Plus de 80 % des entreprises du Fortune 500 déploient des agents d'IA actifs créés avec des outils low-code. 29 % des employés utilisent déjà des agents non autorisés pour leurs tâches professionnelles.

Près d'un tiers des salariés ont déjà recours à des agents que leur entreprise n'a jamais validés. Et seulement 47 % des organisations déclarent mettre en œuvre des contrôles spécifiques pour l'IA générative - ©Summit Art Creations / Shuttertstock
Près d'un tiers des salariés ont déjà recours à des agents que leur entreprise n'a jamais validés. Et seulement 47 % des organisations déclarent mettre en œuvre des contrôles spécifiques pour l'IA générative - ©Summit Art Creations / Shuttertstock

Microsoft vient de publier son rapport Cyber Pulse. Dans les services financiers, l'industrie manufacturière et le commerce de détail, les agents d'IA se multiplient à grande vitesse. Ils rédigent des propositions, analysent des données sensibles, trient des alertes de sécurité, automatisent des processus répétitifs.

Mais beaucoup échappent au contrôle des directions informatiques. Un employé peut désormais créer un agent capable d'accéder à des informations critiques sans formation ni encadrement. Et pour cela, il n'a besoin que d'une plateforme no-code et de quelques clics.

Selon l'enquête menée auprès de 1 700 professionnels de la sécurité des données, près d'un tiers des salariés ont déjà recours à des agents que leur entreprise n'a jamais validés. Et seulement 47 % des organisations déclarent mettre en œuvre des contrôles spécifiques pour l'IA générative.

Proton Business SuiteProton Business Suite
8.7/10

Offre partenaire

Des solutions simples et chiffrées pour protéger votre entreprise

Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.

Essayer Proton Business Suite gratuitement !

Offre partenaire

Le phénomène de « Shadow AI » : L'IA comme employé fantôme qui prend des initiatives à votre insu

Quiconque s'en sert et les utilise au travail sait que les agents d'IA agissent, décident, consultent des bases de données, interagissent avec d'autres systèmes à notre place. C'est vrai, qui n'a pas rêvé d'attribuer ces tâches chronophages à un tiers ? Mais ce tiers est-il fiable pour autant qu'il soit une IA ? Et que sait-on du bienfondé de celles et ceux qui utilisent un agent d'IA maison ?

L'équipe Defender de Microsoft a identifié une campagne frauduleuse dans laquelle des cyberpirates exploitaient une technique appelée « empoisonnement de la mémoire » pour manipuler durablement la mémoire des assistants IA. Les chercheurs ont montré comment des éléments d'interface trompeurs induisaient les agents en erreur. Des personnes mal intentionnées ou non peuvent donc transformer ces agents en « agents doubles » involontaires. Partant de là, on navigue à vue. Combien d'agents tournent dans l'entreprise ? À qui appartiennent-ils ? Quelles données consultent-ils ?

Des États-Unis à l'Europe, du Moyen-Orient à l'Afrique et l'Asie, cette expansion échappe à tout contrôle de la part des entreprises. Pourtant, les services financiers représentent 11 % de tous les agents actifs dans le monde, l'industrie manufacturière 13 %, le commerce de détail 9 %.

On le voit, un agent mal configuré peut exposer des milliers de dossiers médicaux, compromettre des transactions financières, violer des réglementations. Et c'est souvent quand le mal est fait que les équipes de sécurité découvrent l'existence de ces agents.

L'équipe Defender de Microsoft a identifié une campagne frauduleuse dans laquelle des cyberpirates exploitaient une technique appelée « empoisonnement de la mémoire » pour manipuler durablement la mémoire des assistants IA - ©Who is Danny / Shutterstock

Gouvernance et sécurité : l'illusion du contrôle dans l'ère low-code/no-code

Microsoft recommande d'appliquer aux agents d'IA les mêmes principes de Zero Trust que pour les employés humains : principe du moindre privilège, vérification explicite, partir du principe qu'une compromission reste possible. Ce qui change, c'est leur application à des utilisateurs non humains qui opèrent à grande échelle. Il faut que les organisations disposent d'un registre centralisé pour tous les agents, qu'ils soient autorisés ou fantômes. Chaque agent doit être soumis aux mêmes contrôles d'accès que les utilisateurs humains.

Or, la démocratisation des outils low-code rend cette gouvernance très compliquée. N'importe quel employé peut créer un agent sans passer par le département informatique. Qui est garant de ce qu'un agent créé par un commercial va faire avec les données clients ? Gouvernance et sécurité, bien que liées, ne peuvent être confondues. La première définit la propriété et les politiques. La seconde applique des contrôles et détecte les menaces. Pourtant, on ne peut limiter la gouvernance de l'IA au seul département informatique. Les services juridiques, la conformité, les ressources humaines, la direction, c'est tout l'organigramme qui doit s'impliquer.

Selon Vasu Jakkal, vice-présidente de Microsoft Security, « L'avenir appartient aux organisations qui innovent à la vitesse de la machine et qui observent, gouvernent et sécurisent avec la même précision ».

Pour l'instant, de nombreses entreprises sont dans l'expectative. Mais à trop attendre, l'IA qui peut leur être salutaire si bien encadrée, pourrait se retourner finalement contre elles.

Source : Microsoft