ChatGPT : quand vos salariés partagent des données confidentielles avec l’IA

L’engouement suscité par ChatGPT et les autres modèles d’intelligence artificielle générative ne doit pas faire oublier aux salariés les règles élémentaires de cybersécurité. C’est ce que nous apprend une étude effectuée par l’entreprise de cybersécurité Cyberhaven, selon laquelle 4,9% des employés du panel comptant 1,6 millions de personnes ont déjà copié des informations sur leur entreprise dans le champ de requête de ChatGPT. 2,6% de cet échantillon ont même partagé des données sensibles avec le chatbot.

Cyberhaven cite l’exemple d’un cadre qui a partagé des données du plan stratégique 2023 de l’entreprise à partir desquelles il a demandé à l’agent conversationnel de créer une présentation Power Point. Le hic est que si vous « nourrissez » la machine avec ces chiffres, ils seront accessibles à n’importe quel internaute formulant une requête à ce sujet : « Quelles sont les priorités stratégiques de la société X en 2023 ? » Le secret professionnel et le droit à l’oubli sont des notions étrangères à l’IA, alors, mieux vaut réfléchir à deux fois avant de partager quoi que ce soit.

Une aubaine pour les hackers

Sur une période courant du 26 février au 4 mars 2023, l’éditeur a notamment recensé, sur un échantillon de 100 000 employés, 199 fuites de documents confidentiels, 173 partages de données clients et 159 impliquant du code source. Ces employés ont également partagé des données personnelles, des informations de santé et des projets stratégiques de l’entreprise avec l’IA. Une aubaine pour les cybercriminels, qui n’ont plus qu’à entrer les bons mots-clés pour accéder directement à une mine de données personnelles.

En juin 2021, une douzaine de chercheurs travaillant chez Apple, Google ou au sein de l’université de Harvard et de Stanford ont publié un article démontrant qu’une attaque sur ChatGPT-2, une version antérieure à ChatGPT-3, permettait de récupérer des séquences entières de texte non chiffré.

Quelles solutions pour protéger les données sensibles de son entreprise ?

Certaines entreprises, dont les firmes américaines Amazon et Verizon, ont purement et simplement bloqué l’accès au chatbot conversationnel sur l’environnement de travail de l’ensemble de leurs collaborateurs. D’autres, à l’image de JP Morgan, ont préféré limiter l’accès au logiciel.

Sans aller jusque-là, il est bon de sensibiliser ses collaborateurs aux risques que peut présenter l’usage de cette nouvelle technologie, de la même manière que les entreprises le font déjà pour ce qui concerne les campagnes de phishing. Microsoft a, par exemple, rédigé une note interne pour demander à ses collaborateurs de ne pas partager d’informations sensibles avec ChatGPT, sans pour autant restreindre l’accès à l’outil.