De l'IA à l'identité : 5 leçons tirées de Black Hat 2024 sur la sécurité des données modernes

Lors de Black Hat 2024, la sécurité des données, l'identité et l'IA étaient au cœur des préoccupations des entreprises confrontées aux défis de l'intégration de technologies d'IA telles que Microsoft Copilot, tout en garantissant des mesures robustes de sécurité des données et de contrôle d'accès. Un dilemme majeur se pose : d'un côté, la volonté d'exploiter les technologies d'IA de pointe, et de l'autre, la réalité des risques de sécurité qu'elles engendrent.
Nous analysons ci-dessous les problématiques liées à l'IA et bien plus encore, en nous appuyant sur nos 5 principaux enseignements tirés de Black Hat 2024.
1. Le dilemme de l'IA : concilier innovation et sécurité
Il y avait un large consensus et un vif intérêt autour du fait que la sécurité de l'IA repose fondamentalement sur la sécurité des données. Les organisations sont désireuses d'adopter les technologies d'IA, mais restent vigilantes face aux risques, notamment en l'absence d'une visibilité optimale des données. La crainte qu'un simple compte compromis ou un processus d'entraînement de l'IA non réglementé puisse entraîner une fuite de données importante, un manquement à la conformité ou une inadéquation des résultats de l'IA est bien réelle. Ce risque incite nombre d'organisations à reconsidérer le déploiement d'outils d'IA sans protections adéquates, telles que des processus de nettoyage des données et des contrôles d'accès stricts.
L'un des problèmes les plus urgents abordés concernait l'intégration involontaire d'informations sensibles, telles que la propriété intellectuelle ou les données personnelles, dans les modèles d'IA. Si de telles données sont utilisées pour entraîner l'IA, cela peut avoir des conséquences imprévues, comme la génération de résultats exposant ces informations sensibles.
Dans cette optique, une autre préoccupation récurrente abordée concernait le risque posé si un acteur malveillant accédait à un compte utilisateur et commençait à utiliser Copilot pour extraire à grande échelle des informations sensibles telles que des adresses IP ou des données personnelles.
L'intégration de données sensibles dans les modèles d'IA suscite également des inquiétudes persistantes quant à ses conséquences à long terme. Une fois utilisées pour l'entraînement, il peut s'avérer difficile, voire impossible, d'extraire complètement les données du modèle. Cette persistance engendre un risque durable, notamment si l'inclusion de ces données n'était pas prévue initialement. À mesure que l'IA s'intègre davantage aux processus métier, les organisations doivent veiller à ce que leurs pratiques de sécurité des données évoluent pour relever ces nouveaux défis.
De plus, Nvidia a illustré ce point par une étude de cas portant sur un chatbot de service client basé sur l'IA, où un plugin non sécurisé a entraîné un accès non autorisé aux données. Cet exemple a souligné l'importance cruciale d'une intégration sécurisée lors de la mise en œuvre de plugins dans les systèmes d'IA.
En résumé, nous avons entendu parler à plusieurs reprises de quatre cas d'utilisation de l'IA en matière de sécurité.
- S'assurer que Copilot et les autres assistants IA n'accèdent pas aux données sensiblesLes organisations souhaitent empêcher les outils d'IA générative d'interagir avec des données réglementées ou sensibles, afin de réduire le risque de fuites accidentelles de données.
- Nettoyage des données d'entraînementAvant d'utiliser des données pour entraîner ou optimiser des modèles d'IA, il est crucial de s'assurer qu'elles ne contiennent aucune donnée réglementée ni information personnelle. Cette étape est essentielle pour garantir la conformité et protéger les informations sensibles.
- Contrôler les résultats de l'IAIl existe une demande croissante de mécanismes permettant de garantir que les résultats générés par l'IA soient correctement étiquetés et contrôlés, en particulier lorsqu'ils impliquent des données sensibles ou réglementées.
- Inventaire IADe nombreuses organisations ont exprimé le souhait de savoir simplement où l'IA est utilisée au sein de leurs systèmes. Un inventaire des outils et applications d'IA peut contribuer à une gestion et une sécurisation plus efficaces de ces technologies.
Pour en savoir plus sur l'approche de Cyera en matière de sécurisation des outils d'IA, consultez notre récent webinaire. « De l’artificiel à l’intelligent : sécuriser les données pour l’IA »
2. Mise en œuvre de l'analyse multifactorielle : le dilemme de l'arbre de décision
L’authentification multifacteurs (AMF) est une pierre angulaire de la cybersécurité moderne, mais sa mise en œuvre dans les grandes entreprises est loin d’être simple. De nombreuses organisations fonctionnent selon un processus décisionnel complexe, où certains utilisateurs sont tenus d’utiliser l’AMF, tandis que d’autres en sont exemptés. Cette approche incohérente résulte souvent d’un manque d’informations sur les utilisateurs et les types d’enregistrements auxquels ils peuvent accéder.
On reconnaît de plus en plus que la compréhension du contexte utilisateur et de ses habitudes d'accès aux données peut simplifier le processus de décision en matière d'authentification multifacteur (AMF). Grâce à une meilleure visibilité sur les personnes accédant à quelles données, les organisations peuvent optimiser leurs politiques d'AMF et garantir une protection adéquate des personnes ayant accès aux informations sensibles. En définitive, il s'agit d'un enjeu de gestion des identités et des accès.
3. Identité et partage externe avec Microsoft 365
Lors de la conférence Black Hat, nous avons constaté que Microsoft 365 demeure un outil essentiel de collaboration, mais que le partage externe de données représente un défi majeur en matière de sécurité. Les équipes de sécurité sont confrontées à un dilemme : maintenir l'efficacité opérationnelle tout en protégeant les informations sensibles. Bien qu'il soit techniquement possible de bloquer le partage externe, une telle mesure risque de perturber les processus métier et d'entraver la collaboration.
Pour gérer cela, de nombreuses équipes de sécurité utilisent des scripts PowerShell personnalisés afin de suivre les fichiers et les domaines partagés. Cependant, il existe un besoin évident d'une solution plus efficace : un outil simple permettant d'identifier qui a accès aux fichiers, comment ils sont partagés et avec qui.
Le fait que des utilisateurs externes, comme d'anciens cabinets de conseil ou des unités commerciales cédées, aient encore accès à des fichiers sensibles a été fréquemment évoqué. Leur négligence lors des mises à jour des contrôles d'accès révèle une faille de sécurité importante.
Bien que ce problème ne soit pas nouveau, les technologies émergentes de sécurité des données comme Module d'identité de Cyera Les entreprises accordent une importance croissante à la suppression rapide des utilisateurs externes des listes d'accès dès la fin de leur collaboration avec l'entreprise, afin de prévenir les fuites de données potentielles.
4. La difficulté rencontrée avec les outils de classification de données existants
Le consensus était clair lors de la conférence Black Hat : les outils de classification des données traditionnels n’ont pas répondu aux attentes. Les responsables de la sécurité ont exprimé leur frustration quant au délai d’obtention de résultats concrets, à la complexité des déploiements et aux coûts de maintenance élevés. Dans de nombreux cas, le support s’est avéré insuffisant et le coût a dépassé le retour sur investissement.
Cette insatisfaction pousse les organisations à rechercher des solutions alternatives offrant un déploiement plus rapide, une maintenance simplifiée et un meilleur support. Elles recherchent des solutions capables de générer une valeur ajoutée immédiate, réduisant ainsi le temps et les efforts nécessaires à la sécurisation des données sensibles.
5. La voie à suivre
Les enseignements de Black Hat 2024 soulignent la complexité des défis auxquels sont confrontées les entreprises modernes pour sécuriser leurs données tout en intégrant de nouvelles technologies comme l'IA. Les organisations cherchent à adopter des solutions de sécurité des données qui contextualisent les informations, rationalisent les processus et offrent une valeur ajoutée immédiate. À mesure que l'IA, l'identité et la sécurité des données convergent, l'accent sera de plus en plus mis sur les solutions capables de protéger les informations sensibles sans freiner l'innovation.
Pour les organisations qui souhaitent garder une longueur d'avance, il est urgent d'agir. Qu'il s'agisse d'améliorer la sécurité de vos données, d'analyser les problèmes d'accès aux identités et d'authentification multifacteur, de trouver de meilleures solutions pour partager des informations en toute sécurité avec Microsoft 365 ou de sécuriser vos initiatives d'IA, les décisions prises aujourd'hui façonneront le paysage de la sécurité de demain.
Vous souhaitez savoir comment Cyera peut contribuer à relever ces défis ? Demandez une démonstration dès aujourd'hui.

.jpg)

