IA générative : opportunité ou nouvelle surface d'attaque ?

En quelques mois, ChatGPT, Copilot et leurs concurrents sont devenus des outils du quotidien dans les entreprises. Des développeurs qui automatisent leurs revues de code, des commerciaux qui rédigent leurs emails, des juristes qui analysent des contrats — l'IA générative est partout.

Les nouveaux risques concrets

1. Fuite de données via les prompts Lorsqu'un collaborateur colle du code source, des données clients ou un contrat dans un outil IA externe, ces informations quittent potentiellement le périmètre de l'entreprise. Certains modèles utilisent les conversations pour s'entraîner.

2. Prompt injection Une attaque relativement nouvelle : un contenu malveillant (dans un email, un document) contient des instructions cachées qui détournent le comportement d'un agent IA connecté à vos systèmes.

3. Shadow AI Comme le shadow IT des années 2010, des équipes adoptent des outils IA non validés par la DSI, créant des angles morts dans votre cartographie des risques.

4. Deepfakes et ingénierie sociale La génération de voix et vidéos réalistes abaisse drastiquement la barrière à l'entrée pour les attaques de type "fraude au président".

Comment encadrer sans bloquer

La réponse n'est pas l'interdiction — elle serait contournée. C'est la gouvernance :

• Définir quels outils IA sont autorisés et dans quels contextes
• Mettre en place des politiques de classification des données (qu'est-ce qui peut être partagé avec un LLM externe ?)
• Déployer des solutions IA on-premise ou en environnement privé pour les usages sensibles
• Former les équipes aux risques spécifiques à l'IA

L'approche Teknosure

Nous accompagnons les DSI dans la définition de leur politique IA : cartographie des usages existants, rédaction de la charte d'utilisation, et déploiement de solutions IA sécurisées en environnement maîtrisé.