Il est essentiel d’inclure les questions de sécurité dès le début de toute discussion sur l’adoption de l’IA générative, c’est un fait. Et les entreprises ont su répondre aux attentes des RSSI puisque les budgets de cybersécurité pour l’IA sont en hausse.
La marche de l’IA générative n’est pas sans conséquences négatives, et les RSSI sont particulièrement préoccupés par les inconvénients d’un monde alimenté par l’IA, selon une étude publiée cette semaine par IBM. Selon la firme, l’IA générative devrait créer un large éventail de cyberattaques supplémentaires au cours des six à douze prochains mois, des acteurs malveillants sophistiqués utilisant la technologie pour améliorer la vitesse, la précision et l’ampleur de leurs tentatives d’intrusion. Les experts estiment que la plus grande menace provient des attaques générées de manière autonome et lancées à grande échelle, suivies de près par les usurpations d’identité d’utilisateurs de confiance et la création automatisée de logiciels malveillants.
Le rapport publié par IBM comprend des données provenant de quatre enquêtes différentes liées à l’IA, avec 200 cadres d’entreprises basées aux États-Unis interrogés spécifiquement sur la cybersécurité. Près de la moitié de ces dirigeants (47 %) craignent que l’adoption par leur entreprise de l’IA générative ne conduise à de nouveaux écueils en matière de sécurité, tandis que la quasi-totalité d’entre eux estiment qu’elle accroît la probabilité d’une atteinte à la sécurité. Selon le rapport, cela a au moins entraîné une augmentation moyenne de 51 % des budgets de cybersécurité consacrés à l’IA au cours des deux dernières années, et une croissance est attendue pour les deux prochaines années.
« Jamais une technologie n’a reçu un tel niveau d’attention en matière de sécurité »
Selon Chris McCurdy, directeur général des services de cybersécurité d’IBM, le contraste entre la course effrénée à l’adoption de l’IA générative et les fortes inquiétudes concernant les risques de sécurité n’est peut-être pas un exemple de dissonance cognitive aussi important que certains l’ont prétendu. D’une part, ce n’est pas un nouveau modèle, rappelle-t-il, et d’autre part, les premiers jours de l’informatique cloud, où les inquiétudes en matière de sécurité ont freiné l’adoption dans une certaine mesure. « Je dirais même qu’il y a une différence distincte qui est actuellement négligée en ce qui concerne l’IA ; à l’exception peut-être de l’internet lui-même, jamais une technologie n’a reçu un tel niveau d’attention et d’examen en matière de sécurité », affirme Chris McCurdy. Des groupes de réflexion internationaux ont vu le jour pour étudier les implications de l’IA générative en matière de sécurité, a-t-il souligné, et bien qu’il reste encore beaucoup à faire en matière d’éducation dans les directions générales, les entreprises avancent généralement dans la bonne direction.
« En d’autres termes, nous constatons que la sécurité n’est pas une réflexion après coup, mais une considération essentielle en ces premiers jours », ajoute le directeur général des services de cybersécurité d’IBM. Il est important de reconnaître que l’impact positif de l’IA générative sur les opérations commerciales a le potentiel d’être transformateur, ajoute-t-il. Si la sécurité, sans parler de la gouvernance et de la conformité, fait partie de la conversation dès le début, les cybermenaces n’ont pas besoin d’entraver le progrès. « On s’intéresse beaucoup à l’impact positif de l’IA sur les entreprises, mais il est de notre responsabilité de réfléchir aux garde-fous que nous devons mettre en place pour garantir que les modèles d’IA sur lesquels nous nous appuyons sont fiables et sûrs », indique Chris McCurdy.
Le Royaume-Uni inflige une amende de 12,7 millions de livres sterling (environ 14,5 millions d’euros) à TikTok pour violation de la vie privée des enfants dans le cadre de sa loi sur la protection des données.
Le bureau du commissaire à l’information du Royaume-Uni (Information Commissioner’s Office ou ICO) a annoncé qu’il avait infligé une amende de près de 13 millions de livres sterling à TikTok pour « un certain nombre d’infractions » à la loi sur la protection des données du pays. La décision de l’ICO d’infliger une amende à TikTok est motivée par le fait qu’environ 1,4 million d’enfants britanniques de moins de 13 ans ont été autorisés à s’inscrire sur la plateforme en 2020, bien que les règles de l’entreprise interdisent une telle utilisation.
Il s’agit d’une violation du règlement général sur la protection des données du Royaume-Uni (similaire au RGPD de l’UE), a déclaré l’ICO dans un communiqué. Le RGPD britannique exige que les entreprises qui utilisent des données personnelles pour offrir des services à des enfants de moins de 13 ans aient l’autorisation d’un parent ou d’un tuteur pour le faire. L’autorité de régulation a également noté que des « employés de haut rang » de TikTok étaient au courant de la présence d’utilisateurs mineurs sur la plateforme et qu’ils n’ont pas réagi de manière adéquate au problème. « Il existe des lois qui garantissent que nos enfants sont aussi en sécurité dans le monde numérique que dans le monde physique », a déclaré le commissaire britannique à l’information, John Edwards, dans le communiqué. « TikTok aurait dû être mieux informé. TikTok aurait dû faire mieux » ajoute-t-il.
Une amende revue à la baisse
L’ICO a également accusé TikTok de ne pas avoir fourni d’informations claires aux utilisateurs sur la manière dont leurs données personnelles sont collectées et utilisées, et de ne pas avoir veillé à ce que les données des utilisateurs soient traitées conformément à la loi. Le gouvernement britannique avait initialement prévu d’infliger à TikTok une amende plus de deux fois supérieure aux 12,7 millions de livres sterling (environ 14,5 millions d’euros) annoncés aujourd’hui. Toutefois, l’ICO a déclaré aujourd’hui que les arguments de l’entreprise ont convaincu les régulateurs de ne pas donner suite à une conclusion provisoire antérieure selon laquelle l’entreprise avait également utilisé des données de catégorie spéciale de manière illégale, réduisant ainsi le montant total de l’amende par rapport au chiffre initial de 33,7 millions de dollars.
« Notre amende [de 12,7 millions de livres sterling] reflète l’impact sérieux que leurs manquements ont pu avoir », a déclaré M. Edwards. « Ils n’ont pas fait assez pour vérifier qui utilisait leur plateforme ou pour prendre des mesures suffisantes pour retirer les enfants mineurs qui utilisaient leur plateforme ». TikTok a déclaré dans un communiqué qu’elle examinait la décision. Bien qu’elle ne soit pas d’accord avec l’action du Royaume-Uni, un porte-parole a déclaré que l’entreprise était satisfaite que les régulateurs aient réduit le montant total de l’amende par rapport au montant initial.
Banni des appareils gouvernementaux et encadré dans certains pays
« TikTok est une plateforme destinée aux utilisateurs âgés de 13 ans et plus », a déclaré le porte-parole du réseau social. « Nous investissons massivement pour empêcher les moins de 13 ans d’accéder à la plateforme ». Le géant chinois des médias sociaux est depuis longtemps sous le feu des critiques des autorités de régulation en Europe en raison de ses préoccupations en matière de protection de la vie privée. Plusieurs pays, dont les États-Unis, le Royaume-Uni et le Canada, ont ainsi interdit son utilisation sur les appareils gouvernementaux, tandis que l’Australie et la Nouvelle-Zélande sont en passe d’imposer des restrictions similaires.
Pour accroître la cyber-résilience de ses clients, IBM a décidé de combiner ses produits et ceux d’un tiers, Cohesity dans une offre de stockage unique. Baptisée Storage Defender, elle devrait être disponible dans le courant du deuxième semestre de 2023, avec dans un premier temps IBM Storage Protect et Cohesity DataProtect.
IBM et le spécialiste de la sauvegarde Cohesity ont formé un partenariat, prévoyant l’intégration de la fonction de protection des données de ce dernier dans une prochaine suite de produits de stockage d’IBM. Baptisée Storage Defender, l’offre a pour vocation de sécuriser les informations critiques des utilisateurs finaux. « Se protéger contre les rançongiciels ou toutes autres formes de logiciels malveillants nécessite une approche par couche dans la stratégie de résilience d’une entreprise. Cela implique la détection précoce d’une faille, l’automatisation de la protection et la récupération rapide », a déclaré Denis Kennelly, directeur général d’IBM Storage. En ce sens, les capacités du produit de sauvegarde et de récupération DataProtect de Cohesity constitueront l’un des quatre principaux ensembles de fonctionnalités du programme Storage Defender. S’appuyant sur une approche zero-trust simplifiée et l’intégration de l’IA, les deux sociétés centralisent la gestion des données et, in fine, facilitent la prise de décision.
La suite Storage Defender est conçue pour réunir des produits IBM et tiers afin d’unifier la gestion de la réplication primaire et secondaire et de la sauvegarde, a déclaré Big Blue. Il s’agit d’une offre de service qui comprend une interface à guichet unique, l’automatisation des politiques en fonction des SLA et la capacité de travailler avec une grande variété de sources de données, y compris le stockage physique, les hyperviseurs des environnements cloud et un assortiment de différents types de bases de données. DataProtect propose également une fonction de snapshot et de cybervaulting (coffre-fort) pour une récupération rapide en cas de ransomware ou d’autres catastrophes, ainsi qu’une réduction de l’empreinte des données grâce à la déduplication et à la compression. IBM indique que ses clients bénéficieront « d’une architecture moderne conçue de manière évolutive et sécurisée, ainsi qu’une offre de coffre-fort cyber en SaaS ».
IBM infuse ses différents services dans Storage Defender
L’idée derrière la suite est de fournir une architecture scale-out moderne aux clients, tout en offrant une certaine tranquillité d’esprit dans un monde où les cyberattaques restent courantes. « Lorsque nous avons examiné l’ensemble du marché, nous avons été impressionnés par la plateforme et l’équipe de Cohesity, qui se distingue par son souci d’évolutivité, de simplicité et de sécurité », selon une déclaration du directeur général d’IBM Storage, Denis Kennelly. « Les cyberattaques sont en augmentation, mais les données peuvent être protégées et restaurées lorsque vous êtes préparés ».
En plus de DataProtect de Cohesity, Storage Defender intègre également IBM Storage Protect, anciennement « Spectrum Protect » (Big Blue ayant de rebrander son offre Spectrum). Il s’agit d’une solution conçue pour assurer la résilience et l’intégration d’une gamme variée de baies de stockage. La suite comprend également Storage FlashSystem d’IBM, un système de stockage all flash pour les charges de travail à haute performance, et Storage Fusion, qui est un moteur d’orchestration de données conçu pour fonctionner avec des applications conteneurisées.
Une disponibilité au 2e semestre 2023
La firme d’Armonk a déclaré que Storage Defender sera probablement disponible de manière générale au cours du second semestre de cette année, Storage Protect et Cohesity DataProtect étant les premiers ensembles de fonctions disponibles. Les détails de la tarification n’étaient pas disponibles au moment de la publication de cet article, mais IBM a indiqué que Storage Defender sera vendu à la fois directement par l’entreprise et via ses partenaires.
La ratification du cadre transatlantique en matière de politique de protection des données a rencontré un obstacle. Une commission du Parlement européen a en effet rejeté un projet de décision estimant qu’il n’était pas conforme à la réglementation de l’UE en matière de RGPD.
La commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen a recommandé à la Commission européenne de rejeter le projet de cadre de protection des données UE-États-Unis, qui régirait la manière dont les informations personnelles des citoyens européens sont traitées par les entreprises américaines. La décision de la commission – officiellement, un projet de proposition de résolution – représente un rejet de la recommandation de la Commission européenne, annoncée en décembre, selon laquelle le cadre relatif à la confidentialité des données devrait être adopté. La recommandation stipulait que la législation américaine offre désormais un niveau « adéquat » de protection des données personnelles des utilisateurs européens des services des entreprises américaines.
Toutefois, selon la commission parlementaire, le cadre proposé pour la protection des données n’est pas entièrement conforme au règlement général sur la protection des données (RGPD) de l’UE, en particulier à la lumière de la politique américaine actuelle qui permettrait la collecte à grande échelle et sans mandat des données des utilisateurs à des fins de sécurité nationale. Toujours selon la commission, un décret émis par l’administration Biden ne constitue pas une protection supplémentaire suffisante pour plusieurs raisons, notamment la mutabilité de la politique adoptée par décret – elle peut simplement être annulée ou modifiée par le président à tout moment – et l’insuffisance des garanties qu’il prévoit.
Le pacte sur les données avec les États-Unis jugé vague
En particulier, la commission parlementaire a noté que le décret est trop vague, qu’il laisse aux tribunaux américains – qui seraient les seuls à interpréter la politique – une marge de manœuvre pour approuver la collecte en masse de données à des fins de surveillance et de renseignement. Par ailleurs, il ne s’applique pas aux données auxquelles ont accès les tribunaux en vertu de lois américaines telles que le Cloud Act et le Patriot Act. Les principaux points soulevés par la commission parlementaire font écho à ceux de nombreux détracteurs de l’accord dans l’UE, ainsi qu’aux critiques de l’Union américaine pour les libertés civiles (ACLU), qui a déclaré que les États-Unis n’avaient pas réussi à mettre en œuvre une réforme significative de la surveillance.
Dans sa proposition de résolution, la commission parlementaire a déclaré que « contrairement à tous les autres pays tiers qui ont reçu une décision d’adéquation en vertu du RGPD, les États-Unis n’ont toujours pas de loi fédérale sur la protection des données ». En bref, la commission a déclaré que la loi nationale américaine est tout simplement incompatible avec le cadre du RGPD, et qu’aucun accord ne devrait être conclu tant que ces lois ne sont pas plus alignées. La réponse négative de la commission cette semaine au cadre proposé pour la protection des données n’était toutefois qu’un projet de résolution non contraignant et, bien qu’il s’agisse d’un point de friction, il ne met pas officiellement un terme au processus d’adoption, car son approbation n’était pas nécessaire pour faire avancer l’accord. Ce n’est pas une surprise que le comité ait émis une recommandation négative, selon Lartease Tiffith, vice-président exécutif pour la politique publique de l’Interactive Advertising Bureau, qui a soutenu le projet de cadre. « Il a un point de vue particulier sur toutes les questions liées à la vie privée et aux libertés civiles », a-t-il déclaré. « Nous devrons voir ce que la [Commission européenne] décidera ».