Une fois qu'ils ont appris comment l'exploiter, de plus en plus d'employés utilisent ChatGPT pour simplifier leurs tâches, comme répondre à des mails, préparer des présentations ou coder des logiciels. Un potentiel cauchemar, selon Cyberhaven, société de cybersécurité spécialisée dans la protection des données.
Comme toujours et pour tous les sondages et autres enquêtes, commencer par regarder la méthodologie. "Selon les données du produit de Cyberhaven, 5,6% des employés ont utilisé ChatGPT sur leur lieu de travail et 4,9% y ont collé les données de l'entreprise", indique une étude de la société de cybersécurité.
Le chiffre peut paraître faible mais il n'est dû qu'au repérage permis par l'outil de cette société, spécialisée dans la protection des données. De plus, dit le communiqué de presse, le copié-collé dans le navigateur permet de supprimer l'étiquetage "confidentiel" des données qui sont copiées. Et les données qui sont transmises à ChatGPT ne contiennent pas de données "repérables" comme un numéro de sécurité sociale ou de carte de crédit.
Alors où est le problème? Les auteurs de l'étude donnent deux cas pratiques:
- Un médecin qui veut rédiger une note pour un patient va coller tout ce qu'il a dans ChatGPT en lui demandant de rédiger cette note et de la dater. Mais si un autre internaute, plus tard, s'amusait à demander à ChatGPT une note à partir des maladies de ce patient, il pourrait se retrouver en possession de ses secrets les plus intimes, puisque l'intelligence artificielle digère les données qu'on lui fournit pour les réutiliser;
- Un cadre utilise un document de stratégie pour demander à l'IA de préparer des diapositives des points principaux. Là encore, une rechercher ultérieure sur les points principaux de cette entreprise pour l'année X pourrait ressortir ce qui a été préparé pour le cadre.
"Les données sensibles représentent 11% de ce que les employés collent dans ChatGPT, mais comme l'utilisation de ChatGPT est si élevée et croît de manière exponentielle, cela s'avère être beaucoup d'informations. Au cours de la semaine du 26 février au 4 mars, les employés d'une entreprise moyenne de 100.000 employés ont mis 199 fois des documents confidentiels dans ChatGPT, 173 fois des données client et 159 fois du code source", dit l'étude de Cyberhaven. Moins de 1% des employés sont responsables de 80% des fuites de données, explique-t-elle encore.
Pour l'instant, ni la Commission nationale pour la protection des données ni la Commission de surveillance du secteur financier n'ont publié de recommandations particulières pour inviter les uns et les autres à prendre en compte ce nouveau risque.
Mais, un par un, des acteurs de premier plan mettent en place des stratégies anti-ChatGPT sinon dans toute l'entreprise, du moins dans une partie des lignes de business potentiellement à risques. Fin janvier, Business Insider annonce que les avocats d'Amazon ont "invité" les employés du géant à ne pas mettre de données confidentielles dans l'outil, expliquant sur le canal Slack du personnel avoir déjà croisé du matériel assez similaire aux données originales... Finalement, l'entreprise aurait installé un système d'accusé-réception que l'employé qui veut utiliser ChatGPT doit valider avant de l'utiliser... et qui permettra probablement de retrouver ceux qui n'ont pas compris le message.
JP Morgan a interdit l'utilisation de l'IA à tous ses employés dans le monde, mais la banque d'investissement Morgan Stanley a simplement alerté sur les risques, notamment liés aux réponses fantaisistes de cet outil. Même attitude chez Verizon, qui a réuni son directeur juridique, Vandana Venkatesch, et sa senior vice-présidente et directrice technologique, Nasrin Rezai, pour expliquer pourquoi et à quoi faire attention. Les deux expertes ont insisté non seulement sur le risque de livrer des secrets d'entreprise, mais aussi de voir des hackers utiliser l'outil pour se rapprocher de la manière d'écrire des mails ou des notes du groupe, ce qui rendrait leurs tentatives de phishing plus faciles.
Difficile d'aller plus loin parce que Verizon venait, fin janvier, de relancer quatre produits de sa suite VCC, tous les quatre appuyés sur de l'IA.
Apple a bloqué ChatGPT pour son application Blue Mail, de peur que l'IA n'expédie "des réponses inappropriées à des enfants".
Et la problématique n'en est qu'à ses débuts puisqu'un autre effet de bord est apparu: il amène la cybercriminalité à la portée du premier venu et les exemples se multiplient de débutants qui codent des logiciels malveillants... tandis que des acteurs de la cybersécurité l'utilisent aussi pour doper la protection des entreprises pour lesquelles ils travaillent.
/cloudfront-us-east-1.images.arcpublishing.com/tgam/5BNFJIP44VGB7C7T4OFSLKLDRA.jpg "Familiar tropes make a good heist book irresistible")
