LLM

Comment maintenir le contrôle des données de l'entreprise à l'ère de LLM

ParSteven de Simseo

Chatgpt, le grand modèle linguistique (LLM) développé par OpenAI est désormais une présence consolidée dans les lieux de travail du monde entier, avec 71 millions d'utilisateurs quotidiens. Mais alors que les employeurs et les équipes de sécurité ont commencé à se familiariser avec cette nouvelle application répandue, plusieurs modèles concurrents ont émergé.

En particulier, Deepseek a suscité des discussions animées de son arrivée sur le marché en 2024. La vitesse et le coût de sa création ont conduit beaucoup à remettre en question ses compétences et sa sécurité, tandis que les biens chinois ont soulevé des problèmes d'intimité et de censure.

La rapidité avec laquelle il a gagné du terrain parmi les utilisateurs pose également une question approfondie: comment les équipes de sécurité peuvent-elles suivre LLM en croissance rapide, facilement accessible et potentiellement risquée?

Une chose est certaine: l'évolution technologique ne peut pas inverser sa route. Les génératifs et LLM sont là pour rester – et ils évolueront probablement encore plus rapidement que toute autre technologie disponible jusqu'à présent. Compte tenu de leur ubiquité sur le lieu de travail, imposer des interdictions absolues aux employés n'est pas réaliste ou probablement efficace.

Au contraire, les entreprises sont appelées à s'engager à comprendre les risques qu'elles impliquent et à opérer pour protéger leur utilisation autant que possible, sans affecter la productivité des employés.

Ne manquez pas le contrôle de vos données

Il ne fait aucun doute que les LLM comportent des risques pour chaque organisation. Nous savons que les acteurs de la menace utilisent des chatppts et d'autres outils pour perfectionner leurs messages, traduire les appâts pour entrer de nouveaux marchés internationaux et atteindre des millions de victimes potentielles avec beaucoup moins d'efforts qu'auparavant.

Entre-temps, Deepseek a déjà fait l'objet de nombreux accidents informatiques, y compris une grande attaque à l'échelle en 2025 qui a exposé plus d'un million d'enregistrements sensibles, de données opérationnelles et de détails système.

Cependant, Chatgpt, Deepseek et la longue série de modèles LLM qui suivront inévitablement n'accèdent pas aux données par eux-mêmes, mais ce n'est que lorsque les gens les copient et les colleront dans le modèle, ou tapent des invites, qui ont accès efficacement.

De par sa propre admission, Deepseek «peut collecter votre entrée de texte, vos invites, vos fichiers chargés, vos commentaires, l'historique de chat ou tout autre contenu que vous fournissez à notre modèle et aux services« . Et avec un nombre croissant de LLM sur le marché, nous pouvons être sûrs que ce n'est pas le seul à mener à bien ces activités.

En fin de compte, si vous ne surveillez pas activement quelles applications sont utilisées par les employés – et quelles informations sont partagées – il n'y a aucun moyen de savoir combien de données sont archivées en dehors des protections de l'entreprise, de se retrouver, par conséquent potentiellement à risque.

Données LLM

Faire correspondre la productivité et la sécurité

La première étape pour protéger les données de l'entreprise est de comprendre où ils se trouvent, où ils vont et qui les transfère. En particulier, il est essentiel d'identifier et de classer des informations sensibles, telles que les informations personnelles, les propriétés intellectuelles et les données réglementées.

Par la suite, les vérifications doivent être mises en place pour tracer et, si nécessaire, limiter la manière dont ces données se déplacent dans l'entreprise – en particulier comment elles sont partagées avec des applications de troisième partie telles que LLM. Cela pourrait signifier imposer des limites de copie / coller aux invites qui peuvent être insérées dans le chatppt.

En utilisant des extensions sûres du navigateur, il est également possible de bloquer le partage de fichiers et d'images avec de telles applications. Les avis de temps réel peuvent être activés pour avertir les utilisateurs de l'exécution de certaines actions et qui se réfèrent à la politique sur une utilisation acceptable.

De plus, l'acquisition de métadonnées et de captures d'écran lors des interactions utilisateur avec LLM peut fournir une visibilité sur les types de données partagées et le contenu de toute invite.

Les risques pour les entreprises

Le principal problème de l'ombre à la sécurité de la sécurité réside dans l'utilisation non autorisée et non réglementée d'outils d'intelligence artificielle par les employés, en dehors des processus et politiques officiels de l'entreprise. Ce phénomène implique plusieurs risques critiques, notamment:

  • Perte de contrôle sur les données et les échappés d'informations: les employés peuvent saisir des données sensibles de l'entreprise, des clients personnels ou des employés, des secrets industriels, un code source et des documents réservés dans des outils non autorisés, les exposant à une diffusion externe potentielle et à des violations de la vie privée.
  • Violations de la sécurité: L'adoption de solutions d'IA non contrôlées par le service informatique peut introduire une vulnérabilité des infrastructures, ouvrir la porte aux attaques informatiques et un accès non autorisé.
  • Pas de conformité: l'utilisation non réglementée de l'IA peut entraîner des violations de réglementations telles que le RGPD ou la directive NIS2, avec des sanctions légales et des dommages de réputation conséquents.
  • Inefficacités opérationnelles et fragmentation technologique: l'absence de coordination centrale génère un excès d'efforts, un gaspillage de ressources et des incohérences dans les processus commerciaux basés sur l'IA.
  • Difficulté de détection et de gestion des risques: étant souvent invisible pour les systèmes de surveillance des entreprises, l'ombre pour le rendre complexe pour identifier et atténuer rapidement les menaces connectées.

L'IA de l'ombre représente un danger caché qui peut compromettre la sécurité des données, la conformité, la réputation et l'efficacité opérationnelle des entreprises, nécessitant l'adoption de stratégies de gouvernance, de formation et de contrôle pour limiter leurs risques

Comment garder l'ombre Control Ai

Il est essentiel que tous les chèques mis en place soient efficaces sur les applications LLM et Genai – non seulement sur les personnes officiellement utilisées, de sorte que la visibilité est obtenue sur toute l'ombre IA.

Pour cela, il est important d'avoir des solutions DLP spécialisées, capables de couvrir une grande variété de modèles, pour surveiller l'activité en fonction de l'utilisateur, du groupe ou du département et d'identifier toute application qui accède aux données de l'entreprise, aux e-mails, aux calendriers et autres.

Une fois inclus où se trouvent les données sensibles de l'entreprise et comment ils se déplacent, il est possible de diriger une formation sur les utilisateurs qui présentent le risque le plus élevé.

En plus des politiques qui réglementent les utilisations autorisées du LLM et des types de données qui peuvent être partagés, il est également important de s'assurer que toutes les ressources de l'entreprise incluent les risques liés à leur utilisation.

Comme cela arrive souvent en cybersécurité, les données ne quittent pas l'entreprise indépendamment, mais il est des gens eux-mêmes de les déplacer sur un certain chemin. Ce n'est que par une formation continue sur la sensibilisation, les outils avancés et les politiques claires seront possibles de prendre des mesures adéquates pour maintenir les données sous contrôle.

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.