Si les produits d'IA ouverts comme ChatGPT sont conçus pour traiter et générer des réponses de type "humain", ils manquent du discernement nécessaire pour comprendre le contexte, l'intention ou les conséquences des informations qu'ils reçoivent. Moussa Ouedraogo, Head of Cybersecurity chez Fujitsu Luxembourg, soulève l'impact potentiel de l'utilisation d'outils basés sur l'intelligence artificielle - tels que ChatGPT - sur la vulnérabilité déjà précaire des organisations en matière de sécurité. 

Une arme à double tranchant  

Il convient de souligner que les risques liés à une technologie dépendent principalement de son utilisation finale. Dans le domaine de la sécurité, nous utilisons des scans de vulnérabilité pour identifier et corriger les failles au sein des systèmes avant qu'elles ne soient exploitées de manière malveillante. Paradoxalement, cette même technologie est utilisée par des hackers pour repérer les points faibles de la sécurité d'une entreprise avant de mener des attaques. Ainsi, une technologie peut être utilisée à des fins divergentes. 

ChatGPT présente une situation similaire. Son programme l'empêche de se livrer à des activités contraires à l'éthique ou d'aider à la réalisation d'activités illégales. Il est cependant possible de contourner ces règles en fournissant les bons "prompts", ou instructions. En posant les bonnes questions et en évitant de susciter des soupçons quant à nos intentions malveillantes, le bot pourrait nous aider à développer un logiciel malveillant. Il pourrait également fournir de nouvelles méthodes de social engineering, une technique de manipulation visant à escroquer le plus grand nombre de victimes possible. En effet, on peut facilement imaginer la création d'un e-mail de phishing convaincant ou d'un message percutant, basés sur des informations préalablement fournies. Ce risque concerne à la fois les individus et les entreprises du monde entier. 

La protection des données est un autre aspect vulnérable à l'utilisation de ChatGPT. L'outil fonctionne en se basant sur une base de connaissances qui s'enrichit au fur et à mesure de l'apport de nouvelles données. C'est là que réside le risque, car les données fournies ne sont pas toujours filtrées par les utilisateurs, ce qui peut entraîner la divulgation de secrets professionnels internes à l'entreprise et les faire sortir du périmètre de l'organisation. Sur base des informations reçues, l’intelligence artificielle va pouvoir faire la dichotomie entre toutes les données assimilées et commencer à établir des profils. Elle pourra catégoriser les informations en fonction de la localisation, du secteur, etc. 

Prévenir les fuites de données 

Pour mitiger les risques liés à l’exploitation d'une technologie comme ChatGPT, il est primordial de sensibiliser et de former les collaborateurs de l'entreprise à son utilisation. Néanmoins, il ne faut pas s’arrêter à cette réponse. La problématique de sécurité soulevée aujourd’hui vis-à-vis de ChatGPT n’est pas une nouveauté. Mais surtout, on sait dors et déjà comment la résoudre. La sensibilisation est une bonne mesure, mais il suffit d’une exception ou d'une erreur en interne pour que toute la démarche vole en éclats. 

Si l’on veut écarter tout risque, la solution la plus simple à mettre en place est de bloquer purement et simplement l’accès à l’outil. Puisque le bot d’OpenAI se trouve derrière un proxy, il est possible de restreindre l’accès au domaine au sein de l’organisation. Certes, c’est une solution "radicale" puisque ChatGPT peut tout autant contribuer de façon positive à l’essor d’un service ou améliorer l’efficience des employés. 

Une autre méthode, beaucoup plus sophistiquée cette fois-ci, consiste à recourir à l’implémentation de technologies de "Data Leakage Prevention", dites DLP. Ces technologies sont utilisées pour s’assurer que le flux d’informations transmis en dehors de l’entreprise est contrôlé. Les informations seront filtrées sur base de la politique mise en place au sein de l’entreprise. Le DLP aura la capacité d’empêcher que des données contenant le noms de certaines personnes, des stratégies ou d’autres informations sensibles encore ne fuitent. Une fois ces risques de fuite neutralisés, le DLP les enregistrera dans l’historique afin de permettre une investigation a posteriori. Il faut souligner en passant que la problématique DLP  est un sujet fortement traité par Fujitsu. 

Une aide à la défense plutôt qu’une menace?? 

Tandis que l’utilisation de ChatGPT peut présenter des risques pour la sécurité d’une entreprise, il existe dans le monde des technologies beaucoup plus dangereuses encore. Certaines d’entre elles sont omniprésentes, à la portée du premier néophyte venu, et disponibles à l'achat sur le dark web pour une poignée d’euros. ChatGPT aurait, selon moi, plus d’utilité pour organiser la défense d'une entreprise que pour améliorer l’offensive d’un cybercriminel. 

Dans le secteur de la sécurité, il est crucial de s’assurer que les mesures mises en place sont solides et durables. On pourrait, par exemple, demander au bot un avis sur différents aspects de la sécurité de l’entreprise pour atteindre un niveau de maturité encore plus élevé. Considérons le cas des développeurs d'applications, qui sont souvent à l'origine de vulnérabilités exploitées par les hackers. Lorsque nous examinons un morceau de code, nous utilisons généralement un outil appelé scanner de code qui identifie les vulnérabilités et propose des solutions pour les résoudre. On pourrait envisager d'utiliser ChatGPT pour effectuer une analyse similaire. En lui fournissant un extrait de code en JavaScript ou C++, le bot pourrait, par exemple, nous signaler une vulnérabilité potentielle et nous proposer une manière de la corriger. Cela constituerait un véritable changement de paradigme pour les entreprises de tous types, mais surtout pour les petites organisations qui ne disposent pas des ressources nécessaires pour acquérir des solutions de sécurité onéreuses.