L’équipe de recherche de Cybernews a récemment mené des recherches sur les outils d’IA utilisés par les entreprises du S&P 500.

Elle a constaté qu’elles pourraient présenter des centaines de vulnérabilités potentielles créées par l’adoption rapide de l’IA, notamment des sorties d’IA non sécurisées, des fuites de données et le vol de propriété intellectuelle.

Pourquoi devriez-vous vous en soucier ? 

• Si les entreprises ne sécurisent pas leur IA, elles risquent de perdre de l’argent, la confiance des clients et leur avantage concurrentiel. Les fuites peuvent exposer des données financières ou des secrets commerciaux. Les erreurs de l’IA peuvent affecter tout, des soins de santé aux décisions bancaires.
• Si l’IA d’une entreprise n’est pas protégée, les données privées des consommateurs, comme les informations de carte de crédit ou les dossiers médicaux, pourraient être exposées. Les mauvais conseils de l’IA pourraient nuire à leurs finances, à leur emploi ou même à leur santé.

L’adoption de l’intelligence artificielle par les entreprises du S&P 500 pose de nouveaux défis en matière de sécurité, selon une étude.

Alors que l’intelligence artificielle devient de plus en plus centrale dans les opérations des plus grandes entreprises américaines, des recherches récentes révèlent des vulnérabilités de sécurité potentielles qui pourraient affecter à la fois les organisations et leurs clients.

Une analyse réalisée par des experts en cybersécurité de Cybernews a examiné les déploiements d’IA dans l’ensemble du S&P 500 et a révélé près de 1 000 points faibles potentiels pouvant conduire à l’exposition des données, au vol d’informations exclusives et à des actions erronées de l’IA.

L’étude a révélé que 327 entreprises du S&P 500 déclarent publiquement utiliser des outils d’IA dans leurs opérations dans des secteurs tels que la finance, la santé, la fabrication et l’énergie.

Bien que ces outils aient accéléré l’innovation et l’efficacité, les mesures de sécurité n’ont pas encore complètement rattrapé leur retard, laissant les systèmes ouverts à une mauvaise utilisation ou à des défaillances. Cela inclut les résultats de l’IA qui peuvent être inexacts ou trompeurs, la divulgation involontaire de données confidentielles et les risques de compromission des secrets d’entreprise.

Žilvinas Girėnas, chef de produit chez nexos.ai, a souligné : « Il ne suffit pas de déployer l’IA et d’espérer le meilleur. Les entreprises doivent développer l’IA avec les mêmes normes de sécurité que les avions : une surveillance constante, des garde-fous clairs et une approche Zero Trust. Chaque décision de l’IA doit être considérée comme potentiellement mauvaise jusqu’à ce qu’elle soit prouvée correcte, et chaque entrée doit être surveillée pour éviter que des données sensibles ne soient divulguées ou que des secrets commerciaux ne s’échappent.

Les vulnérabilités potentielles s’étendent à plusieurs secteurs. Les entreprises du secteur de la technologie et des semi-conducteurs sont particulièrement vulnérables aux fuites de données et aux risques de propriété intellectuelle. Les institutions financières pourraient être confrontées à des défis pour protéger les données des clients tout en veillant à ce que l’IA ne renforce pas les biais injustes dans les prêts.

Les prestataires de soins de santé ont la responsabilité supplémentaire de protéger les patients contre les recommandations erronées basées sur l’IA. Pendant ce temps, les secteurs de l’industrie et des infrastructures doivent se prémunir contre les perturbations qui pourraient affecter les services critiques, tels que l’approvisionnement en électricité ou les opérations de la chaîne d’approvisionnement.

Pour les consommateurs, les conséquences sont tangibles. Les systèmes d’IA non sécurisés risquent de divulguer des informations privées, allant des antécédents médicaux aux dossiers financiers, tandis que des jugements erronés de l’IA pourraient influencer des décisions qui affectent directement la santé et les finances des gens.

Alors que les outils d’IA jouent un rôle plus important dans le commerce de détail, la banque, les transports et d’autres domaines, la protection de ces technologies devient essentielle pour la protection du public.

Le rapport met en évidence des incidents passés qui illustrent ces dangers. Watson d’IBM a déjà proposé des traitements anticancéreux dangereux. Le système de crédit d’Apple a fait l’objet d’un examen minutieux après des allégations de préjugés sexistes. La tarification de Zillow, basée sur l’IA, a entraîné des pertes financières substantielles. De plus, Samsung a été victime de divulgations involontaires de code source en raison de l’utilisation inappropriée de chatbots d’IA par ses employés.

« L’IA est de plus en plus ancrée dans les opérations commerciales, et les risques se multiplient. Les leçons de tous ces incidents sont claires : un déploiement incontrôlé sans sécurité et surveillance robustes conduit à des défaillances dans le monde réel », a déclaré Martynas Vareikis, chercheur en sécurité chez Cybernews.

Alors que l’IA transforme davantage les entreprises, les incidents passés et les menaces potentielles montrent à quel point il est crucial d’améliorer les stratégies de sécurité en parallèle.

À PROPOS DE CYBERNEWS

Cybernews est un média indépendant mondialement reconnu où les journalistes et les experts en sécurité démystifient la cybersécurité par des recherches, des tests et des données. Fondé en 2019 en réponse aux préoccupations croissantes concernant la sécurité en ligne, le site couvre les dernières nouvelles, mène des enquêtes originales et offre des perspectives uniques sur l’évolution du paysage de la sécurité numérique. Grâce à des techniques d’investigation white-hat, l’équipe de recherche de Cybernews identifie et divulgue en toute sécurité les menaces et les vulnérabilités de cybersécurité, tandis que l’équipe éditoriale fournit des actualités, des analyses et des opinions liées à la cybersécurité par des initiés de l’industrie en toute indépendance.

Cybernews a attiré l’attention du monde entier pour ses recherches et ses découvertes à fort impact, qui ont mis au jour certaines des expositions de sécurité et des fuites de données les plus importantes d’Internet. Parmi les plus notables, citons :

• Les chercheurs de Cybernews ont découvert plusieurs ensembles de données ouvertes comprenant 16 milliards d’identifiants de connexion provenant de logiciels malveillants de vol d’informations, de médias sociaux, de portails de développeurs et de réseaux d’entreprise, mettant en évidence les risques sans précédent de piratage de comptes, de phishing et de compromission des e-mails professionnels.
• Les chercheurs de Cybernews ont analysé 156 080 applications iOS sélectionnées au hasard – environ 8 % des applications présentes sur l’App Store – et ont découvert un énorme oubli : 71 % d’entre elles exposent des données sensibles.
• Récemment, Bob Dyachenko, chercheur en cybersécurité et propriétaire de SecurityDiscovery.com, et l’équipe de recherche sur la sécurité de Cybernews ont découvert un index Elasticsearch non protégé, qui contenait un large éventail de détails personnels sensibles liés à l’ensemble de la population de Géorgie.
• L’équipe a analysé le trafic Web du nouveau smartphone Pixel 9 Pro XL et a constaté que le dernier smartphone phare de Google transmet fréquemment des données privées d’utilisateurs au géant de la technologie avant l’installation d’une application.
• L’équipe a révélé qu’une fuite massive de données chez MC2 Data, une société de vérification des antécédents, affecte un tiers de la population américaine.
• L’équipe de recherche en sécurité de Cybernews a découvert que les 50 applications Android les plus populaires nécessitent en moyenne 11 autorisations dangereuses.
• Ils ont révélé que deux créateurs de PDF en ligne ont divulgué des dizaines de milliers de documents d’utilisateurs, notamment des passeports, des permis de conduire, des certificats et d’autres informations personnelles téléchargées par les utilisateurs.
• Une analyse de Cybernews Research a découvert plus d’un million de secrets publiquement exposés à partir de plus de 58 000 fichiers d’environnement exposé (.env) de sites Web.
• L’équipe a révélé que l’instance dirigeante du football australien, Football Australia, a divulgué des clés secrètes qui pourraient ouvrir l’accès à 127 ensembles de données, y compris les données personnelles des acheteurs de billets et les contrats et documents des joueurs.
• L’équipe de recherche de Cybernews, en collaboration avec le chercheur en cybersécurité Bob Dyachenko, a découvert une fuite de données massive contenant des informations provenant de nombreuses violations passées, comprenant 12 téraoctets de données et couvrant plus de 26 milliards d’enregistrements.
• L’équipe a analysé le site Web de la NASA et a découvert une vulnérabilité de redirection ouverte qui sévit sur le site Web d’astrobiologie de la NASA.
• L’équipe a enquêté sur 30 000 applications Android et a découvert que plus de la moitié d’entre elles divulguent des secrets qui pourraient avoir d’énormes répercussions sur les développeurs d’applications et leurs clients.