Blog
Protection de l'information
Comment les entreprises de services financiers sécurisent l'IA générative avec la solution Proofpoint de sécurité des données
Identity Threat Defense

Comment les entreprises de services financiers sécurisent l'IA générative avec la solution Proofpoint de sécurité des données

Share with your network!
Itir Clarke

L'IA générative n'est plus un concept futuriste, mais un moteur quotidien de productivité. Des ingénieurs logiciels écrivant du code aux analystes financiers synthétisant les tendances du marché, l'IA générative aide les collaborateurs à agir plus vite que jamais. 

Cependant, cette adoption rapide dépasse souvent les protocoles de sécurité, conduisant à l'utilisation d'outils d'IA non approuvés. Lorsque les collaborateurs utilisent de tels outils ou alimentent de grands modèles de langage (LLM) publics avec des données d'entreprise sensibles, ils mettent involontairement leur entreprise en danger. Même en utilisant des outils autorisés, les entreprises font face à d'importants risques de fuite de données internes si les autorisations ne sont pas strictement gouvernées. Par exemple, un outil tel que Microsoft Copilot pourrait divulguer des fichiers sensibles, comme des dossiers RH, à tout collaborateur en raison de mauvaises configurations de SharePoint. 

Nous nous sommes récemment entretenus avec les responsables de la sécurité de deux entreprises de services financiers — une entreprise de technologies financières de pointe et un fonds spéculatif à haut risque — pour discuter de la manière dont ils équilibrent la quête d'innovation avec le besoin urgent de sécurité des données. Les deux entreprises utilisent Proofpoint Data Security pour sécuriser leur parcours avec l'IA générative

Le moteur de productivité: comment l'IA générative transforme la finance 

Pour les deux entreprises, l'IA générative est passée de la phase expérimentale à un outil opérationnel de base. 

Dans l'entreprise de technologies financières, l'impact se fait fortement sentir dans les domaines de l'ingénierie et de la sécurité. « Nos développeurs utilisent l'IA générative pour le développement de code sécurisé », déclare le responsable de la sécurité de l'entreprise. « Ils ne se contentent pas d'écrire du code ; ils font des recherchent sur les vulnérabilités pour renforcer nos applications dès le départ. » L'équipe de sécurité a même entraîné Copilot avec la documentation interne pour résoudre les problèmes plus rapidement sans ouvrir des tickets de support. 

Dans le fonds spéculatif, où l'information est la principale monnaie, l'IA générative est un multiplicateur de force pour la recherche. « Nos chercheurs génèrent et valident les idées d'investissement en synthétisant des informations provenant de dizaines de sources », explique le RSSI du fonds spéculatif. « Un analyste financier qui passait une semaine à collecter des données peut maintenant le faire en un jour. La création d'applications internes, qui prenait un mois auparavant, ne prend désormais plus qu'une semaine avec l'IA. » 

Le côté obscur: risques liés à l'IA générative et aux fuites de données 

Les outils qui améliorent l'efficacité créent également des zones d'ombre importantes. Les deux entreprises ont identifié l'utilisation d'outils d'IA non approuvés (« Shadow AI ») et l'exposition de données par des applications d'IA autorisées telles que Copilot comme les principaux risques pour la sécurité. 

« Lors de nos tests initiaux, nous avons découvert que si OneDrive n'est pas parfaitement configuré, Copilot peut exposer des projets sensibles qui devaient rester confidentiels. Nous avons également découvert 13 000 applications tierces connectées à notre locataire M365, y compris des applications optimisées par l'IA comme Alexa », a précisé le responsable de la sécurité de l'entreprise de technologies financières. « Le risque qu'un utilisateur interne négligent divulgue de manière excessive des données confidentielles est notre plus grande préoccupation. » 

Le fonds spéculatif est confronté à un risque fournisseur similaire avec des outils et applications pilotés par l'IA. « Nous constatons que l'IA est intégrée à tout, de Grammarly aux outils de recherche en ligne de commande », ajoute le RSSI. « Les intégrations d'applications peuvent extraire des données de notre environnement vers l'environnement du fournisseur pour le traitement. Si les contrôles d'accès ne sont pas indépendants et stricts, l'IA peut exposer des données qu'elle ne devrait pas exposer. » 

Trouver le juste équilibre entre innovation et sécurité : la solution Proofpoint de sécurité des données 

Les deux entreprises se sont rendu compte qu'un rejet total de l'IA n'était pas viable. Elles se sont donc tournées vers Proofpoint pour créer un « espace sûr » pour l'innovation. 

1. Visibilité et gouvernance 

Le fonds spéculatif a établi un comité de surveillance de l'IA — composé d'équipes juridiques, informatiques, de sécurité et de traitement des données — afin d'examiner de manière globale les risques liés à l'IA. Il a utilisé les cadres de référence du NIST et de l'OWASP pour établir la norme, mais comptait sur Proofpoint pour lui offrir la visibilité nécessaire pour faire respecter ces normes. 

2. Contrôles adaptatifs des données 

L'entreprise de technologies financières a initialement bloqué les outils d'IA publics au niveau de la couche réseau, mais a rapidement adopté une approche plus nuancée. « Pour les collaborateurs qui ont besoin d'exceptions, nous utilisons Proofpoint Endpoint DLP et ITM », affirme le responsable de la sécurité. « Nous pouvons masquer les données sensibles dans les invites en temps réel et surveiller les comportements à risque à l'aide de la fonctionnalité de capture d'écran. » 

Le fonds spéculatif recourt aux services managés de Proofpoint pour prendre en charge l'essentiel du travail. Les analystes de Proofpoint font remonter les incidents DLP à l'équipe interne du fonds en fonction de besoins métier spécifiques, en veillant à ce que l'équipe de sécurité se concentre uniquement sur les mouvements de données présentant le plus de risques. 

3. Sécurité centrée sur les personnes 

Les deux entreprises conviennent que la technologie à elle seule n'est pas la solution. 

  • L'entreprise de technologies financières déploie Proofpoint ZenGuide pour la formation de sensibilisation à la sécurité, en ciblant spécifiquement les utilisateurs qui bénéficient d'exceptions pour utiliser des outils publics d'IA générative comme Gemini et Grok. 
  • Le fonds spéculatif forme les unités commerciales à la manière dont leurs processus spécifiques s'intègrent aux cadres de sécurité, en modifiant les comportements avant qu'ils ne deviennent des incidents de sécurité. 

En bref: la sécurité passe avant tout 

Bien que les avantages de l'IA soient indéniables (cycles de développement plus courts, réponse aux incidents plus rapide et stratégies d'investissement plus éclairées), les deux entreprises restent lucides quant aux enjeux. 

« La sécurité passe avant tout », conclut le responsable de la sécurité de l'entreprise de technologies financières. « Les applications de pointe ne servent à rien si nous tombons dans le piège des ransomwares parce que nous avons exposé notre code source en ligne. » 

En devenant partenaires de Proofpoint, ces entreprises de services financiers de premier plan s'assurent que leur transition vers l'IA générative n'est pas un saut dans l'inconnu, mais une avancée calculée, sécurisée et hautement productive. 

En savoir plus: 

Souhaitez-vous en savoir plus sur la manière de sécuriser l'IA générative au sein de votre entreprise ? Apprenez-en plus sur les solutions Proofpoint de sécurité des données adaptées à l'IA ici. 

Previous Blog Post