Les risques de l’IA que personne ne surveille : exposition des secrets dans les flux de travail d’entreprise
La plupart des discussions sur les risques liés à l’IA en entreprise commencent par une préoccupation familière : les employés qui copient des données clients dans des chatbots. L’exposition à la vie privée et aux réglementations domine les gros titres et les briefings des conseils d’administration, et des recherches menées par Deloitte montrent que la sécurité des données se classe parmi les principaux risques liés à l’IA que les organisations craignent.
Cependant, les données émergentes de l’utilisation réelle de l’IA en entreprise racontent une histoire différente. Les informations sensibles les plus courantes qui circulent dans les outils d’IA ne sont pas des données personnelles. Ce sont des secrets et des identifiants.
Les clés API, les jetons d’accès, les webhooks et les artefacts d’authentification représentent désormais la plus grande part des expositions de données sensibles observées dans les invites d’IA. Ces divulgations ne résultent que rarement de négligence ou d’intention malveillante, mais plutôt de travaux de routine tels que le débogage d’une intégration échouée, le dépannage d’automatisations, le test de code ou la résolution de problèmes clients. À mesure que l’IA s’intègre dans les flux de travail quotidiens, ces moments se produisent constamment et souvent en dehors de la visibilité des contrôles de sécurité traditionnels.
Les conséquences des risques d’exposition des secrets
À mesure que l’adoption de l’IA s’élargit, les organisations obtiennent une image plus précise de l’émergence des véritables risques, et la gouvernance doit évoluer pour les traiter.
Une analyse récente de l’utilisation de l’IA réalisée par Nudge Security a examiné des données anonymisées à travers des environnements d’entreprise pour comprendre comment les outils d’IA sont réellement utilisés au travail. Au lieu de se fier à des enquêtes ou à des auto-déclarations, la recherche a analysé l’activité observée de l’IA, les intégrations et le comportement des invites à travers les écosystèmes SaaS d’entreprise.
Les résultats fournissent un nouvel aperçu des risques liés à l’IA qui émergent réellement dans l’utilisation en entreprise. Les expositions de données sensibles dans les invites d’IA sont dominées par des identifiants opérationnels. Les secrets et identifiants représentent environ 48 % des événements de données sensibles détectés, contre 36 % pour les données financières et 16 % pour les informations liées à la santé. Ces schémas suggèrent que le plus grand défi d’exposition des données liées à l’IA n’est pas la fuite de la vie privée, mais plutôt la dispersion des secrets.
L’adoption de l’IA : un changement de paradigme
Cette recherche montre que l’adoption de l’IA a dépassé l’expérimentation. Les outils d’IA sont intégrés dans les flux de travail, connectés à des plateformes commerciales essentielles, et capables de prendre des mesures autonomes. Les principaux fournisseurs de modèles de langage sont désormais presque omniprésents, OpenAI étant présent dans 96 % des organisations et Anthropic dans 78 %.
Une étude de McKinsey révèle que 88 % des organisations rapportent une utilisation régulière de l’IA dans au moins une fonction commerciale, contre 78 % l’année précédente. Les outils de réunion intelligente, les plateformes de codage assistées par l’IA, les générateurs de présentations et les technologies vocales sont largement déployés, reflétant comment l’IA s’est étendue au-delà des interfaces de chat vers les flux de travail quotidiens.
Cette expansion est significative car le risque suit l’utilisation. À mesure que l’IA s’intègre dans les environnements de développement, les plateformes de collaboration et les flux de travail de support client, elle se rapproche des systèmes sensibles et des données opérationnelles.
Les risques de secrets exposés : un impact opérationnel immédiat
Les données personnelles restent sensibles et réglementées, mais les secrets ont un impact opérationnel immédiat. Une clé API divulguée peut donner accès à des systèmes de production. Un jeton compromis peut exposer des dépôts. Une URL de webhook peut permettre une automatisation non autorisée. Les identifiants apparaissent fréquemment dans les invites d’IA pendant les flux de travail de routine.
Les interfaces d’IA amplifient ce comportement. Les invites encouragent le partage de contexte. Les téléchargements de fichiers facilitent un dépannage plus riche. La recherche de Nudge Security a révélé que 17 % des invites comprennent des activités de copier-coller ou des téléchargements de fichiers. Dans cet environnement, les identifiants sensibles peuvent être exposés en quelques secondes.
Les lacunes des gouvernances traditionnelles
Les programmes de gouvernance de l’IA se concentrent souvent sur des contrôles formels tels que des politiques et des outils approuvés. Cette approche suppose que le risque provient d’une mauvaise utilisation ou d’un comportement du modèle. En pratique, les expositions les plus significatives se produisent lors de flux de travail de routine menés par des employés bien intentionnés.
Le paysage de l’IA évolue rapidement, avec de nouvelles technologies lancées chaque jour. À mesure que les employés cherchent à utiliser les derniers outils, ils peuvent contourner l’approche traditionnelle des contrôles réseau, car ces contrôles ne peuvent tout simplement pas suivre. Le navigateur permet une observation directe du comportement contextuel, offrant la flexibilité nécessaire pour s’adapter au paysage de travail moderne en constante évolution.
Ce décalage explique pourquoi les organisations peuvent mettre en œuvre de fortes politiques tout en continuant à subir des expositions de données sensibles. Les politiques établissent des attentes. Le comportement détermine les résultats. Une gouvernance efficace nécessite une visibilité sur la façon dont les outils d’IA sont réellement utilisés et des garde-fous qui guident des décisions plus sûres au moment où les données sont partagées.
Élargir le champ d’exposition avec les intégrations et les agents
Le profil de risque d’un outil d’IA est déterminé par ce qu’il peut accéder. Les intégrations créent des chemins de confiance entre les systèmes. Les autorisations OAuth, les jetons API et les comptes de service permettent aux outils d’IA de récupérer des documents, de mettre à jour des tickets ou d’interagir avec des dépôts de code. La recherche sur l’adoption de l’IA en entreprise souligne que les intégrations définissent efficacement le champ d’exposition.
Une permission mal configurée ou un jeton compromis peut exposer des dépôts de documents entiers ou des environnements de développement car les connexions de confiance permettent un mouvement de données à la vitesse de la machine.
Les agents IA introduisent une complexité supplémentaire. Les déploiements initiaux privilégient souvent la fonctionnalité plutôt que le principe du moindre privilège. Les permissions accordées lors de l’expérimentation peuvent perdurer bien après l’évolution des cas d’utilisation initiaux. Au fil du temps, ces permissions accumulées créent un risque silencieux. Les équipes de sécurité doivent traiter les intégrations et les permissions des agents comme des décisions d’accès durables plutôt que comme des options temporaires.
Actions à entreprendre pour les équipes de sécurité
Réduire l’exposition des secrets dans les flux de travail IA nécessite un changement des contrôles réactifs vers une gouvernance qui reflète comment le travail se déroule réellement. Les leaders en sécurité peuvent commencer par des étapes pratiques qui améliorent la visibilité, guident des comportements plus sûrs et réduisent l’exposition sans ralentir la productivité :
- Cartographier les interactions avec l’IA. Identifier les environnements où les données entrent dans les outils d’IA, y compris les extensions de navigateur, les environnements de développement, les plateformes d’automatisation et les interfaces de chat. Une visibilité continue sur ces points de contact fournit la base d’une gouvernance efficace.
- Intervenir au moment où les décisions sont prises. Mettre en œuvre des analyses de secrets, des invites de rédaction et des avertissements juste-à-temps qui alertent les utilisateurs lorsque des identifiants ou des artefacts sensibles sont sur le point d’être partagés. Un guidage opportun réduit l’exposition accidentelle tout en préservant la vitesse des flux de travail.
- Appliquer une gouvernance d’intégration avec la même rigueur que les applications OAuth. Examiner les outils d’IA connectés aux courriels, documents, systèmes de tickets et dépôts. Imposer des portées de moindre privilège et effectuer des examens périodiques des permissions pour réduire le risque d’exposition à long terme.
- Créer des flux de travail plus sûrs pour le dépannage et le support. Fournir des modèles rédigés, des connecteurs sécurisés et des outils internes pour analyser les journaux ou les fichiers de configuration afin que les équipes puissent utiliser l’IA pour résoudre des problèmes sans exposer d’identifiants actifs.
- Établir des garde-fous pour l’automatisation basée sur des agents. Exiger une approbation humaine pour les actions à fort impact, enregistrer centralement l’activité des agents et utiliser des jetons d’accès à portée limitée pour prévenir l’expansion des permissions et l’automatisation non intentionnelle.
- Fonder la formation sur des flux de travail réels. L’éducation est plus efficace lorsqu’elle reflète des tâches courantes telles que le débogage d’intégrations, la révision de journaux ou le téléchargement de fichiers. Des exemples pratiques aident les employés à reconnaître le risque au moment où il surgit.
Ces mesures alignent la gouvernance avec le travail quotidien, permettant aux organisations de réduire l’exposition des secrets tout en soutenant les gains de productivité qui motivent l’adoption de l’IA.
De la politique de l’IA à la gouvernance comportementale de l’IA
L’IA évolue d’un outil de productivité à une couche opérationnelle intégrée dans le travail quotidien, avec des recherches montrant que les agents d’IA sont désormais intégrés dans les flux de travail d’entreprise et des prévisions projetant des agents spécifiques à des tâches dans une large part des applications d’entreprise. À mesure que l’adoption s’approfondit, les principaux risques s’étendent au-delà des violations de la vie privée ou de la mauvaise utilisation du modèle. Ils émergent de la façon dont les personnes, les permissions et les plateformes s’intersectent dans des flux de travail réels.
L’exposition des secrets dans les invites d’IA est un signal visible de cette transformation plus large. Elle met en évidence les limites des contrôles basés sur le périmètre et de la gouvernance uniquement basée sur des politiques, et renforce la nécessité de garde-fous qui fonctionnent là où les décisions sont prises. Les organisations qui s’adaptent passeront au-delà des contrôles réactifs et adopteront des modèles de gouvernance ancrés dans un comportement réel. Elles traiteront les intégrations et les permissions comme des relations d’accès durables. Elles guideront les employés au moment de l’action plutôt que de se fier uniquement à l’application des politiques.
L’IA passe de l’outil au collaborateur dans le travail moderne. Sécuriser cette collaboration nécessite une gouvernance qui suit le rythme, protégeant les données critiques tout en guidant des décisions plus sûres et en maintenant la vitesse et l’efficacité que l’IA rend possibles.