Toutes les entreprises organisent des formations de sensibilisation à la sécurité. Des simulations d'hameçonnage. Des conseils sur la gestion des mots de passe. Les principes fondamentaux de la protection des données. C'est indispensable. Mais cela ne suffit plus.
Le fossé dont personne ne parle
Les employés utilisent déjà AI pour rédiger des e-mails, résumer des documents, importer des données à des fins d'analyse, interagir avec des « copilotes » et AI internes. Pourtant, la plupart des programmes de sensibilisation ne tiennent pas compte de cette réalité.
Cela engendre un nouveau type de risk. Il ne s'agit pas d'un comportement malveillant, mais d'un comportement dû à un manque d'information.
Données sensibles copiées-collées dans AI publicsLes employés qui ne comprennent pas les implications des AI externes en matière de traitement des données partagent des informations internes qu’ils n’enverraient jamais par e-mail à des destinataires externes.
Documents internes mis en ligne « par commodité »Des fichiers contenant PII, des données financières ou des procédures internes sont téléchargés vers des outils d’IA à des fins de synthèse ou de traduction — sans savoir où ces données sont transmises.
Des résultatsAI considérés comme fiables sans validationLes employés agissent en se basant sur AI , les résumés ou le code AI sans les soumettre à un examen critique, car l’outil présente ces résultats avec une apparente assurance.
Des employés accordant des autorisations d'accès aux outils sans en comprendre la portéeAutorisations OAuth acceptées sans lire les droits d'accès accordés, ce qui permet AI d'accéder aux e-mails, à l'agenda, aux fichiers ou aux systèmes internes.
Des consignes révélant plus d'informations que prévuLes informations que les utilisateurs incluent dans leurs consignes afin d’obtenir AI meilleures AI contiennent souvent des éléments sensibles liés à l’activité de l’entreprise, des données clients ou des procédures internes qui ne devraient jamais sortir de l’organisation.
Ce n'est pas un policy
Vous pouvez bloquer certains outils. Vous pouvez restreindre l'accès. Mais en réalité, AI sera AI , que vous le contrôliez ou non. La solution ne réside pas dans la restriction, mais dans une meilleure sensibilisation.
Dans le domaine de l'IA générative (GenAI), la consigne constitue la nouvelle voie d'exfiltration des données.
Ce que doit inclure une formation à la sécurité AI
01
Utilisation d'outils — Capacité de jugement
Quand utiliser AI?
Quand NE PAS utiliser AI
Quels sont les outils autorisés ?
Risques liés aux outils externes
02
Traitement des données dans AI
Quelles données peuvent être intégrées dans AI ?
Ce qu'il ne faut jamais révéler
Comment les invites révèlent le contexte
Comment les résultats peuvent permettre de déduire des données
03
Sécurité IA
Sensibilisation à l'injection précoce
Risques de fuite de données
Modélisation de l'hallucination et de la confiance
Risques liés AI tiers
Conséquences en matière d'identité et d'accès
Il s'agit ici de prise de décision, et non de simple respect des règles. L'objectif est de donner aux employés les moyens de faire preuve de discernement pour utiliser AI en toute sécurité — et non de leur fournir une liste de contrôle qu'ils auront oubliée dès le lendemain.
Pourquoi est-ce important aujourd'hui ?
AI plus rapidement que les mécanismes de gouvernance. Cela signifie que les employés font désormais partie de la surface d'attaque d'une manière inédite. Non pas parce qu'ils manquent de prudence, mais parce qu'ils n'ont pas reçu la formation nécessaire pour évoluer dans cet environnement.
Le problème, ce ne sont pas les employés. Ce sont les employés non formés qui évoluent dans un environnement AI.
Ce que les RSSI devraient faire
Intégrez AI dans les programmes de sensibilisation à la sécurité — non pas comme un module complémentaire, mais comme un élément central.
Passer d'une formation axée sur les règles à une formation fondée sur le jugement: le AI évolue plus rapidement que les ensembles de règles. Les employés ont besoin de principes, pas seulement de directives.
Privilégiez les scénarios concrets plutôt que les modules génériques: une formation articulée autour des AI réellement utilisés par votre entreprise, avec des exemples réalistes issus de votre secteur d'activité.
Harmoniser les messages relatifs à la sécurité, aux aspects juridiques et à la gouvernance des données: les collaborateurs reçoivent des consignes contradictoires de la part de différentes équipes. Un programme harmonisé est plus efficace que trois programmes concurrents.
S'adapter en permanence à l'évolution AI : un programme de formation conçu pour AI de 2023 est déjà obsolète. La sensibilisation doit être un programme évolutif, et non un événement annuel.
Conclusion
Sensibilisation traditionnelle enseignée
« Ne cliquez pas sur le mauvais lien. »
La prise de conscience AI doit nous apprendre
« Ne diffusez pas d'informations erronées, même si l'outil est utile. »
La sensibilisation à la sécurité n'a pas échoué. Elle n'a tout simplement pas encore évolué.
#Cybersécurité#IA#IAgénérique#Sensibilisation à la sécuritéCISO#ProtectionDesDonnéesOASAPOneCompliant
Mettre en place Sécurité IA qui soit réellement efficace
OASAP OneCompliant a été conçu pour les environnements d'entreprise soumis à une réglementation et a été adopté par un grand opérateur de télécommunications européen en plusieurs langues. Évolutif, adapté à chaque rôle et mis à jour en permanence.