Adoption rapide de l’IA et risques de Shadow AI
Plus de 80 % des plus grandes entreprises mondiales utilisent désormais l’IA dans le développement logiciel, mais de nombreuses organisations ont peu de contrôle sur son utilisation. Microsoft avertit que l’utilisation non autorisée de l’IA devient un risque de sécurité sérieux.
Contexte et constatations
Ce constat est tiré du récent Cyber Pulse Report de Microsoft, publié avant la Conférence de sécurité de Munich. Selon le rapport, les assistants de programmation IA sont désormais utilisés par plus de 80 % des entreprises du Fortune 500. L’adoption est rapide, mais des cadres clairs et des mesures de sécurité spécifiques sont souvent en retard.
Le fossé entre innovation et sécurité
Microsoft souligne un écart croissant entre l’innovation et la sécurité. Alors que les agents IA se répandent rapidement au sein des organisations, moins de la moitié des entreprises disposent de contrôles de sécurité spécifiques pour l’IA générative. Parallèlement, 29 % des employés utilisent des agents IA non approuvés pour le travail, créant ainsi une nouvelle forme de Shadow IT, désignée comme Shadow AI.
Qu’est-ce que le Shadow AI ?
Le Shadow AI désigne l’utilisation d’applications IA sans la connaissance ou l’approbation du département informatique ou de sécurité. Les employés utilisent de manière indépendante des outils externes ou des agents autonomes pour effectuer des tâches plus rapidement. Ce qui commence comme un gain d’efficacité peut aboutir à un angle mort structurel en matière de sécurité. Dans ces situations, les départements informatiques ignorent quels systèmes sont actifs, quelles données sont traitées et quels droits d’accès ont été accordés.
Importance d’une gouvernance bien conçue
Selon Microsoft, un risque majeur réside dans la vitesse à laquelle les agents IA sont déployés. Une mise en œuvre rapide peut compromettre les contrôles de sécurité et de conformité existants. Lorsque les organisations ne prennent pas le temps d’établir une gouvernance adéquate, il existe un risque accru que les agents reçoivent trop d’autorité ou aient accès à des informations sensibles sans supervision appropriée.
Risques concrets
Les risques ne sont pas uniquement théoriques. L’équipe Defender de Microsoft a récemment identifié une campagne de fraude utilisant une technique connue sous le nom de poisonnement de mémoire. Cette technique consiste à manipuler délibérément la mémoire des assistants IA, influençant ainsi structurellement les résultats. Cela souligne que les systèmes IA eux-mêmes peuvent devenir un vecteur d’attaque s’ils ne sont pas suffisamment protégés.
Agents surprivilégiés
Un autre point de préoccupation est le danger des agents surprivilégiés. Comme les comptes humains, les agents IA peuvent avoir des droits d’accès larges à plusieurs sources de données et applications. Si un agent est compromis ou mal dirigé, cela peut entraîner des fuites de données à grande échelle ou des abus. Microsoft met également en garde qu’un agent avec trop d’accès ou de mauvaises instructions peut devenir un double agent numérique.
Approche Zero Trust
Pour atténuer ces risques, Microsoft préconise une approche Zero Trust pour les agents IA. Chaque agent doit être explicitement vérifié, les droits d’accès doivent être strictement limités à ce qui est nécessaire, et les activités doivent être continuement surveillées. De plus, il est recommandé de maintenir un registre central qui enregistre quels agents IA sont actifs au sein de l’organisation, qui en est le propriétaire, et quelles données ils peuvent accéder. Les agents non autorisés doivent être activement recherchés et isolés.
Conclusion
L’essor de l’IA au sein des organisations semble irréversible. Le défi réside non pas dans l’arrêt de l’innovation, mais dans son introduction de manière contrôlée. Sans une gouvernance claire, de la transparence et des mesures de sécurité appropriées, le Shadow AI risque de devenir un risque structurel difficile à gérer dans l’environnement informatique moderne.