Si les cybercriminels se sont rapidement emparés des agents conversationnels à base d’IA comme ChatGPT pour améliorer leurs attaques, ils pourraient aussi trouver une aide précieuse auprès des salariés. En effet, ceux-ci auraient la fâcheuse tendance à transmettre des données sensibles de leur société à ces grands modèles de langage (LLM). Et les cas sont loin d’être isolés comme l’indique dans un rapport l’éditeur de sécurité Cyberhaven. Il a détecté et bloqué des requêtes comprenant des informations confidentielles ou réglementées, du code source émanant de 4,2% d'1,6 million des salariés des entreprises clientes (soit un peu plus de 67 000 collaborateurs).
En terme de statistiques, l’éditeur a constaté sur un échantillon de 100 000 personnes (du 19 au 25 février 2023) 43 fuites de dossiers sur des projets sensibles (document de planification d’acquisition d’un terrain pour construire un parc à thème), 130 fuites de données client (contenu d'un document envoyé à un cabinet d'avocats par son client). Il y a aussi 119 fuites de code source (code utilisé dans une application de médias sociaux qui doit être modifié pour changer de fonctionnalité) ou 150 fuites de données confidentielles (un mémo discutant de la manière de gérer une action réglementaire à venir de la part du gouvernement).
Des outils et une sensibilisation à mettre en place
Parmi les exemples saillants, Cyberhaven cite un cadre qui a copié un document stratégique 2023 de l’entreprise dans ChatGPT et lui a demandé de créer une présentation PowerPoint. Dans un autre cas, un médecin a saisi le nom d’un patient et son dossier médical dans ChatGPT pour rédiger une lettre à l’intention de la mutuelle du patient. A l’avenir, un tiers pourra solliciter le chatbot en posant comme question « Quel problème de santé à (nom du patient) ? » et obtenir une réponse précise. Idem dans le premier cas avec comme requête, « Quelles sont les priorités stratégiques 2023 de la société (nom) ? ».
Pour remédier à ce risque, certaines entreprises ont décidé d’alerter ou de restreindre l’accès au chatbot à base d’IA comme JPMorgan ou Amazon et Walmart. Les éditeurs, dont Cyberhaven, saisissent l’opportunité pour développer des outils capables de détecter et d’analyser la présence d’informations sensibles au sein des requêtes. Il sera peut-être nécessaire de sensibiliser les collaborateurs à cette problématique au même titre qu’ils sont informés des risques en matière de phishing.