LMi-MAG20 Dec - Flipbook - Page 30
ENTRETIEN
Prabhath KARANTH
RSSI chez Navan
un responsable de la sécurité des plateformes de produits, qui se trouve du côté de l’ingénierie ; ensuite,
nous avons SecOps, qui est une combinaison de sécurité
d’entreprise, DLP - détection et réponse ; puis il y a une
fonction de gouvernance, de risque, de conformité et de
con昀椀ance, qui est responsable de la gestion des risques,
de la conformité et de tout le reste. Nous nous sommes
donc assis et avons procédé à une évaluation des risques
pour chaque domaine d’application de cette technologie.
Nous avons mis en place certains contrôles, tels que la
prévention de la perte de données, a昀椀n de nous assurer
que, même involontairement, il n’y a pas d’exploitation
de cette technologie pour extraire des données, qu’il
s’agisse d’IP ou d’informations personnelles identi昀椀ables
des clients. Je dirais donc que nous avons gardé une longueur d’avance.
Avez-vous encore surpris des employés
en train d’essayer de coller intentionnellement
des données sensibles dans ChatGPT ?
PK : La méthode DLP que nous appliquons ici est basée
sur le contexte. Nous ne faisons pas de blocage général.
Nous détectons toujours les choses et nous les traitons
comme un incident. Il peut s’agir d’un risque d’initié
ou d’un risque externe, et nous impliquons alors nos
homologues des services juridiques et des ressources
humaines. Cela fait partie intégrante de la gestion d’une
équipe de sécurité. Nous sommes là pour identi昀椀er les
menaces et mettre en place des protections contre elles.
Avez-vous été surpris par le nombre d’employés
qui collent les données de l’entreprise
dans les invites du ChatGPT ?
PK : Pas vraiment. Nous nous y attendions avec cette
technologie. L’entreprise s’e昀昀orce de faire connaître cette
technologie aux développeurs et à d’autres personnes.
Nous n’avons donc pas été surpris. Nous nous y attendions.
Craignez-vous que l’IA générative entraîne
une violation des droits d’auteur lorsque vous
l’utilisez pour la création de contenu ?
PK : Il s’agit d’un domaine de risques qui doit être abordé.
Vous avez besoin d’une certaine expertise juridique pour
ce domaine. Nos conseillers juridiques internes et notre
équipe de juristes se sont penchés sur la question, et nous
avons activé tous nos programmes juridiques. Nous avons
essayé de gérer le risque dans ce domaine. Navan a mis
30 / décembre 2023 / janvier / février 2024
l’accent sur la communication entre les équipes chargées
de la protection de la vie privée, de la sécurité et des questions juridiques et les équipes chargées des produits et du
contenu sur les nouvelles lignes directrices et restrictions
au fur et à mesure qu’elles apparaissent; et les employés
ont reçu une formation supplémentaire sur ces questions.
Êtes-vous au courant du problème lié à la
création de logiciels malveillants par ChatGPT,
intentionnellement ou non ? Avez-vous
dû y remédier ?
PK : Je suis un professionnel de la sécurité et je surveille
donc de très près tout ce qui se passe du côté o昀昀ensif. Il
y a toutes sortes d’applications. Il y a des logiciels malveillants, il y a de l’ingénierie sociale qui se produit grâce
à l’IA générative. Je pense que la défense doit constamment rattraper son retard. J’en suis tout à fait conscient.
Comment surveiller la présence de logiciels
malveillants si un employé utilise ChatGPT pour
créer du code ? Disposez-vous d’outils logiciels
ou avez-vous besoin d’une deuxième paire
d’yeux sur tous les codes nouvellement créés ?
PK : Il y a deux possibilités. La première consiste à s’assurer que le code que nous envoyons à la production
est sécurisé. L’autre est le risque d’initié - s’assurer que
le code généré ne quitte pas l’environnement de l’entreprise Navan. Pour le premier volet, nous disposons
d’une intégration continue, d’un déploiement continu
- CICD - d’un pipeline de codéploiement automatisé, qui
est entièrement sécurisé. [Lire l’intégralité de l’entretien
sur lemondeinformatique.fr]
APPROFONDIR
ÉCOUTER EN LIGNE
Podcast
tinyurl.com/Navan-podcast
LIRE EN LIGNE
Article
tinyurl.com/article-Navan