Catégorie: Blogue
ChatGPT est un outil de Chatbot de l’entreprise OpenIA qui n’est plus à présenter. En effet cette IA est un véritable bijou de technologie et sa version encore plus performante (ChatGPT 4.0) a été annoncée il y’a peu. Pourtant bien que ChatGPT puisse être un outil pouvant améliorer la productivité des salariés celui-ci, si son usage n’est pas maitrisé, peut présenter des risques de sécurité pour l’entreprise qui ne l’utilise pas avec précaution.
Information contextuelle
En effet c’est ce prévoit un rapport de CyberHaven, une société de cybersécurité basée en Californie. CyberHaven rapporte que 2,3% des salariés ont copier/coller des données confidentielles de leur organisation sur ChatGPT. La conclusion de ce rapport est sans appel. L’utilisation de l’outil présente des risques élevés pour la sécurité des données « sensibles » des organisations et pour leurs renseignements personnels.
Plus de détails
ChatGPT est une IA qui selon le principe « d’apprentissage profond » ce qui signifie que l’IA doit se nourrir d’un grand volume de données pour s’optimiser et apprendre. En d’autres termes plus l’IA aura d’entrées de données (dans sa boite de dialogue et des données qui se trouvent librement sur internet) plus cette dernière devrait être performante et apprendre de manière exponentielle.
Le problème étant que certains salariés utilisent ChatGPT de manière inconsciente et décident d’y intégrer des données confidentielles et des données sensibles pour les entreprises. Donc, selon le principe « d’apprentissage profond » l’IA sera susceptible de réutiliser les données et de les divulguer à qui veut l’entendre. L’IA étant on le rappelle, en apprentissage constant il est possible qu’une information confidentielle soit estimée comme légitime à être transmise à tous malgré son caractère sensible. Il est d’ailleurs très compliqué – et cela s’explique par le volume colossal de données que l’outil engrange – de savoir quelles données seront réutilisées et si la réutilisation de ces données seront pertinentes.
C’est pourquoi CyberHeven donne l’exemple d’un médecin qui ne souhaite pas rédiger ses conclusions médicales pour la transmettre à une compagnie d’assurance demande à ChatGPT de le faire à sa place. Dans sa demande il précise le nom prénom du patient ainsi que sa maladie. Il serait alors possible théoriquement que quelqu’un demande à ChatGPT « de quelle maladie le patient X souffre-t-il » et il est totalement possible que ChatGPT puisse répondre à cette question.
Lorsque l’on pose la question à ChatGPT et s’il est possible que par inadvertance ce dernier transmette une donnée sensible voici sa réponse:
« dans la plupart des cas, les données utilisées pour mon entraînement sont anonymisées ou rendues non identifiables pour protéger la vie privée des individus. Cependant, il est toujours possible que des erreurs se produisent et que des informations sensibles soient divulguées par inadvertance. »
Le partage de renseignements personnels à ChatGPT soulève également de nombreux enjeux en matière de protection des renseignements personnels. Le fait d’y entrer des renseignements personnels constitue un transfert de données à un tiers sans que la personne n’y ait consenti et sans qu’une information claire et transparente lui ait été fournie. La conséquence majeure est donc la non-conformité avec les lois de protection des renseignements personnels.
Lorsque l’on combine ces faits avec un usage grandissant de l’outil et de sa popularité grandissante dans les entreprises le constat est donc alarmant. La promesse de ChatGPT étant très alléchante et ses fonctionnalités de plus en plus poussées augmente grandement son attrait auprès des salariés.
Evidemment de son côté, OpenIA régule et ajuste au fur et à mesure son IA et des mesures techniques sont censées empêcher toute dérive de l’algorithme. Cependant il a été démontré à plusieurs reprise qu’il est possible de manipuler l’IA qui même lorsqu’au moment ou cette dernière refuse de répondre à une question, en lui posant les questions différemment ou en lui donnant une personnalité différente l’IA s’est retrouvée plusieurs fois à répondre à des questions auxquelles elle n’était pas censée répondre.
Mesures nécessaires/recommandées
Quelles sont les actions à prendre pour dans ce cas éliminer – ou à minima le réduire au maximum- le risque lors de l’usage de ChatGPT:
- Interdire l’outil purement et simplement en bloquant l’accès au site et ne plus bénéficier des avantages que l’outil peut apporter. L’interdiction peut éliminer purement le risque en interne sur le réseau de l’entreprise sans pour autant garantir que les salariés l’utilisent de manière incontrôlée en dehors du réseau de l’entreprise avec les données confidentielles et les renseignements personnels de l’entreprise.
- Sensibiliser les salariés sur l’usage de ChatGPT et ne pas l’interdire et ainsi pouvoir continuer de bénéficier des avantages apportés par l’outil en prenant le risque que les salariés ne respectent pas les consignes et que des données confidentielles et des renseignements personnels se trouvent dans le cycle d’apprentissage de l’IA et soient un jour divulgués.
La meilleure conclusion serait donc celle de l’outil d’OpenIA lorsqu’on lui demande si nous devrions interdire ou non son utilisation au sein des organisations : « En fin de compte, il est important pour les entreprises de peser les avantages et les risques potentiels de l’utilisation de modèles de langage comme moi, et de mettre en place les mesures de sécurité et de confidentialité appropriées pour protéger leurs données sensibles et leurs renseignements personnels. »
Contactez-nous pour protéger votre entreprise.
