Quatre-vingt-deux pour cent des dirigeants estiment qu’une IA sécurisée et fiable est essentielle. Cependant, seuls 24 % d’entre eux intègrent la sécurité dans leurs initiatives liées à GenAI. C'est ce que révèle une nouvelle étude d'IBM et d'Amazon Web Services, une recherche conjointe annoncée lors de la conférence RSA 2024 et qui détaille les résultats d'une enquête axée sur les points de vue des dirigeants de la suite C sur la façon de conduire des cas d'utilisation sûrs de l'IA, avec une tonne de concentration. sur l'IA générative. IBM rapporte que seulement 24 % des personnes interrogées considèrent une dimension de sécurité dans leurs initiatives d'IA générative, tandis que près de 70 % déclarent que l'innovation prime sur la sécurité.
Compromis entre innovation et sécurité
Même si la plupart des dirigeants craignent que des risques imprévisibles aient un impact sur les initiatives de génération d’IA, ils ne donnent pas la priorité à la sécurité. Même si le paysage des menaces d'IA n'a pas encore été pleinement réalisé, certains cas d'utilisation ont impliqué l'utilisation de ChatGPT ou similaire pour générer des scripts de courrier électronique de phishing et de l'audio deepfake. Les chercheurs en sécurité d'IBM X-Force ont averti que, comme pour les technologies plus matures, on peut s'attendre à ce que les systèmes d'IA soient de plus en plus ciblés à plus grande échelle.
Alors qu'une surface consolidée de menaces liées à l'IA commence seulement à se former, les chercheurs d'IBM X-Force prévoient qu'une fois que le paysage industriel aura mûri autour de technologies et de modèles d'activation communs, les acteurs malveillants commenceront à cibler ces systèmes d'IA plus largement, indique le rapport. En effet, cette convergence est en cours alors que le marché évolue rapidement et que des fournisseurs de premier plan émergent déjà dans les domaines du matériel, des logiciels et des services.
Selon le rapport d'IBM, ce qui est plus immédiatement préoccupant, ce sont les entreprises qui ne sécurisent pas correctement les modèles d'IA qu'elles construisent et utilisent dans le cadre de leurs activités. Une mauvaise application des outils GenAI peut entraîner une mauvaise gestion ou une fuite de données sensibles. Selon le rapport, l'utilisation de « l'IA fantôme » est de plus en plus répandue au sein des organisations, car les employés utilisent des outils GenAI qui n'ont pas été approuvés et sécurisés par les équipes de sécurité de l'entreprise.
À cette fin, IBM a annoncé en janvier un cadre pour sécuriser GenAI. Ses principes de base sont la centralisation des données, qui sont utilisées pour entraîner les modèles d'IA, la sécurisation des modèles à l'aide d'une combinaison d'analyses de pipelines de développement pour détecter les vulnérabilités, l'application de politiques et de contrôles d'accès pour l'utilisation de l'IA, et la sécurisation de son utilisation contre les attaques basées sur des modèles d'IA en direct.
Sécuriser le pipeline d’IA
Lundi, l'équipe de sécurité offensive X-Force Red d'IBM a déployé un service de test d'intelligence artificielle qui cherche à évaluer les applications d'IA, les modèles d'IA et les pipelines MLSecOps via l'équipe rouge. Mercredi, lors de la conférence RSA 2024, IBM présentera « Innovate Now, Secure Later ? Décisions, Décision… » sur la sécurisation et l’établissement d’une gouvernance pour le pipeline d’IA.
Le deuxième intervenant était Ryan Dougherty, directeur du programme pour les technologies de sécurité chez IBM Security. S'adressant à TechTarget Editorial, il a déclaré que sécuriser l'IA dès le départ est l'une des principales préoccupations d'IBM Security dans le domaine technologique. Il a déclaré : « C’est ce qui rend ce domaine si crucial, en particulier dans le cas de l’IA générative : elle est profondément ancrée dans les applications et les processus métier. L’intégration du tissu commercial l’élève au-delà des risques et menaces potentiels.
Selon lui, d’un point de vue commercial, l’IA doit être ancrée dans sa véritable nature. « L'IA générative est formée et opérationnelle sur de vastes quantités de données commerciales sensibles, et nous devons sécuriser ces nouveaux joyaux de la couronne, car c'est là que l'avantage concurrentiel entre en jeu. Il s'agit des données dont disposent ces organisations et des informations qu'elles obtiennent en utilisant l'IA. l’IA générative et la faire apparaître dans leurs applications pour améliorer leurs activités », a-t-il déclaré. Dougherty a ajouté qu’ils paient beaucoup d’argent pour les modèles, qui sont très chers. Une grande quantité de propriété intellectuelle et d’investissements sont consacrés à la mise en œuvre de ces applications d’IA générative, et les entreprises ne peuvent tout simplement pas se permettre de les sécuriser.