Avec ChatGPT dans l’actualité presque quotidienne ces jours-ci, les utilisateurs doivent savoir que les solutions de prévention des pertes de données de Digital Guardian peuvent aider à mettre en évidence et à atténuer les risques de perte de données associées au modèle de langage du “deep learning”.

L’apprentissage automatique (Machine learning), l’IA (intelligence artificielle) et le big data sont des mots à la mode notamment ces dernières années. Qu’on le veuille ou non, leur utilisation et leur utilité continueront d’augmenter d’année en année.
Cependant, comme pour tout nouveau produit, service ou concept, ils présentent des avantages mais aussi des inconvénients.

ChatGPT qu’est-ce que c’est ?

ChatGPT, un chatbot IA fondé par OpenAI, sorti en novembre 2022, fait la une des journaux depuis des mois maintenant.
Alors que les chatbots sont souvent utilisés par les entreprises pour aider à répondre aux questions sur les services ou fournir un support client, leur permettant ainsi d’éviter d’employer ou mobiliser des humains pour discuter et accomplir ce travail.
ChatGPT est bien plus puissant! Il peut écrire des blogs, des articles, des discours, des publicités, ou même du code en quelques secondes.

Quel est donc le problème, pourquoi faut-il s’en inquiéter ?
Des services comme ChatGPT ou VirusTotal suivent le même modèle : vous êtes à la fois client et fournisseur.
Alors que “VirusTotal”, (un service en ligne) analyse les fichiers et les URL suspects pour détecter les logiciels malveillants, celui-ci peut vous permettre de rechercher des fichiers malveillants connus ou de les analyser; ainsi tout ce que vous téléchargez est partagé avec des dizaines de fournisseurs d’antivirus et une communauté de dizaines de milliers d’utilisateurs payants (abonnés). ChatGPT fait pareil! Il y a un algorithme (créé par l’homme) et des tonnes de données derrière ce service.

Les performances de ChatGPT sont fortement influencées par la quantité et le type de données “d’entraînement” auxquelles il a été exposé.
Quoi que vous lui donniez comme informations, celles-ci sont sauvegardées pour une réutilisation future.
Bien que ChatGPT ait récemment introduit la possibilité de désactiver l’historique des discussions, vous permettant de choisir les conversations pouvant être utilisées pour former ses modèles, cela n’est pas fait par défaut, ce qui signifie que le modèle est régulièrement formé sur de grandes quantités de données textuelles.

Plusieurs histoires et articles sur le “Dark Side” de ChatGPT ont fait la une des journaux à plusieurs reprises au cours des derniers mois, avec des titres détaillant les employés qui auraient divulgué des secrets d’entreprise et du code source au chatbot, des scénarios qui pourraient coûter aux organisations des sommes incalculables.

C’est justement parce que le chatbot et d’autres “large language models” (LLMs) comme Google Bard et Microsoft Bing, sont si faciles à utiliser, qu’ils pourraient mettre vos propres employés (en télétravail ou au bureau), ainsi que vos sous-traitants et même des parties de votre chaîne d’approvisionnement en danger.

Comment fonctionne ChatGPT?

Lors de l’inscription, il vous demande votre e-mail, votre nom et votre numéro de téléphone, ce qui signifie que les questions et les réponses sont attribuées à une personne définie.

Lorsque vous vous connectez pour la première fois, un avertissement concernant le partage de données sensibles s’affiche, mais les avertissements et les lois ne dissuadent pas tout le monde !

Pourquoi tout cela est-il important du point de vue de la fuite de données ?

D’une part, ChatGPT pourrait être utilisé pour exfiltrer des données de travail à d’autres fins et une fois que l’employé est à la maison ou bien en dehors de son lieu ou cadre de travail, extraire ce qui a été collé sur l’ordinateur de l’entreprise.

Cela pourrait également entraîner le téléchargement accidentel de ce que l’utilisateur peut ne pas identifier comme étant sensible, comme les PCI (données de carte de paiement), les PII (informations personnelles identifiables), l’IP (propriété intellectuelle) ou les “Prices lists”, etc… .
Dans les deux cas, ces informations pourraient être utilisées par ChatGPT et visibles aux futurs utilisateurs ou bien même visualisées directement par les “chat reviewers” humains, mettant en péril les données.

Comment mon entreprise peut-elle protéger les données hors de ChatGPT ?

Si vous êtes une organisation, quelles sont vos options pour contrôler l’accès à ChatGPT ? Pouvez-vous contrôler ce qui peut y être collé ou saisie ?

En fin de compte, ChatGPT est comme n’importe quel autre site Web avec une zone de texte et un bouton d’envoi.
La fonction de chat du service est comme n’importe quel autre site Web qui utilise TLS (le cadenas sécurisé), et ci-dessous, vous pouvez voir la zone de saisie du service, qui est super simple.

Depuis sa création, Digital Guardian s’est spécialisé dans l’aide aux organisations pour arrêter le vol de données d’entreprise, comme le code source sensible et la propriété intellectuelle.
Si vous êtes déjà client, vous pouvez avoir l’esprit tranquille car les solutions de prévention des pertes de données de Digital Guardian peuvent aider à mettre en évidence et à atténuer les risques associés à ChatGPT.

Voici ce que Digital Guardian peut faire :

1. Blocage pur et simple : HTTP (trafic Web non chiffré) et HTTPS (trafic Web chiffré) allant à https://chat.openai.com/ sur les terminaux (ordinateurs des utilisateurs)
2. Modèles de signalement : surveiller et bloquer les questions soumises à ChatGPT en fonction de modèles tels que : numéros d’assurance nationale, numéros de sécurité sociale, numéro de carte de crédit, codes de tri, permis de conduire, mots clés ITAR (International Traffic in Arms Regulations), etc.
3. Arrêtez l’exfiltration des données classifiées : bloquez le copier-coller des données marquées comme classifiées par l’agent ou l’utilisateur eDLP vers ChatGPT. c’est-à-dire étiqueté par des ministères ou une classification d’entreprise comme : public, officiel, officiel-sensible, secret ou très secret

Si un utilisateur tente de copier et coller des informations à partir d’un fichier classifié, Digital Guardian interdira l’action et signalera la tentative avant que l’utilisateur n’ait la possibilité de la soumettre à ChatGPT.

Ci-dessous l’image d’un fichier classifié avec étiquette.

Une fois que le contenu d’un fichier classifié est copié/collé dans la boîte de questions, une invite est lancée même sans soumettre la question.

Digital Guardian (Fortra) est un leader de la gestion de la sortie des données qui aide les organisations à prévenir la perte de leurs données commerciales sensibles. ChatGPT, ainsi que des plates-formes similaires telles que Google Bard, ne sont que des “points de sortie” supplémentaires couverts par nos principales solutions de protection des données. Digital Guardian pour vous protéger, continue d’innover et d’être réactif pour développer des politiques et des règles empêchant l’exfiltration de données notamment dans l’environnement IA toujours en rapide et constante évolution.

Source : Digital Guardian (part of Fortra)

Pour en savoir plus concernant la solution.