité de GitHub Copilot, associée à la part de marché de Microsoft en tant que plate-forme de développement de logiciels, pourrait entraîner une utilisation accrue de genAI pour la génération de code à l’avenir.

 

Coaching

Bien qu’il soit évident que les applications ou les activités malveillantes sont bien servies par des contrôles qui bloquent et alertent, le risque lié aux données est souvent plus une zone grise. Le coaching des contrôles peut être une technique très efficace pour traiter les zones grises, en particulier dans les premiers cycles technologiques rapides comme genAI. De plus, les organisations peuvent utiliser le coaching pour informer et affiner les contrôles de sécurité sans bloquer la productivité avec des faux positifs et des processus d’approbation lents.

Les commandes de coaching fournissent une boîte de dialogue d’avertissement à l’utilisateur lorsqu’il interagit avec les applications genAI, ce qui lui permet d’annuler ou de poursuivre ses actions. Il fonctionne comme des fonctionnalités de navigation sécurisée intégrées aux navigateurs. Les avantages sont qu’il offre une expérience plus conviviale à l’utilisateur, ne bloque pas son travail, mais informe et permet aux utilisateurs d’améliorer leur comportement.

En juin 2024, 31 % des organisations ayant mis en place des politiques visant à contrôler l’utilisation des applications genAI utilisaient des dialogues de coaching, contre 20 % en juin 2023, soit une augmentation de plus de 50 % de l’adoption.

Cela suit la sophistication croissante des organisations dans l’application de contrôles de coaching similaires d’autres domaines de sécurité à des domaines plus récents tels que le risque d’application genAI. Bien que la croissance se soit stabilisée, les contrôles de coaching sont relativement nouveaux par rapport aux blocages et alertes purs et simples basés sur la DLP (Prévention des pertes de données) ou l’application. Nous nous attendons à ce que l’adoption continue de croître à mesure que de plus en plus d’organisations comprennent comment utiliser le coaching pour gérer les risques plus gris associés aux données.

Lorsque nous décomposons la réponse réelle de l’utilisateur aux alertes de dialogue de coaching qui ont eu lieu, nous constatons une mesure de l’efficacité. Pour tous les utilisateurs qui ont reçu des alertes de dialogue de coaching pour les applications genAI, dans 57 % de ces cas, les utilisateurs ont choisi d’arrêter l’action qu’ils effectuaient, ce qui a réduit le risque en évitant d’envoyer des données sensibles dans les invites de l’application genAI ou en évitant d’utiliser des applications genAI inconnues ou nouvelles. 57 % est suffisamment élevé pour renforcer l’argument selon lequel le coaching peut être un contrôle efficace pour compléter les blocages d’applications explicites et les politiques de DLP (Prévention des pertes de données). De plus, le coaching permet également un retour d’information. Lorsqu’elles décident de procéder, la plupart des organisations mettent en place des politiques qui obligent les utilisateurs à justifier leurs actions pendant l’interaction de coaching.

Cela ne veut pas dire que la prise de décision de l’utilisateur soit la base de la politique de sécurité. Cela indique plutôt que pour les organisations qui utilisent le coaching, environ la moitié de l’utilisation de l’application genAI qui n’est pas carrément bloquée peut être encore réduite par les décisions des utilisateurs. Tout aussi important, les décisions de l’utilisateur en réponse aux dialogues de coaching peuvent et doivent éclairer l’examen et l’ajustement de la politique de sécurité. Bien que les décisions des utilisateurs puissent être erronées et risquées, les deux catégorisations constituent la base d’un examen plus approfondi. Les applications qu’un utilisateur a décidé de ne pas utiliser sur la base d’une boîte de dialogue de coaching doivent être analysées pour une liste de blocage pure et simple. Les applications qu’un utilisateur a décidé d’utiliser doivent être examinées pour être placées sur une liste de normes d’entreprise autorisées ou peut-être bloquées s’il existe une application meilleure ou plus acceptable. Les réponses des utilisateurs aux invites de coaching pourraient également être utilisées pour affiner des politiques plus nuancées, comme les politiques DLP (Prévention des pertes de données), afin d’être plus ciblées dans leur application.

 

Analyse comportementale

Nous observons des signes précoces de détections avancées de comportements suspects d’utilisateurs en ce qui concerne le mouvement de données qui ont été détectés par des moteurs de détection comportementale. Le déplacement suspect de données comprend souvent plusieurs indicateurs de comportement suspect ou inattendu d’un utilisateur par rapport à la base d’activité normale de l’utilisateur ou de l’organisation. Les indicateurs peuvent impliquer une activité de téléchargement ou de téléchargement anormale, des sources ou des cibles de données nouvelles ou suspectes, telles que de nouvelles applications genAI, ainsi que d’autres comportements suspects tels que l’utilisation d’une adresse IP ou d’un agent utilisateur inattendu ou obfusqué.

Un exemple d’alerte comportementale avancée détectée pour un mouvement de données suspect implique le déplacement de données d’une application gérée par l’organisation et téléchargées vers une application genAI personnelle non approuvée.

À l’instar du coaching, la liste des applications apparaissant dans ces alertes peut également être utilisée pour hiérarchiser les efforts de contrôle avec l’utilisation des applications genAI. Par exemple, deux applications couramment utilisées peuvent se chevaucher en termes de fonctionnalités, ce qui peut à lui seul donner la priorité aux efforts de réduction du nombre d’applications.

L’utilisation d’alertes comportementales montre la prise de conscience et l’adoption précoces par les organisations des menaces plus difficiles à détecter, ce qui inclut traditionnellement les informations d’identification compromises, les menaces internes, les mouvements latéraux et les activités d’exfiltration de données par des acteurs malveillants.

Lorsque nous examinons de plus près les mouvements de données sensibles, nous constatons que les principales applications d’où proviennent les données sensibles reflètent la popularité des applications cloud d’entreprise, avec OneDrive (34 %) et Google Drive (29 %) en tête, suivis de SharePoint (21 %), Outlook (8 %) et Gmail (6 %).

Les 3 principales applications sont toutes des applications de stockage et de collaboration dans le cloud et ont été la source des données sensibles 84 % du temps, tandis que les principales applications cloud de messagerie étaient la source 14 % du temps. En sachant quelles applications spécifiques sont les plus fréquemment impliquées dans les mouvements de données sensibles, les équipes de sécurité peuvent alors ajuster les contrôles de manière appropriée, par exemple en plaçant des contrôles DLP (Prévention des pertes de données) supplémentaires autour des applications de partage de fichiers. Les organisations doivent donner la priorité à l’évaluation des risques de sécurité et à la mise en œuvre du contrôle du mouvement des données entre les applications, en particulier le passage des applications gérées aux applications genAI non gérées, car cela devient de plus en plus courant et peut avoir un impact important sur les pertes de données.

 

Orientations lien lien

Sur la base des tendances des douze derniers mois, nous vous recommandons d’examiner les opérations de sécurité actuelles et l’évaluation des risques, en mettant l’accent sur les modifications spécifiques à l’IA et à la genAI.

Le cadre de compréhension et de gestion des risques genAI implique l’examen des opérations de sécurité dans cinq domaines principaux, avec une personnalisation spécifique aux risques spécifiques à genAI :

  • Analyse, en particulier l’évaluation des risques, de l’état actuel de l’utilisation de l’application genAI et du comportement des utilisateurs.
  • Planification de l’analyse des risques et de la mise en œuvre des contrôles.
  • Les contrôles de prévention, y compris les applications genAI autorisées et les politiques DLP (Prévention des pertes de données).
  • Contrôles de détection, tels que le coaching et l’analyse comportementale.
  • Contrôles de correction/atténuation, y compris le blocage de nouvelles applications inappropriées.

Les premières étapes de l’analyse consisteront à inventorier les applications genAI utilisées pour former une base de référence à partir de laquelle planifier. Ensuite, des contrôles de prévention et de détection peuvent être mis en œuvre avec la restriction des applications autorisées (listes d’applications acceptables) et la restriction des données envoyées à ces applications (contrôles DLP (Prévention des pertes de données)).

 

Créer une base de référence d’utilisation de l’application

En utilisant les journaux des passerelles Web sécurisées ou des proxys et la résolution DNS locale, collectez des indicateurs clés dans :

  • Popularité de l’application : quelles applications, combien de fois par semaine/mois
  • Nombre d’utilisateurs : avec un volume minimum par semaine/mois
  • Volume d’utilisateurs : la quantité d’utilisation (c.-à-d. transactions utilisateur) par jour/semaine/mois, combien de données (invite/taille de la réponse/volume)

Une simple analyse de tableur permet de générer des graphiques similaires à ceux présentés dans ce rapport. Avec une automatisation simple, cela peut ensuite être examiné sur une base hebdomadaire ou mensuelle pour identifier les changements au fil du temps et les valeurs aberrantes à tout moment.

 

Réduire les inconnues

À partir de la base de référence de l’application et de l’utilisation, l’étape suivante consiste à supprimer les applications inconnues ou suspectes et à appliquer une liste d’applications acceptables. Cela réduit à la fois la surface d’attaque et les vecteurs d’attaque. Les mesures spécifiques comprennent l’identification d’une liste d’applications acceptables en fonction des exigences de travail de l’utilisateur, le blocage des applications inconnues suspectes et la formation des utilisateurs à l’autosurveillance avec des techniques de coaching au sein de vos passerelles Web sécurisées et proxys.

 

Réduire la perte de données sensibles

La détection des menaces avancées n’est pas triviale, mais comme les menaces internes et les informations d’identification compromises restent courantes, mais que les défis sont difficiles, la planification doit également être effectuée pour les menaces genAI. Bien que les alertes de détection comportementale ne fassent pas partie des offres des fournisseurs de genAI, elles font partie des plateformes et solutions de cybersécurité existantes. Ces capacités de détection comportementale doivent être évaluées en mettant l’accent sur les menaces spécifiques à genAI. Le nombre et le type d’alertes spécifiques constituent le point de départ.

Les évaluations des produits doivent également inclure l’évaluation et le suivi des risques, en plus des détections d’alertes. La détection comportementale est généralement plus efficace avec un certain concept de suivi granulaire des risques des utilisateurs et des applications au fil du temps, de sorte que l’analyse des causes profondes peut être effectuée au niveau de l’utilisateur et de l’application. Par exemple, certaines applications ou certains utilisateurs peuvent présenter plus de risques, et une correction ciblée peut contribuer à réduire les risques.

 

Affiner le cadre de gestion des risques

Les cadres de risque doivent être révisés et adaptés ou adaptés spécifiquement à l’IA ou à l’IA générationnelle. Des efforts tels que le cadre de gestion des risques d’IA du NIST[4] peuvent être utilisés dans des efforts internes.

Gestion des risques de cybersécurité spécifiques à l’intelligence artificielle dans le secteur des services financiers par le département du Trésor des États-Unis, mars 2024[5] est un excellent exemple de gestion du risque lié à l’IA dans le secteur des services financiers, mais peut également être adapté à votre secteur ou à votre organisation.

Un bon cadre de gestion des risques soutiendra la planification future des zones de menace émergentes, telles que la responsabilité et le risque juridique liés à l’utilisation des informations provenant des applications genAI. Cela peut être capturé dans une politique d’utilisation acceptable (AUP) avec les directives pour les données soumises aux applications genAI. Cette politique pourrait être mise en œuvre sous la forme d’une combinaison de contrôles manuels (formation) et de contrôles techniques dans un SWG/proxy.

Une grande partie de l’amélioration de la gestion des risques à long terme proviendra d’une itération cohérente et régulière de l’analyse des écarts, de la hiérarchisation, de la planification et de l’exécution.

 

Perspective lien lien

Au-delà des mesures techniques spécifiques pour faire face au risque genAI, les organisations doivent consacrer un certain temps à suivre les grandes tendances afin de devancer les changements probables au cours des 12 prochains mois. Nous vous recommandons de suivre les tendances dans cinq domaines principaux : les meilleures pratiques, les trois grands fournisseurs d’entreprise, l’investissement dans genAI, la croissance et l’investissement dans les entreprises d’infrastructure et l’adoption des fournisseurs de services de chat/LLM.

 

Best practices

Les meilleures pratiques et les cadres de conformité ont tendance à être des indicateurs retardés dans le sens où ils sont souvent créés après qu’un produit ou une technologie a été largement adopté et qu’une base d’utilisateurs large et établie. Le suivi de ces pratiques exemplaires vaut la peine d’établir des priorités en fonction des zones de menace communes, d’analyser les lacunes et d’aider à la mise en œuvre de contrôles techniques concrets ou d’initiatives de gestion des risques.

Deux documents qui constituent des lignes directrices utiles sont le NIST AI Risk Management Framework[4] et le Managing Artificial Intelligence-Specific Cybersecurity Risks in the Financial Services Sector du département du Trésor des États-Unis, mars 2024[5].
De plus, suivez l’ISAC de votre secteur, car les meilleures pratiques ou le partage d’indicateurs pour les risques liés à l’IA seront probablement discutés dans ces forums.

 

Impact des trois grandes entreprises

Bien qu’il y ait beaucoup de discussions sur les startups, y compris le financement, les valorisations, les revenus et les lancements de produits, en fin de compte, les entreprises et leurs utilisateurs seront les plus touchés par ce que font les principaux fournisseurs d’applications, de plates-formes et de périphériques.

Les trois grands atteignent le plus grand nombre (100M à 1B+) d’utilisateurs grand public et d’entreprise avec leurs applications/plateformes/périphériques agrégés :

  • Microsoft : Applications/AD/Azure/Surface/AI PC
  • Google : applications/espace de travail/GCP/Android
  • Apple : iPhone/iPad/Mac

Ils ont ou sont susceptibles de rendre genAI gratuit et intégré dans des services existants :

  • Microsoft : Copilot dans le cadre de Windows, Git et Visual Studio
  • Google : Gemini dans le cadre de la recherche Google
  • Apple : Apple Intelligence et ChatGPT dans le cadre d’iOS/MacOS

Les organisations devraient suivre ce que Microsoft, Google et Apple font dans genAI. En se concentrant sur les cas d’utilisation et les fonctionnalités utilisées par leurs utilisateurs, les organisations seront mieux préparées à la fois à l’attendu et au probable au cours des 12 prochains mois. Par exemple, à mesure que les services d’ingénierie standardisent l’utilisation de GitHub Copilot pour l’assistance au codage, les politiques de sécurité doivent mettre en œuvre de manière proactive l’application, la DLP (Prévention des pertes de données) et des contrôles de détection avancés autour de Copilot et des applications similaires.

 

Plus d’investissements, d’innovation et de menaces

Le capital-risque ne reste pas longtemps sur la touche (ou à la banque), et les 10 milliards de dollars + de Microsoft seront certainement dépensés par OpenAI tôt ou tard. Les entreprises qui ont le plus d’argent seront celles qui génèrent le plus de R&D et de lancements de produits. Ces startups et leurs services genAI devraient être prioritaires, car ils représentent la source de risque la plus probable, simplement en raison de leur concentration sur la croissance rapide de leur part de marché et du nombre d’utilisateurs.

Une partie de l’investissement a été investie dans des entreprises offrant de nouveaux services genAI basés sur des ensembles de données spécifiques à un domaine, qui peuvent être liés à la profession (p. ex. des informations juridiques ou médicales) ou par langue (p. ex. traduction professionnelle du japonais vers l’anglais), ou dans d’autres domaines d’expertise. À court terme, cela pose plus de défis aux équipes de sécurité en raison du grand nombre d’applications à contrôler, mais en fin de compte, cela sera utile car il y a plus de spécificité dans l’objectif des applications genAI, ce qui rendra les contrôles au niveau de l’application, et les contrôles DLP (Prévention des pertes de données) associés pour une application, plus efficaces et ciblés. Il est beaucoup plus difficile de gérer les risques avec une application genAI générale à tout faire, telle que ChatGPT, car les cas d’utilisation et les ensembles de données peuvent être presque n’importe quoi et les politiques sont susceptibles d’être trop générales.

D’autres entreprises, souvent dans le but d’être compétitives, publient rapidement, souvent, et « testent en production ». Et en raison des pressions concurrentielles ou de la dynamique du marché, les grandes entreprises, en plus des startups, peuvent également privilégier le développement et la publication de fonctionnalités plutôt que les tests :

« Il est important que nous ne retenions pas les fonctionnalités simplement parce qu’il pourrait y avoir des problèmes occasionnels, mais plus au fur et à mesure que nous trouvons les problèmes, nous les résolvons », a déclaré Liz Reid, qui a été promue au poste de vice-présidente de la recherche chez Google en mars, lors d’une réunion à l’échelle de l’entreprise, selon un audio obtenu par CNBC.[3]

Il ne s’agit pas d’un jugement sur la philosophie de la mise sur le marché rapide, mais plutôt d’une observation de la pensée des fournisseurs au début d’un cycle d’innovation. En regardant les versions de produits et de fonctionnalités des fournisseurs de genAI, on peut anticiper les zones de risque avant qu’elles ne deviennent évidentes. À tout le moins, cela devrait définir des attentes pour des cycles de publication rapides, déclencher un triage/évaluations internes pour évaluer les nouvelles fonctionnalités et soulever des questions de contrôle organisationnel sur la « version » d’une application genAI qu’ils utilisent.

 

Entreprises d’infrastructure

De nombreuses entreprises peuvent se concentrer sur les applications et les services genAI, car leurs utilisateurs les utilisent davantage. Cependant, les sociétés d’infrastructure sous-jacentes, souvent publiques, et celles qui fournissent du matériel doivent être suivies pour identifier les futures macro-tendances, en particulier les investissements. Tout comme le secteur des routeurs pendant le boom d’Internet dans les années 1990, les entreprises d’infrastructure et leurs performances financières seront des indicateurs avancés de l’investissement dans les applications et les logiciels et identifieront les zones de menace à venir à analyser et à planifier.

Par exemple, si l’on examine les investissements NVDA (par ex. datacenter, SOC, PC) et l’expansion des revenus/clientèles, on peut voir des tendances sur les marchés des applications ou des services genAI.

Un certain suivi financier des investissements sur les marchés publics à partir de fonds communs de placement et d’ETF, ainsi que le suivi de mesures telles que la capitalisation boursière par rapport aux revenus/bénéfices (prix/ventes), la divergence des revenus des infrastructures par rapport aux revenus des startups/logiciels, peuvent également déterminer les tendances de la R&D. La R&D conduit généralement à des lancements de produits qui entraînent des utilisations et des risques.

 

Chat/LLM Services

Il est clair que si une organisation déploie son propre service de clavardage ou son propre outil de recherche à l’aide de la technologie genAI, il existe un risque d’autres menaces qui ne sont pas abordées dans le présent rapport, à savoir des attaques rapides pour contourner les garde-fous, ce qui entraîne des hallucinations ou des résultats biaisés, ou d’autres attaques par injection de données telles que l’empoisonnement des données. Les organisations doivent consacrer du temps à ces risques lorsqu’elles planifient ces projets.

À mesure que de plus en plus d’organisations mettent en œuvre des services de recherche ou de chat sur leurs sites Web qui utilisent LLM ou d’autres applications genAI, il y aura une augmentation des attaques contre tous les services genAI, car les attaquants suivent généralement l’utilisation croissante et l’argent associé.

Ces tendances en matière de menaces peuvent ensuite entraîner l’ajustement ou l’examen des services genAI d’une organisation, tels qu’un service de chat de vente ou une fonction de recherche dans la base de connaissances du support. Les organisations qui sont, ou prévoient de devenir, des fournisseurs de services devraient examiner périodiquement leurs profils de risque en fonction de cette macro-tendance plus large pour voir si leur posture de risque a changé et si cela affecte leur cadre de contrôle pour la protection, la détection ou l’atténuation de leurs services genAI exposés.

 

Le point de vue d’un RSSI

Bien que l’intelligence artificielle soit extrêmement prometteuse en matière d’innovation et d’efficacité, elle présente également des risques importants que les organisations doivent gérer de manière proactive. L’utilisation de la gouvernance, de la technologie, des processus et des personnes doit être appliquée, en tirant parti d’un cadre qui soutient un filet de sécurité solide pour vos initiatives. Comme nous l’avons vu avec cette recherche, il y a eu quelques surprises, comme le partage d’informations réglementaires avec les services. Alors que de nombreuses organisations adoptent les solutions genAI, l’utilisation de genAI en tant que service de Shadow IT, lorsqu’elle est combinée à des informations réglementaires et à des données sensibles, telles que des secrets et des mots de passe, est une exposition dans laquelle aucune organisation ne veut se retrouver. La seule approche consiste à adopter un plan d’action programmatique pour aborder l’utilisation et l’adoption à la fois tactiques et stratégiques. L’étude a montré que les services étaient adoptés, suivis de réponses rapides en matière d’évaluation et de financement. Il est souvent bon de se rappeler que la deuxième loi de Newton peut également être appliquée à l’accélération des cycles d’adoption et que votre organisation peut se retrouver à gérer rapidement une menace qui a changé du jour au lendemain. Bien que le paysage puisse changer, l’adoption rapide et les tendances peuvent toujours être utiles en tant que « prévision » où la « météo genAI à venir » peut être utilisée pour alimenter la conversation avec les pairs de l’industrie et être utilisée comme lentille pour d’autres rapports et recherches sur les menaces.

 

Conclusion lien lien

La prolifération des technologies d’intelligence artificielle (IA), en particulier celles pilotées par l’IA générative (genAI), a eu un impact significatif sur la gestion des risques dans les entreprises. GenAI, tout en promettant des innovations et des gains d’efficacité, présente également des risques importants que les organisations doivent aborder de manière proactive.

GenAI, avec sa capacité à générer du contenu de manière autonome, pose des défis uniques. Les entreprises doivent reconnaître que les résultats générés par genAI peuvent exposer par inadvertance des informations sensibles, propager de la désinformation ou même introduire du contenu malveillant. Il devient donc crucial d’évaluer et d’atténuer ces risques de manière exhaustive.

L’accent doit être mis sur le risque lié aux données lié à l’utilisation de l’application genAI, car les données sont au cœur des systèmes genAI. Voici quelques étapes tactiques spécifiques pour gérer les risques liés à la genAI :

  • Connaissez votre état actuel : commencez par évaluer votre infrastructure d’IA existante, vos pipelines de données et vos applications genAI. Identifiez les vulnérabilités et les lacunes dans les contrôles de sécurité.
  • Mettre en œuvre des contrôles de base : établissez des mesures de sécurité fondamentales, telles que des contrôles d’accès, des mécanismes d’authentification et le chiffrement. Ces contrôles fondamentaux constituent la base d’un environnement d’IA sécurisé.
  • Planifier des contrôles avancés : au-delà des bases, élaborez une feuille de route pour les contrôles de sécurité avancés. Envisagez la modélisation des menaces, la détection des anomalies et la surveillance continue.
  • Mesurez, démarrez, révisez, itérez : évaluez régulièrement l’efficacité de vos mesures de sécurité. Adaptez-les et affinez-les en fonction des expériences du monde réel et des menaces émergentes.

Lorsqu’elles s’engagent avec des fournisseurs d’IA/genAI, les organisations doivent se renseigner sur leurs mesures de protection des données, leurs protocoles de cryptage et leur conformité aux réglementations en matière de confidentialité.
Les organisations doivent tenir compte des questions plus larges de gestion des risques, y compris les implications juridiques, éthiques et de responsabilité. Collaborez avec les équipes internes de gestion des risques existantes, y compris les parties prenantes du service juridique, de la conformité et des risques, pour examiner votre cadre de gestion des risques et l’adapter aux domaines de risque de l’IA et de l’IAgenAI. Tirez parti du cadre de gestion des risques d’IA du NIST[4] pour guider les efforts de votre organisation.

Enfin, restez informé des macro-tendances en matière d’IA et de cybersécurité. Surveillez l’évolution de l’éthique de l’IA, les changements réglementaires et les attaques contradictoires. En anticipant les points faibles et les zones de menace émergents, les entreprises peuvent ajuster de manière proactive leurs stratégies d’atténuation des risques.
En résumé, les entreprises doivent naviguer dans le paysage changeant des risques liés à l’IA en combinant expertise technique, planification stratégique et vigilance. genAI, bien que transformatrice, exige une approche robuste de gestion des risques pour protéger les données, la réputation et la continuité des activités.

 

References lien lien

[1] Les startups d’intelligence artificielle les plus prometteuses de 2024, CB Insights, https://www.cbinsights.com/research/report/artificial-intelligence-top-startups-2024/
[2] ChatGPT — Notes de version, OpenAI. https://help.openai.com/en/articles/6825453-chatgpt-release-notes
[3] TECH Le responsable de la recherche Google dit que « nous ne trouverons pas toujours » des erreurs avec les produits d’IA et qu’il faut prendre des risques en les lançant, CNBC. https://www.cnbc.com/2024/06/13/google-wont-always-find-mistakes-in-ai-search-vp-reid-tells-staff.html
[4] Cadre de gestion des risques liés à l’IA du NIST, NIST. https://www.nist.gov/itl/ai-risk-management-framework
[5] Managing Artificial Intelligence-Specific Cybersecurity Risks in the Financial Services Sector par le département du Trésor des États-Unis, mars 2024. https://home.treasury.gov/system/files/136/Managing-Artificial-Intelligence-Specific-Cybersecurity-Risks-In-The-Financial-Services-Sector.pdf

 
bleu clair plus

Rapports sur l'informatique en nuage et les menaces

Le rapport cloud et menaces de Netskope vous fournit des renseignements uniques sur l'adoption des applications cloud, les évolutions du paysage des menaces liées au cloud et les risques qui pèsent sur les données des entreprises.

Parcourir les rapports
Orage avec éclairs sur la ville la nuit

Accélérez le développement de votre programme de sécurité avec le leader du SASE.

Commencez