Cet article, publié dans le Wall Street Journal, m’a fait m’interroger.
À l’heure où l’économie mondiale apprend à composer avec l’incroyable potentiel de ChatGPT et de l’IA générative, mais aussi avec les risques considérables en matière de confidentialité posés par ces technologies, pourquoi n’y a-t-il pas plus de personnes qui se posent cette question simple, à savoir : « Y a-t-il autant de risques à partager des données confidentielles en externe avec de grands modèles de langage qu’à en partager en externe via des e-mails ? »
À mon humble avis, la réponse est oui.
Cet article a donc pour objectif d’analyser les similarités entre ces deux scénarios et de présenter en quoi les bons outils peuvent contribuer à atténuer les risques, en particulier en matière de protection des quantités massives de données confidentielles que les employés partagent volontairement chaque jour par e-mail.
Similarités : risques associés à ChatGPT et aux e-mails
En matière de partage d’informations confidentielles, les workflows faisant appel à ChatGPT et aux e-mails présentent des risques similaires, dont les suivants :
- Fuites de données : tout comme lors de la rédaction d’e-mails, il est possible que des employés insèrent par inadvertance des informations confidentielles dans ChatGPT ou dans des outils d’IA générative similaires. Dans un tel cas de figure, les données risquent d’être divulguées, d’être consultées par des personnes non autorisées ou même d’être utilisées pour entraîner le modèle d’IA.
- Erreur humaine : les workflows nécessitant l’utilisation de ChatGPT ainsi que ceux consistant en des échanges par e-mail impliquent tous deux des interactions humaines, ce qui introduit un risque d’erreur. Les employés peuvent accidentellement divulguer des données confidentielles à ChatGPT, en pensant qu’il s’agit d’un outil conversationnel pouvant être utilisé de façon anodine. De même, il est possible que des informations confidentielles soient transmises à des destinataires erronés ou envoyées par inadvertance à une mauvaise adresse e-mail suite à une saisie erronée.
Bonnes pratiques pour atténuer les risques
Pour minimiser le risque d’exposition accidentelle de données confidentielles via des workflows impliquant ChatGPT ou des échanges par e-mail, appliquez les bonnes pratiques suivantes :
- Formation des employés : sensibilisez vos employés aux risques associés au partage externe d’informations confidentielles avec des tiers via des workflows impliquant ChatGPT ou des échanges par e-mail. Donnez l’ordre à vos employés de ne pas divulguer d’informations confidentielles à ChatGPT ou à tout autre outil d’IA générative. De même, veillez à sensibiliser les employés aux bonnes pratiques en matière de sécurité des e-mails, en leur indiquant d’avoir recours au chiffrement et de bien vérifier l’adresse des destinataires avant l’envoi d’informations confidentielles. Cela implique également que les employés comprennent précisément quelles sont les données considérées comme confidentielles : vous devrez veiller à ce qu’ils sachent exactement quelles données appartiennent aux catégories des informations personnelles identifiables (PII) et des informations de santé protégées (PHI), et quels types d’informations sont soumis aux réglementations de conformité s’appliquant à votre secteur d’activité (HIPAA, CJIS, ITAR, etc.). Si vous ne communiquez pas des instructions claires à ce sujet aux employés, vous risquez à terme de commettre une violation des réglementations en matière de conformité ou d’enfreindre celles-ci.
- Découverte, classification et balisage des données en amont : si vous fonctionnez comme la plupart des autres organisations, il se peut que vous soyez submergé par d’énormes quantités de données. C’est pourquoi il est essentiel d’investir dans la mise en place de procédures de découverte de données adéquates pour déterminer quelles sont les données dont vous disposez et où celles-ci sont stockées. Une fois la phase de découverte terminée, vous pourrez classifier vos données comme étant confidentielles ou non confidentielles. Une fois cette classification effectuée, il vous sera possible d’appliquer des balises ou des étiquettes aux données pour identifier (via des attributs) quelles sont les plus confidentielles. La réalisation en amont de l’ensemble de ces activités de gouvernance des données permettra à votre organisation de mettre en place des contrôles de sécurité des données en aval afin que vous puissiez définir et appliquer des politiques connexes, ainsi que minimiser les fuites via des canaux tels que ChatGPT et les e-mails.
- Contrôles de sécurité en aval : une fois que vos données ont été balisées, elles disposent d’attributs. Grâce à ces attributs, vous pouvez dès lors appliquer automatiquement des politiques s’appuyant sur des normes telles que le Trusted Data Format (TDF) afin de contrôler facilement qui peut accéder à ces données, ainsi que la manière dont elles peuvent être utilisées et pendant combien de temps, même après leur partage avec d’autres personnes par le biais d’e-mails. Vous pouvez également implémenter des contrôles similaires s’appliquant aux cas d’utilisation de ChatGPT, en employant des filtres jouant le rôle de garde-fous qui empêchent automatiquement le partage de données confidentielles avec des outils d’IA générative.
ChatGPT et collaboration par e-mail : des risques similaires conduisent à l’utilisation de dispositifs de protection des données semblables
Les risques liés au partage d’informations confidentielles avec ChatGPT sont extrêmement semblables à ceux associés à l’envoi d’e-mails contenant des données confidentielles. Cependant, les organisations peuvent atténuer de façon efficace ces risques en mettant en œuvre des mesures appropriées, notamment en procédant à la formation des employés, à la gouvernance des données en amont et à des contrôles des données en aval.
Pour maîtriser les risques associés aux workflows d’échange d’e-mails en aval, envisagez de procéder à l’implémentation d’outils de sécurisation des e-mails de pointe tels que Virtru, qui ajoute une couche de protection supplémentaire garantissant que les données confidentielles partagées dans le cadre de tels workflows demeurent sécurisées. En adoptant ces pratiques et en exploitant les outils adéquats, les organisations peuvent partager en toute confiance des données confidentielles en externe par le biais de workflows faisant appel aux e-mails et à ChatGPT.
