12 Nov
Introduction
La course à l’intelligence artificielle (IA) connaît une accélération sans précédent. Tandis que les entreprises repoussent les limites technologiques pour s’assurer une place de choix sur le marché, des failles importantes en matière de sécurité émergent en parallèle. Parmi elles, l’exposition involontaire de secrets confidentiels sur des plateformes comme GitHub représente un danger croissant.
Dans cet article, nous explorerons pourquoi cette problématique est si fréquente, les risques associés à cette négligence et les mesures préventives recommandées pour les entreprises qui innovent dans l’IA.
Pourquoi les secrets se retrouvent exposés
De nombreuses entreprises d’IA se concentrent principalement sur la vitesse et l’innovation au détriment des pratiques de sécurité. Selon le rapport publié par Wiz, 65% des entreprises leaders de l’IA ont accidentellement laissé des clés API, des jetons et des informations sensibles dans leurs dépôts de code publics.
Manque de vérification approfondie
Les outils de sécurité traditionnels ne vérifient pas toujours les archives, les forks supprimés ou les journaux de workflows où ces données sensibles peuvent se cacher. Ainsi, les entreprises sous-estiment souvent l’ampleur de leur exposition.
« Une simple erreur comme le partage de clés API dans le code peut offrir aux hackers un accès direct à des systèmes critiques », souligne Glyn Morgan de Salt Security.
Les risques pour les entreprises
Les conséquences potentielles de ces failles sont énormes. Avec une valorisation combinée de plus de 400 milliards de dollars, les entreprises d’IA qui exposent leurs secrets s’exposent également à :
- Des cyberattaques ciblées
- Des pertes financières importantes
- Une perte de confiance de leurs clients
Certaines entreprises, comme LangChain et ElevenLabs, ont été mentionnées dans le rapport pour avoir exposé des informations cruciales, mettant en lumière l’urgence d’adopter des normes plus strictes en matière de sécurité.
Les solutions proposées par Wiz
Pour résoudre ces défis, Wiz propose une méthodologie appelée « Profondeur, Périmètre et Couverture » (Depth, Perimeter, Coverage).
Profondeur
Effectuer des scans approfondis sur les historique d’engagements, forks supprimés et journaux de workflows pour détecter les secrets enfouis.
Périmètre
Étendre les scans aux collaborateurs et contributeurs externes pouvant accidentellement exposer des données dans leurs propres dépôts publics.
Couverture
Rechercher des types de secrets spécifiques aux projets IA, souvent négligés par les scanners traditionnels.
Recommandations stratégiques pour les entreprises
Les entreprises d’IA doivent adopter une approche proactive envers la sécurité :
- Créer une politique claire pour les systèmes de contrôle de versions (VCS) dès l’intégration des employés.
- Mettre en œuvre des scans automatiques de secrets dans tous les dépôts publics.
- Évaluer les pratiques de gestion des secrets des partenaires et fournisseurs tiers.
Il est essentiel que la sécurité ne ralentisse pas l’innovation mais accompagne son développement.
Conclusion
Dans un environnement où la vitesse est primordiale, il est impératif de ne pas négliger les normes de sécurité. Les entreprises d’IA doivent intégrer des pratiques robustes pour protéger leurs données, leurs clients et leurs modèles propriétaires. La méthodologie exposée par Wiz et les recommandations proposées constituent des étapes clés pour éviter des conséquences désastreuses à l’avenir.
