Alors que les entreprises se débattent avec leur mise en conformité au RGPD, à NIS2 ou à l’AI act, les utilisateurs échappent aux périmètres réglementaires. L’étude de layerX révèle une exfiltration massive des données sensibles avec l’IA, via des comptes personnels.
“45 % des entreprises utilisent déjà activement des plateformes d’IA, l’IA représentant 11% de l’activité de navigation en entreprise, un taux d’adoption remarquable pour une technologie aussi récente“, constate l’étude de LayerX, plateforme de surveillance. Jamais une technologie n’aura été aussi rapidement adoptée. Sans grande surprise, ChatGPT est de loin le leader en matière d’utilisation de l’IA, avec 43 % des utilisateurs.
Les données à tout vent
Ce qui est inquiétant, c’est que 40 % des fichiers téléchargés sur les outils d’IA et 41 % sur les plateformes de stockage de fichiers contiennent des données personnelles ou sensibles. “Cela signifie que près de la moitié des données transmises par les employés à ces plateformes sont hautement sensibles, ce qui fait de ces outils des cibles majeures de violations potentielles et de risques de conformité” expliquent les auteurs.
Le shadow AI est le principal canal de fuite de données. La fuite de données s’exerce surtout par le copier/coller. 77 % des utilisateurs copient des données dans des IA, et 82 % de cette activité provient de comptes non gérés ! L’entreprise ne dispose d’aucun contrôle.
Autre chiffre inquiétant de l’étude : 67 % des utilisations de l’IA, 64 % des connexions Zoom et 77 % des connexions Salesforce seraient opérées depuis des comptes personnels, par définition non gérés par le RSSI. L’application de l’authentification unique (SSO) est également insuffisante : les CRM (71 % non fédérés) et les ERP (83 % non fédérés) sont largement utilisés sans SSO.
Les outils de communication instantanées sont également des canaux
Les chats et applications de messageries instantanées génèrent également des risques. 87 % des activités de messagerie instantanée s’effectuent via des comptes non gérés et non professionnels. Les plateformes de chat constituent le principal point d’exposition des données sensibles : 62 % des utilisateurs y collent des données personnelles ou sensibles.
Les RSSI ont peu de marge de manœuvre face aux comportements des employés. En effet, la majorité utilise leurs propres smartphones. La formation et la mise en place de bonnes pratiques semblent les meilleures solutions.
