Le baromètre 2025 d’IFOP pour Talan a fait apparaître que 43 % des utilisateurs d’IA génératives le font dans leur cadre professionnel. 52 % des utilisateurs en entreprise sont encouragés à le faire, mais seulement 15 % d’entre eux ont été formés et seulement 9 % des salariés disposent d’outils mis à disposition par leur organisation.

Ne pas s’emparer du sujet va mécaniquement pousser les collaborateurs vers ce que l’on appelle désormais le Shadow AI. Une étude menée au quatrième trimestre 2024 par Harmonic Security analysant les prompts envoyés aux principaux LLM a montré que 45,8 % des requêtes risquaient d’exposer des données clients, notamment liées à la facturation et à leur authentification, et 26,8 % des prompts composaient des données RH liées à la paie, à des identifiants personnels…

Outre un nécessaire effort de sensibilisation et de formation, les RSSI doivent mettre en place des outils pour éviter autant que possible toute fuite de données issue de ces nouveaux usages. Ce phénomène du Shadow AI pose avant tout celui de la visibilité : savoir qui fait quoi dans l’organisation.

Editeur spécialisé dans la découverte des assets numériques des entreprises, Tenable, a intégré cette problématique de fuite de donnée via les IA : « Notre plateforme couvre deux grands cas d’usages liés à l’IA : d’une part le Shadow AI et ce que l’on appelle l’AI SPM (Security Posture Management) » explique Bernard Montel, directeur technique EMEA et stratégiste chez Tenable. Cette brique vise à évaluer le niveau d’exposition de l’IA dans le Cloud et pour accélérer son développement dans ce domaine, Tenable vient de mener l’acquisition de la société Apex, spécialisée dans ces cas d’usage IA.

Pour Xavier Daspre, directeur technique de Proofpoint, beaucoup d’entreprises ont ouvert les vannes de l’IA générative et doivent maintenant s’équiper pour savoir si leurs collaborateurs diffusent des informations confidentielles vers ces services.

L’éditeur travaille sur 3 vecteurs : la messagerie, son domaine historique, le CASB pour la protection des applications Cloud, et la protection endpoint. « Ces deux derniers vecteurs permettent de couvrir les cas d’usage liés à la GenAI. La solution va analyser les données pour trouver, par exemple, les données à caractère personnel et anonymiser le document. »

Proofpoint a réalisé l’acquisition de Normalyze en octobre 2024 et a mis la main sur sa solution DSPM (Data Security Posture Management). Celle-ci identifie les LLM mis en œuvre par les collaborateurs et analyse en temps réel les données qui transitent vers leurs API.

Le SASE apporte une réponse globale

Venu du CASB, Netskope s’est tout naturellement intéressé à la protection des fuites de données à destination des LLM.

« Au départ, toutes les IA génératives comme ChatGPT, Gemini et Copilot étaient des applications SaaS, or nous disposons déjà des outils nécessaires pour intercepter, inspecter et appliquer des politiques au trafic des applications SaaS » argumente Ray Canzanese, directeur du Netskope Threat Labs. « Nous pouvions donc déjà détecter les menaces et les violations de la politique des données et, par exemple, guider les utilisateurs qui utilisent des solutions d’IA non approuvées vers les solutions approuvées. »

Proofpoint a étendu son offre de Cloud Security Posture Management à l’IA et vient concurrencer les offres dites d’AI-SPM qui commencent à apparaître sur le marché, parmi lesquelles celles de Palo Alto Networks, Tenable ou de Wiz.

—————————–

———————————

The post Comment le Shadow AI fait exploser le risque de fuite de données appeared first on Silicon.fr.