Gouvernance & Cybersécurité à l'ère de l'IA
Vos pare-feux ne bloquent pas le langage naturel.
L'utilisation intense des technologies au travail a toujours été un risque. Mais avec l'intelligence artificielle, la menace a muté. Les cybercriminels n'attaquent plus seulement vos infrastructures : ils exploitent la confiance de vos employés et les fonctionnalités mêmes de l'IA.
En collaboration avec l'Ecole des Mines et l'Ecole des Beaux-arts de Nancy, Palambur a conçu une approche globale pour sensibiliser et armer les entreprises industrielles face à ce nouveau paradigme, en 10 points clés.
Utilisez uniquement les équipements de la société
L'hygiène numérique commence par la maîtrise du matériel. Pour assurer la protection de nos données, seuls les équipements autorisés par l'entreprise (PC, tablette, smartphone) peuvent être utilisés.
Avec l'essor des IA locales et des applications mobiles intelligentes, utiliser un appareil personnel non sécurisé est devenu une faille critique.
Vos équipements disposent :
• D'une protection contre les malwares et d'une surveillance des fuites de données vers des IA non autorisées.
• D'un chiffrement intégral empêchant la compromission des informations en cas de vol ou de perte.
Protégez vos mots de passe et vos identifiants
Les mots de passe restent votre première ligne de défense, mais l'Intelligence Artificielle a décuplé les capacités de piratage des attaquants.
Le vol d'identifiants peut désormais s'opérer de manière invisible, y compris via des attaques d'injection de requêtes (Prompt Injection) ciblant vos assistants web.
Pour maintenir une défense solide :
• Vos mots de passe doivent être complexes, uniques et changés régulièrement.
• Ils ne doivent jamais être partagés, ni stockés en clair dans des bloc-notes virtuels potentiellement lisibles par des IA tierces.
Utilisez uniquement les logiciels, solutions et services Internet homologués
La tentation d'utiliser des outils d'IA publics pour aller plus vite est forte (le "Shadow AI").
Cependant, en collant du code, des données financières ou des informations personnelles dans des versions gratuites d'IA, vous exfiltrez involontairement le savoir-faire de l'entreprise vers des modèles externes qui s'en servent pour s'entraîner.
• Seuls les logiciels, IA et services Internet homologués par l'entreprise garantissent un environnement cloisonné.
• L'utilisation de comptes personnels sur des plateformes d'IA grand public est strictement interdite dans le cadre professionnel.
Protégez les données sur les supports mobiles
Votre ordinateur portable et vos dispositifs de stockage doivent toujours être protégés.
La perte d'un appareil connecté peut signifier donner accès à un cybercriminel à vos sessions, y compris vos environnements IA encore actifs.
• Ne laissez jamais votre appareil sans surveillance, même dans un coffre de voiture verrouillé.
• Les données sensibles transférées sur un dispositif portable (clé USB, disque dur) doivent impérativement être chiffrées.
• En cas de perte ou de vol, signalez-le immédiatement pour bloquer les accès distants.
Utilisez l’e-mail avec une vigilance augmentée
Oubliez les spams contenant des fautes d'orthographe.
Grâce à des IA malveillantes (comme les variantes de WormGPT), les cybercriminels génèrent des e-mails de phishing (hameçonnage) ultra-réalistes et parfaitement ciblés.
De plus, un simple e-mail externe peut aujourd'hui contenir des instructions invisibles capables de manipuler votre propre assistant IA interne (attaques "Living Off AI").
-
Vérifiez scrupuleusement l'adresse de l'expéditeur.
-
Ne relayez jamais de chaînes de messages.
-
Protégez les données confidentielles en limitant les fonctions "répondre à tous".
-
Signalez immédiatement tout lien, pièce jointe ou comportement suspect de votre messagerie.
Soyez discret dans les lieux publics et virtuels
L'espionnage ne se limite plus à un individu regardant par-dessus votre épaule.
Des outils de transcription IA (comme Otter.ai) peuvent aujourd'hui rejoindre automatiquement des réunions virtuelles pour transcrire et mémoriser des délibérations stratégiques, créant des risques de fuites critiques.
• Maîtrisez vos environnements de réunion (virtuels et physiques) et n'abordez pas de sujets confidentiels en public.
• Soyez conscient que les points d'accès Wi-Fi publics sont peu sûrs. Utilisez-les uniquement avec une connexion VPN.
• N'utilisez pas de bornes de recharge USB publiques, elles peuvent infecter vos appareils avec des logiciels malveillants.
Méfiez-vous de la manipulation et des Deepfakes
Avant de partager des informations confidentielles, soyez absolument certain de l'identité de votre interlocuteur.
Avec les outils de clonage vocal (vishing) et les générateurs d'images IA capables de forger de faux documents officiels, les attaquants peuvent usurper l'identité d'un dirigeant ou d'un partenaire avec une précision redoutable.
• Instaurez le doute positif : méfiez-vous des demandes urgentes visant à obtenir des mots de passe, des virements ou des informations sensibles.
• Vérifiez l'identité par un canal de communication alternatif (double vérification) en cas de requête inhabituelle.
Protégez les informations confidentielles à la source
Assurez-vous de classifier et de protéger les informations de l'entreprise. Avec la prolifération des assistants IA (aide à la rédaction, création de présentations), la moindre donnée confidentielle partagée au mauvais endroit peut être stockée, réutilisée, voire exposée à des tiers.
-
N'envoyez les informations qu'aux personnes strictement habilitées à les traiter.
-
Protégez vos échanges avec des solutions de chiffrement homologuées.
-
Sensibilisez vos partenaires à la protection de la confidentialité.
-
Dans la plupart des cas, consultez le propriétaire des données avant de les partager ou de les soumettre à une analyse.
Soyez prudent lorsque vous utilisez Internet
L'utilisation d'assistants IA intégrés aux navigateurs web expose à de nouvelles menaces complexes.
Des techniques récentes (comme HashJack) permettent aux attaquants de dissimuler des requêtes malveillantes directement dans l'URL d'un site légitime. Votre assistant lit cette URL et exécute l'attaque à votre insu.
-
N'accédez jamais à des sites potentiellement dangereux.
-
Utilisez toujours votre VPN pour travailler à distance, même pour de la simple navigation.
-
Limitez les informations professionnelles partagées sur les réseaux sociaux pour éviter les attaques ciblées par ingénierie sociale assistée par IA.
Sécurisez votre espace de travail
La politique du "Clean Desk" reste un rempart absolu.
Ne laissez aucun document confidentiel sur votre bureau ou sur l'imprimante : une simple photo prise par un smartphone équipé d'une IA d'analyse visuelle peut numériser, extraire et envoyer vos données en une fraction de seconde.
-
Accompagnez toujours les visiteurs extérieurs dans les locaux et portez votre badge visiblement.
-
Verrouillez votre session informatique dès que vous quittez votre poste.
-
Ne laissez jamais votre ordinateur portable sans protection (tiroir ou placard verrouillé), spécialement la nuit.