L’adoption de l’IA générative dans l’industrie du commerce de détail est en constante augmentation, mais un nouveau rapport met en lumière les coûts de sécurité qui l’accompagnent.
Selon la société de cybersécurité Netskope, le secteur du commerce de détail a pratiquement universellement adopté la technologie, avec 95% des organisations utilisant désormais des applications d’IA générative. C’est un énorme bond en avant par rapport aux 73% d’il y a un an seulement, montrant à quel point les détaillants se précipitent pour éviter d’être laissés pour compte.
Cependant, cette ruée vers l’or de l’IA comporte un revers de médaille. Alors que les organisations intègrent ces outils dans le tissu de leurs opérations, elles créent une nouvelle surface massive pour les cyberattaques et les fuites de données sensibles.
Les conclusions du rapport montrent un secteur en transition, passant d’une adoption chaotique précoce à une approche plus contrôlée et dirigée par les entreprises. Il y a eu un passage de l’utilisation des comptes personnels d’IA par le personnel, qui a plus que diminué de moitié passant de 74% à 36% depuis le début de l’année. À sa place, l’utilisation d’outils GenAI approuvés par l’entreprise a plus que doublé, passant de 21% à 52% sur la même période. C’est un signe que les entreprises prennent conscience des dangers de l’ « IA fantôme » et essaient de prendre le contrôle de la situation.
Dans la bataille pour le bureau de vente au détail, ChatGPT reste roi, utilisé par 81% des organisations. Pourtant, sa domination n’est pas absolue. Google Gemini a fait des percées avec une adoption de 60%, et les outils Copilot de Microsoft sont très proches avec respectivement 56% et 51%. La popularité de ChatGPT a récemment enregistré son premier recul, tandis que l’utilisation de Microsoft 365 Copilot a augmenté, probablement grâce à son intégration profonde avec les outils de productivité que de nombreux employés utilisent au quotidien.
Sous la surface de cette adoption de l’IA générative par l’industrie du commerce de détail se cache un cauchemar croissant en matière de sécurité. La chose même qui rend ces outils utiles – leur capacité à traiter l’information – est aussi leur plus grande faiblesse. Les détaillants constatent des quantités alarmantes de données sensibles alimentant ces outils.
Le type le plus courant de données exposées est le code source de l’entreprise elle-même, représentant 47% de toutes les violations de politique de données dans les applications GenAI. Juste derrière se trouvent les données réglementées, comme les informations confidentielles sur les clients et l’entreprise, à hauteur de 39%.
En réponse, un nombre croissant de détaillants interdisent simplement les applications qu’ils jugent trop risquées. L’application la plus souvent placée sur la liste noire est ZeroGPT, 47% des organisations l’interdisant en raison de préoccupations selon lesquelles elle stocke le contenu utilisateur et a même été surprise à rediriger des données vers des sites tiers.
Cette prudence nouvelle pousse l’industrie du commerce de détail vers des plateformes d’IA générative plus sérieuses, de qualité entreprise, proposées par les principaux fournisseurs de cloud. Ces plateformes offrent un contrôle bien plus important, permettant aux entreprises d’héberger des modèles de manière privée et de créer leurs propres outils personnalisés.
À la fois OpenAI via Azure et Amazon Bedrock sont à égalité en tête, chacun étant utilisé par 16% des entreprises de vente au détail. Mais ce ne sont pas des solutions miracles ; une simple mauvaise configuration pourrait involontairement connecter une IA puissante directement aux joyaux de la couronne d’une entreprise, créant ainsi le potentiel d’une violation catastrophique.
La menace ne provient pas uniquement des employés utilisant l’IA dans leurs navigateurs. Le rapport révèle que 63% des organisations se connectent désormais directement à l’API d’OpenAI, intégrant ainsi l’IA profondément dans leurs systèmes backend et leurs workflows automatisés.
Ce risque spécifique à l’IA fait partie d’un schéma plus large et troublant de mauvaise hygiène de sécurité cloud. Les attaquants utilisent de plus en plus des noms de confiance pour diffuser des logiciels malveillants, sachant qu’un employé est plus susceptible de cliquer sur un lien provenant d’un service familier. Microsoft OneDrive est le coupable le plus courant, avec 11% des détaillants touchés par des logiciels malveillants de la plateforme chaque mois, tandis que la plateforme de développement GitHub est utilisée dans 9,7% des attaques.
Le problème de longue date des employés utilisant des applications personnelles au travail continue d’attiser les flammes. Les sites de médias sociaux comme Facebook et LinkedIn sont utilisés dans presque tous les environnements de vente au détail (96% et 94% respectivement), aux côtés de comptes personnels de stockage cloud. C’est sur ces services personnels non approuvés que se produisent les pires violations de données. Lorsque les employés téléchargent des fichiers sur des applications personnelles, 76% des violations de politiques qui en résultent impliquent des données réglementées.
Pour les responsables de la sécurité dans le secteur du commerce de détail, l’expérimentation décontractée de l’IA générative est terminée. Les conclusions de Netskope sont un avertissement selon lequel les organisations doivent agir de manière décisive. Il est temps d’obtenir une visibilité totale sur tout le trafic web, de bloquer les applications à haut risque et d’appliquer des politiques strictes de protection des données pour contrôler quelles informations peuvent être envoyées où.
Sans une gouvernance adéquate, la prochaine innovation pourrait facilement devenir le prochain incident médiatisé.
Retrouvez également Martin Frederik, de Snowflake, sur l’importance de la qualité des données pour la croissance pilotée par l’IA.