Bien qu’aucune industrie ne soit à l’abri, certains secteurs sont confrontés à des risques de violation de données plus importants. Les établissements de santé détiennent l’un des types de données personnelles et médicales les plus sensibles, ce qui en fait une cible privilégiée pour les attaquants à la recherche d’un gain financier.
Les progrès technologiques récents ont intensifié une lutte acharnée numérique qui menace et renforce la solidité de nos garde-fous en matière de confidentialité des données. Le déploiement accéléré de technologies telles que l’IA générative s’accompagne souvent de protocoles minimes, ce qui présente des risques en matière de confidentialité, de sécurité et même d’éthique. Des méthodes robustes de protection des données et de cybersécurité devraient être mises en place pour garantir des moyens plus rigoureux de sécurisation des données, afin de résister aux nouvelles menaces provoquées par la transformation numérique.
Bouton de cryptage sur le clavier. PHOTO CONTRIBUÉE
Entre 2020 et 2023, il y a eu environ 3 000 cyberattaques et 54 000 cybermenaces et les Philippines ont connu une augmentation de 400 % de la cybercriminalité l’année dernière, ce qui coïncide avec la récente prolifération et l’adoption de l’IA générative.
Cependant, la clé pour naviguer dans ce paysage complexe n’est pas de se détourner de l’innovation, mais de comprendre ses risques afin que nous puissions exploiter le potentiel de la technologie de manière responsable. Une gouvernance interne holistique et alignée sur les objectifs de l’entreprise est également essentielle.
IA : une arme à double tranchant
Aux Philippines, le développement de l’IA dirigé par le gouvernement, piloté par diverses institutions de recherche au niveau de l’État et par des collaborations avec le secteur privé, est sur le point de propulser l’IA générative vers une utilisation grand public.
Le ministère du Commerce et de l’Industrie (DTI) du pays a lancé la feuille de route de la stratégie nationale en matière d’IA en 2021, décrivant les priorités stratégiques et les responsabilités du gouvernement, des industries et du monde universitaire. Cela comprend un futur Centre national de recherche sur l’IA (N-CAIR), dirigé par le secteur privé, ainsi que la feuille de route sur l’IA et les technologies de l’information et de la communication (TIC), déployée par le Département des sciences et technologies du Conseil philippin pour l’industrie et l’énergie. et recherche et développement de technologies émergentes (DoST PCIEERD).
Tout cela ouvrira la voie à d’éventuelles percées transformatrices, créant de nouvelles voies de productivité, de croissance et de génération d’informations. L’IA révolutionne également la détection et la réponse aux menaces en analysant de grandes quantités de données pour identifier les anomalies et prédire les attaques malveillantes en ligne, permettant ainsi des temps de réponse plus rapides. Il peut également automatiser des tâches répétitives telles que l’analyse des vulnérabilités et l’application de correctifs, libérant ainsi les analystes humains pour des travaux plus complexes.
Mais à mesure que l’IA générative devient multimodale et que le monde passe de la création de contenu à la génération de contenu, sa capacité à produire du matériel réaliste soulève des problèmes d’authenticité, de confidentialité des données et de propriété intellectuelle. La même facilité de génération de contenu est également offerte aux escrocs et aux pirates informatiques, leur permettant de commettre des crimes traditionnels en utilisant de nouvelles techniques.
Menaces majeures pour la sécurité des données
Les pirates informatiques adaptent leurs techniques à un rythme alarmant, conduisant à des attaques plus sophistiquées et plus réalistes. Les cas d’usurpation d’identité utilisant des contrefaçons profondes et le clonage de voix sont en augmentation. Les experts en cybersécurité prédisent que les attaques de ransomware cibleront de manière plus agressive les infrastructures critiques et les entreprises ayant une grande valeur de données. Celles-ci font partie des menaces persistantes avancées (APT), dans lesquelles des groupes de pirates informatiques sophistiqués utilisent l’ingénierie sociale et les exploits du jour zéro pour se frayer un chemin sur un réseau afin d’exploiter des données privées. Les acteurs malveillants exploitant les vulnérabilités des fournisseurs tiers restent également une préoccupation majeure dans les chaînes d’approvisionnement mondiales.
L’intégration des données d’une entreprise avec des services d’IA générative peut également introduire des vulnérabilités en matière de sécurité et de confidentialité, car elle implique le partage de données avec des fournisseurs externes. L’étendue de ces risques dépend de divers facteurs, notamment de la réputation du fournisseur, des politiques de traitement des données et de l’alignement sur les réglementations en matière de protection des données, telles que la finalité de l’utilisation.
Des dangers encore plus répandus attendent l’intégration de l’IA générative dans les appareils intelligents personnels. Les smartphones, par exemple, collectent de grandes quantités de données personnelles, ce qui soulève des inquiétudes quant à la manière dont ces informations sont traitées, stockées, utilisées et partagées. La connectivité multi-appareils et le partage de données ont encore amplifié les risques de sécurité pour les appareils non sécurisés qui peuvent servir de passerelles aux pirates informatiques pour infiltrer les réseaux présentant des vulnérabilités Zero Day.
Les plus exposés au risque de violation de données
Même si aucune industrie n’est à l’abri, certains secteurs sont confrontés à des risques de violation de données plus importants. Les établissements de santé détiennent l’un des types de données personnelles et médicales les plus sensibles, ce qui en fait une cible privilégiée pour les attaquants à la recherche d’un gain financier. Le rapport IBM sur le coût d’une violation de données 2023 révèle que les soins de santé sont le secteur le plus coûteux en termes de violations, avec une moyenne de 10,10 millions de dollars par incident.
Parallèlement, les données financières telles que les numéros de carte de crédit et les numéros de sécurité sociale ont une grande valeur sur le marché noir, ce qui fait des institutions financières des cibles attractives. Les entreprises de vente au détail et de commerce électronique détenant des informations sur les paiements des clients sont également menacées.
Mais plus important encore, les entreprises qui ne sont pas en constante évolution pour garantir que tous les domaines de l’entreprise disposent d’une stratégie de sécurité agile sont les plus exposées. Les pratiques de sécurité obsolètes et celles qui ne disposent pas de politiques appropriées de gouvernance des données et d’utilisation de l’IA sont plus susceptibles de échouer face aux nouvelles menaces.
En particulier, les startups et les petites et moyennes entreprises (PME) ne disposent peut-être pas de l’infrastructure appropriée pour résoudre les problèmes de cybersécurité et de protection des données dans leur entreprise, car elles sont elles-mêmes à court de ressources pour progresser dans leurs opérations commerciales.
Étapes pour améliorer la sécurité de leurs données
La confidentialité des données n’est pas seulement une obligation légale mais aussi une opportunité commerciale. En tant que telles, les organisations devraient reconsidérer les mesures qu’elles ont mises en place et développer une base de données sécurisée et bien gouvernée.
Même si les progrès technologiques en matière de cybersécurité sont prometteurs, la sécurité des données repose en fin de compte sur une approche à plusieurs niveaux accompagnée de pratiques responsables de traitement des données par les humains.
Adopter une approche de confidentialité dès la conception signifie intégrer les considérations de confidentialité à chaque étape du développement et de l’exploitation d’un système. Pour commencer, les pare-feu, l’authentification multifacteur (MFA) et le contrôle d’accès sont quelques mesures de sécurité qui peuvent être mises en œuvre pour empêcher les violations de données.
Pour les plus avancées, les organisations peuvent envisager des technologies émergentes permettant l’analyse des données sans compromettre les informations personnelles, telles que la confidentialité différentielle, l’apprentissage fédéré et le cryptage homomorphe.
Comprendre quelles données vous détenez et leur classification de sensibilité est également essentiel pour une protection efficace. Cela éclairera votre plan de réponse aux incidents, ce qui signifie qu’en cas de violation, vous serez en mesure de minimiser les dommages et d’assurer une récupération rapide.
Selon la Commission nationale philippine de la protection de la vie privée (NPC), tous les contrôleurs d’informations personnelles (PIC) et les processeurs d’informations personnelles (PIP) doivent avoir une politique de gestion des incidents de sécurité. Cela inclut la nécessité de disposer d’une équipe de réponse aux incidents de sécurité pour atténuer les effets d’une violation et définir des mesures permettant de minimiser l’apparition de tels incidents.
La mise en œuvre d’une forte segmentation du réseau et la mise à jour régulière du micrologiciel IoT avec des correctifs peuvent réduire considérablement les vulnérabilités d’une organisation. Les organisations doivent effectuer régulièrement des évaluations de vulnérabilité et des tests d’intrusion (VAPT) pour évaluer les éventuelles lacunes au sein de l’infrastructure informatique et garantir que ces problèmes sont résolus le plus rapidement possible. Les outils et services VAPT peuvent évaluer les vulnérabilités au sein d’un système ou d’une application et aider les administrateurs à prioriser les vulnérabilités à traiter en premier.
Néanmoins, c’est finalement l’erreur humaine qui constitue le maillon le plus faible de la protection des données. Il est donc crucial de former les employés aux meilleures pratiques en matière de traitement des données et aux escroqueries par phishing. Envisagez de tirer parti de l’IA générative pour créer et mettre en œuvre des pratiques de protection des données dans une organisation.
Avec ses capacités actuelles, il est possible de créer un chatbot personnalisé qui permet aux employés de télécharger et de vérifier les e-mails suspects pour détecter d’éventuelles intentions malveillantes et de fournir des conseils sur les prochaines étapes à suivre. Ces outils doivent être construits dans un environnement sécurisé et contrôlé afin que les organisations aient le contrôle des données utilisées pour former les robots et pour garantir que les historiques de conversations ne soient pas divulgués à des parties involontaires.
La responsabilité nous incombe
La technologie offre de puissants outils de transformation, mais elle doit être mise en œuvre de manière responsable par les individus, les organisations et les décideurs politiques. Adopter des pratiques robustes de gouvernance des données, donner la priorité aux droits des personnes concernées et s’adapter continuellement à l’évolution des menaces sont essentiels pour naviguer à la croisée des chemins numériques.
Dans le même temps, il est impératif que les professionnels de la protection des données s’engagent à continuer de perfectionner leurs compétences pour répondre aux exigences de la gouvernance de l’IA. On peut le faire en poursuivant des certifications telles que AI Governance Professional auprès de l’Association internationale des professionnels de la vie privée (IAPP).
Grâce à une collaboration concertée entre les régulateurs, les agences gouvernementales, les entreprises et le public, les Philippines ont un avenir brillant où l’innovation prospère parallèlement à une solide protection des données, garantissant un avenir sûr et sécurisé pour tous.
Edwin Concepcion est le directeur national philippin de Straits Interactive, une société basée à Singapour qui propose des solutions durables de gouvernance des données pour aider les organisations à renforcer la confiance dans le monde actuel axé sur les données.
#Sélever #audessus #tir #corde #numérique
