La Data Loss Prevention (DLP) appliquée à l’IA est un ensemble de technologies et de politiques conçues pour empêcher l’exposition de données organisationnelles sensibles lors des interactions avec les outils d’intelligence artificielle. Les solutions de DLP traditionnelles se concentrent sur le courrier électronique, les transferts de fichiers et les terminaux réseau, mais la DLP spécifique à l’IA répond au défi particulier des données saisies dans les requêtes d’IA, téléversées vers des services d’IA ou traitées par des API d’IA.
La DLP pour l’IA fonctionne selon plusieurs mécanismes : l’inspection du contenu qui analyse le texte soumis aux outils d’IA à la recherche de motifs correspondant à des données personnelles, financières ou de propriété intellectuelle ; le blocage contextuel qui empêche l’envoi de certains types de données vers des services d’IA non approuvés ; la surveillance par proxy en ligne qui intercepte les appels aux API d’IA au niveau du réseau ; et les contrôles par extension de navigateur qui surveillent en temps réel les interactions avec les outils d’IA.
Les principales catégories de données sensibles que la DLP pour l’IA doit protéger comprennent les informations personnelles identifiables (PII) telles que les noms, adresses e-mail et numéros d’identification nationaux ; les données financières, notamment les numéros de compte, les relevés de transactions et les prévisions ; les informations de santé régies par l’HIPAA ; le code source et la documentation technique ; les documents et communications juridiques ; et les informations stratégiques de l’entreprise.
Selon le rapport IBM Cost of a Data Breach 2024, le coût moyen d’une violation de données impliquant des systèmes d’IA s’élève à 4,88 millions de dollars. Les organisations dépourvues de contrôles de DLP pour l’IA sont nettement plus exposées à mesure que les employés utilisent davantage d’outils d’IA pour des tâches sensibles. Une étude de 2024 a révélé qu’un employé sur trois avait partagé par inadvertance des informations confidentielles de l’entreprise avec des outils d’IA externes.
Une mise en œuvre efficace de la DLP pour l’IA nécessite une intégration avec les outils d’IA réellement utilisés par les employés (notamment ChatGPT, Copilot, Claude et Gemini), une application en temps réel plutôt qu’une analyse a posteriori, des contrôles conviviaux qui informent plutôt que de se contenter de bloquer, ainsi que des tableaux de bord destinés aux dirigeants présentant la posture de risque des données d’IA dans toute l’organisation.