26 mai 2023
Bulletin interne de l'Institut Pasteur
Les données transmises vers les intelligences artificielles (IA) conversationnelles (ChatGPT, …), et généralement les services Cloud hors Institut Pasteur, ne sont pas maitrisés. Il est donc souvent impossible de savoir qui peut y accéder.
Par exemple, avec une requête précise, il est possible d’obtenir des données préalablement transmises à l’IA par une autre personne.
Le service de sécurité des systèmes d’information attire l’attention de tous sur le fait que ces outils doivent être utilisés avec précautions. Aussi :
Ne transmettez pas d’informations sensibles de l’Institut Pasteur (données de la recherche, données médicales…)
ChatGPT indique dans ses conditions d’utilisation qu’il se sert des conversations de ses utilisateurs pour enrichir son modèle de données. Ainsi les données soumises peuvent être accessibles par des tiers.
En mars, des employés de Samsung ont partagé des données hautement confidentielles à ChatGPT.
Comment savoir si une donnée est sensible ?
Rendez-vous sur Accueil - Portail de Services SSI (ssi.pasteur.cloud)
N’installez pas d’outil accédant à vos données automatiquement
Certains outils, comme les extensions permettant de répondre automatiquement aux courriels, vont aspirer le contenu de votre boîte e-mail et s’en servir pour enrichir leurs modèles de données.
Certaines extensions proposent d’apprendre votre style d’écriture, l’historique de votre boîte e-mails peut alors être transmis pour leur apprentissage.
Faites attention aux extensions ou programmes suspects
Beaucoup de ces derniers sont malveillants. Les attaquants profitent de l’engouement des IA conversationnelles, comme ChatGPT, en créant de fausses applications. En les installant, vous pouvez compromettre votre poste et les données qui s’y trouvent se verront probablement dérobées ou chiffrées.
Les logiciels de type « infostealer » sont particulièrement virulents depuis fin 2022.
Soyez d’autant plus vigilants que l’IA profite aussi aux attaquants
L’IA sert également à l’élaboration d’emails de phishing toujours plus réalistes. Si vous avez le moindre doute sur la légitimité d’un courriel, vous pouvez contacter l’équipe SSI à l’adresse rssi@pasteur.fr.
Les IA sont déjà utilisées pour imiter des voix par téléphone.
Vous utilisez une IA et vous vous interrogez sur les risques
N’hésitez pas à contacter l’équipe SSI (rssi@pasteur.fr) pour vous accompagner. Ces technologies évoluent rapidement et de nombreuses questions apparaitront au fur et à mesure du développement de leurs fonctionnalités.
Bon à savoir
La formation en e-learning sur le phishing est accessible à tous sur la plateforme Kaptitude !
Pour toute question, vous pouvez contacter rssi@pasteur.fr