De l'IA à l'identité : 5 enseignements de Black Hat 2024 sur la sécurité des données moderne

Lors de Black Hat 2024, la sécurité des données, l'identité et l'IA étaient au cœur des préoccupations, alors que les organisations sont confrontées aux défis de l'intégration de technologies d'IA telles que Microsoft Copilot, tout en veillant à la robustesse des mesures de sécurité des données et de gestion des accès. Il existe clairement une tension critique : le désir de tirer parti des technologies d'IA de pointe face à la réalité des risques de sécurité qu'elles introduisent.

Nous analysons ci-dessous les enjeux liés à l'IA et bien plus encore à travers nos 5 principaux enseignements de Black Hat 2024.

1. Le dilemme de l'IA : trouver l'équilibre entre innovation et sécurité

Il y avait un large consensus et beaucoup d’enthousiasme autour du fait que la sécurité de l’IA repose fondamentalement sur la sécurité des données. Les organisations sont impatientes d’adopter les technologies d’IA, mais restent méfiantes face aux risques, en particulier en l’absence d’une bonne visibilité sur les données. L’idée qu’un seul compte compromis ou qu’un processus d’entraînement de l’IA non réglementé puisse entraîner une violation majeure des données, une infraction à la conformité ou un mauvais alignement des résultats de l’IA est une crainte bien réelle. Ce risque pousse beaucoup à reconsidérer le déploiement d’outils d’IA sans garanties adéquates, notamment des processus de nettoyage des données et des contrôles d’accès stricts.

L'un des problèmes les plus urgents abordés était l'introduction involontaire d'informations sensibles, telles que la propriété intellectuelle (PI) ou les informations personnelles identifiables (IPI), dans les modèles d'IA. Si de telles données sont utilisées pour entraîner l'IA, cela peut entraîner des conséquences imprévues, comme la génération de résultats qui exposent ces informations sensibles.

Dans cette optique, une autre préoccupation récurrente abordée était le risque qu’un acteur malveillant accède à un compte utilisateur et commence à utiliser Copilot pour extraire à grande échelle des informations sensibles telles que des adresses IP ou des données personnelles (PII).

Il existe également une préoccupation persistante concernant les implications à long terme de l'intégration de données sensibles dans les modèles d'IA. Une fois que les données sont utilisées pour l'entraînement, il peut être difficile, voire impossible, de les extraire complètement du modèle. Cette permanence crée un risque durable, en particulier si les données n'étaient pas destinées à être incluses à l'origine. À mesure que l'IA s'intègre davantage aux processus métier, les organisations doivent faire preuve de vigilance afin de s'assurer que leurs pratiques de sécurité des données évoluent pour répondre à ces nouveaux défis.

De plus, Nvidia a illustré cela avec une étude de cas impliquant un chatbot de service client alimenté par l'IA, où un plugin non sécurisé a conduit à un accès non autorisé aux données. Cet exemple a mis en évidence l'importance cruciale d'une intégration sécurisée lors de la mise en œuvre de plugins dans les systèmes d'IA.

En résumé, il y avait quatre cas d'utilisation de la sécurité de l'IA que nous avons entendus à plusieurs reprises.

• Garantir que Copilot et autres assistants IA n’accèdent pas aux données sensibles : Les organisations souhaitent empêcher les outils d’IA générative d’interagir avec des données réglementées ou sensibles, afin de réduire le risque de fuites accidentelles de données.
• Nettoyage des données d'entraînement : Avant d'utiliser des données pour entraîner ou affiner des modèles d'IA, il est crucial de s'assurer qu'elles ne contiennent pas de données réglementées ou de données personnelles (PII). Cette étape est essentielle pour garantir la conformité et protéger les informations sensibles.
• Contrôle de la production de l'IA : La demande de mécanismes garantissant que les résultats générés par l'IA soient correctement étiquetés et contrôlés est en hausse, en particulier lorsqu'ils impliquent des données sensibles ou réglementées.
• Inventaire de l'IA : De nombreuses organisations ont exprimé le souhait de simplement savoir où l'IA est utilisée dans leurs systèmes. Disposer d'un inventaire des outils et applications d'IA peut aider à gérer et à sécuriser ces technologies de manière plus efficace.

Pour en savoir plus sur l'approche de Cyera en matière de sécurisation des outils d'IA, consultez notre récent webinaire, « De l'artificiel à l'intelligent : sécuriser les données pour l'IA »

2. Mise en œuvre de la MFA : le dilemme de l'arbre de décision

L'authentification multifactorielle (MFA) est une pierre angulaire de la cybersécurité moderne, mais sa mise en œuvre dans les grandes entreprises est loin d'être simple. De nombreuses organisations fonctionnent avec un arbre de décision complexe, où certains utilisateurs sont obligés d'utiliser la MFA, tandis que d'autres ne le sont pas. Cette approche incohérente découle souvent d'un manque de contexte concernant les utilisateurs et les types de données auxquelles ils peuvent accéder.

On reconnaît de plus en plus que comprendre le contexte utilisateur et leurs habitudes d'accès aux données pourrait simplifier le processus de prise de décision concernant la MFA. Avec une meilleure visibilité sur qui accède à quoi, les organisations peuvent rationaliser leurs politiques de MFA, en s'assurant que ceux qui ont accès à des informations sensibles sont suffisamment protégés. Au final, il s'agit d'un enjeu de gestion des accès et des identités.

3. Identité et partage externe avec Microsoft 365

Lors du Black Hat, nous avons constaté que Microsoft 365 reste un outil essentiel pour la collaboration, mais le partage externe de documents présente un défi de sécurité important. Les équipes de sécurité sont prises entre la nécessité de maintenir l'efficacité opérationnelle et celle de protéger les informations sensibles. Bien qu'il soit techniquement possible de verrouiller le partage externe, cela peut perturber les processus métier et entraver la collaboration.

Pour gérer cela, de nombreuses équipes de sécurité ont recours à des scripts PowerShell personnalisés pour suivre les fichiers et domaines partagés. Cependant, il existe un besoin évident d'une solution plus efficace—un \"bouton facile\" qui peut identifier qui a accès aux fichiers, comment ils sont partagés, et avec qui.

Le scénario dans lequel des utilisateurs externes, tels que d'anciens cabinets de conseil ou des unités commerciales cédées, ont encore accès à des fichiers sensibles était un sujet de discussion fréquent. Le fait que ces utilisateurs externes soient souvent oubliés lors de la mise à jour des contrôles d'accès aux identités met en évidence une faille de sécurité importante.

Bien que ce ne soit pas un problème nouveau, des technologies émergentes de sécurité des données comme le module d'identité de Cyera le placent au premier plan. Les organisations se concentrent de plus en plus sur la nécessité de retirer rapidement les utilisateurs externes des listes d'accès lorsque leur collaboration avec l'entreprise prend fin, afin de prévenir d'éventuelles fuites de données.

4. La lutte avec les anciens outils de classification des données

Le consensus lors de Black Hat était clair : les outils de classification des données hérités n'ont pas été à la hauteur des attentes. Les responsables de la sécurité ont exprimé leur frustration face au temps nécessaire pour tirer profit de ces outils, à la complexité des déploiements et à la lourde charge de maintenance. Dans de nombreux cas, le support a fait défaut et le coût a dépassé le retour sur investissement.

Ce mécontentement pousse les organisations à rechercher des alternatives offrant des déploiements plus rapides, une maintenance plus simple et un meilleur support. La demande porte sur des solutions capables d’apporter une valeur immédiate, en réduisant le temps et les efforts nécessaires pour sécuriser les données sensibles.

5. La voie à suivre

Les enseignements tirés de Black Hat 2024 soulignent la complexité à laquelle les entreprises modernes sont confrontées pour sécuriser leurs données tout en adoptant de nouvelles technologies comme l’IA. Les organisations cherchent à adopter des solutions de sécurité des données qui apportent du contexte, simplifient les processus et offrent une valeur immédiate. À mesure que l’IA, l’identité et la sécurité des données convergent, l’accent sera de plus en plus mis sur des solutions capables de protéger les informations sensibles sans freiner l’innovation.

Pour les organisations souhaitant garder une longueur d’avance, le moment d’agir, c’est maintenant. Qu’il s’agisse d’améliorer votre posture de sécurité des données, d’enquêter sur les problèmes d’accès aux identités et de MFA, de trouver de meilleures façons de partager des informations en toute sécurité avec Microsoft 365, ou de sécuriser les initiatives d’IA, les décisions prises aujourd’hui façonneront le paysage de la sécurité de demain.

Vous souhaitez savoir comment Cyera peut vous aider à relever ces défis ? Demandez une démo dès aujourd'hui.