OpenAI a investi massivement dans la sécurité de niveau entreprise, pourtant même avec des protections robustes en place, des risques réels subsistent.
En l'espace de trois petites années seulement, ChatGPT a changé la façon dont les consommateurs et les entreprises interagissent avec la technologie. Après avoir atteint le cap des 100 millions d'utilisateurs actifs en un temps record de deux mois, il est devenu un incontournable des ordinateurs de bureau et des appareils mobiles.
Mais alors que nous en venons à nous reposer sur lui pour tout, de la rédaction d'e-mails en passant par la planification commerciale, une question importante ne cesse de refaire surface. Son utilisation est-elle réellement sûre ?
Pour faire court...
La réponse, peu satisfaisante, serait : cela dépend. OpenAI a consacré beaucoup de temps et d'argent à la sécurité et à la confidentialité. Mais des risques subsistent. L'essentiel est de comprendre quels sont ces risques et s'ils sont maîtrisables ou pas.
Au minimum, il est recommandé de ne jamais partager d'informations personnelles, financières ou professionnelles dans un chat ou un prompt. Considérez tout ce que vous tapez comme potentiellement lisible par le public.
Cet article sous forme de guide vous explique comment ChatGPT traite vos données, quels sont les risques en matière de sécurité et de confidentialité à prendre en compte et comment vous protéger étape par étape.
Comment fonctionne ChatGPT ?
ChatGPT fonctionne sur un grand modèle de langage (LLM), un système prédictif entraîné sur d'énormes quantités de texte et de code. Il ne pense pas comme nous. Il identifie simplement des modèles statistiques dans le langage afin de générer le mot ou la phrase suivante la plus probable.
Chaque requête que vous saisissez dans ChatGPT est traitée et stockée sur les serveurs d'OpenAI, sauf si vous demandez sa suppression. C'est pourquoi il est important de bien réfléchir aux données que vous partagez avec cet outil. C'est la clé pour minimiser les risques liés à la sécurité et à la confidentialité lors de son utilisation.
Sécurité et protection de la vie privée par OpenAI
OpenAI a investi massivement dans la sécurité de niveau entreprise. Il existe toutefois des différences entre le niveau de sécurité et de confidentialité fourni par défaut dans les versions grand public et entreprise (ChatGPT Enterprise/Business/API).
Ces mesures de sécurité comprennent :
- Le chiffrement : tout le trafic utilise le protocole TLS 1.2+ en transit et le chiffrement AES-256 au repos, soit les mêmes normes que celles utilisées par les banques. Les clients professionnels peuvent utiliser Enterprise Key Management (EKM) pour contrôler leurs propres clés de chiffrement.
- La Conformité et audits : les utilisateurs réguliers bénéficient de la conformité au RGPD, au CCPA et à d'autres réglementations en matière de protection des données/confidentialité. Mais les versions professionnelles font l'objet d'audits indépendants selon les normes SOC 2 Type 2 et CSA STAR, et sont conformes aux normes de bonnes pratiques ISO/IEC 27001, 27017, 27018 et 27701.
- Un programme de prime aux bugs : les hackers éthiques sont rémunérés pour signaler les vulnérabilités avant que les acteurs malveillants ne puissent les trouver et les exploiter.
- Des tests d'intrusion : l'API OpenAI et les offres business de ChatGPT sont soumises à des tests d'intrusion réguliers afin de vérifier l'absence de nouvelles vulnérabilités.
- Une réponse aux incidents : l'équipe de sécurité d'OpenAI travaille 24/7 et 365 jours par an pour surveiller et réagir rapidement à toute activité suspecte.
- Des contrôles d'accès : les utilisateurs réguliers bénéficient d'une authentification multifactorielle (MFA) pour leurs comptes. Mais les clients professionnels peuvent également mettre en place une authentification unique (SSO) via SAML, utiliser une console d'administration pour la gestion des utilisateurs, la vérification des domaines et les contrôles d'accès basés sur les rôles (RBAC).
- Une modération du contenu : une combinaison de garde-fous, de filtres automatisés et de modérateurs humains permet de filtrer les contenus malveillants ou illégaux.
- Un stockage local des données : les clients éligibles des plateformes ChatGPT Enterprise, Edu et API peuvent bénéficier de la résidence des données aux États-Unis, en Europe, au Royaume-Uni, au Japon, au Canada, en Corée du Sud, à Singapour, en Australie, en Inde et aux Émirats arabes unis afin de se conformer aux exigences locales en matière de souveraineté numérique.
- La propriété des données et formation : par défaut, les prompts des utilisateurs sont utilisés pour la formation des modèles. Pour les versions professionnelles, les données sont exclues de la formation des modèles par défaut et l’entreprise possède et contrôle ses propres entrées et sorties. En tout cas, c'est ce que prétend OpenAI.
Remarque : ces mesures sont principalement conçues pour protéger l'infrastructure propre à ChatGPT. Mais elles ne peuvent pas toujours atténuer les erreurs des utilisateurs ni empêcher complètement les abus.
Les sept principaux risques liés à la sécurité de ChatGPT
Même avec des mesures de protection solides, des risques réels subsistent :
1. Violations de données et vol d'identifiants
En mars 2023, un bug dans la bibliothèque open source Redis a temporairement exposé une partie des titres de discussion, des messages et des informations potentiellement liées aux paiements d'autres utilisateurs. Bien que ce bug ait été rapidement corrigé, il existe toujours un risque que des acteurs malveillants parviennent à exploiter une vulnérabilité zero-day pour accéder aux bases de données OpenAI/ChatGPT, ou trouvent un autre moyen d'y pénétrer.
Votre compte peut également être ciblé séparément. En 2024, la société de sécurité Group-IB a découvert plus de 100 000 identifiants ChatGPT volés sur le dark web, provenant pour la plupart d'appareils compromis par des logiciels malveillants. Une fois que quelqu'un a volé votre mot de passe, il peut lire l'intégralité de votre historique de chat.
2. Confidentialité et formation à l'IAPar défaut, OpenAI utilise vos conversations pour former de futurs modèles (si vous utilisez la version grand public). Les employés ou sous-traitants autorisés peuvent lire des extraits anonymisés à des fins d'annotation. Bien que les identifiants soient supprimés, le contexte peut toujours révéler des informations sensibles. Dans les versions d'entreprise, les révisions humaines sont « strictement limitées à ce qui est nécessaire pour la sécurité, la surveillance des abus et la conformité légale ».
3. Attaques par injection de requêtesLes pirates peuvent créer des requêtes qui contournent les garde-fous intégrés, ce qui peut forcer le modèle à révéler du contenu restreint. Par exemple, des pirates peuvent cacher des instructions malveillantes sur des pages web ou des profils de réseaux sociaux analysés par ChatGPT.
4. Fausses applications et escroqueries par hameçonnage Les boutiques d'applications et les sites d'extensions de navigateur regorgent d'applications ChatGPT contrefaites qui ressemblent à la version originale, mais qui sont conçues pour collecter des identifiants de connexion et/ou installer des logiciels malveillants. Ne téléchargez que les applications publiées par OpenAI.
5. Désinformation et hallucinations ChatGPT présente parfois des informations erronées d'une manière très crédible – ce comportement inapproprié est également appelé « hallucination ». Considérez toutes les réponses comme non vérifiées jusqu'à ce qu'elles soient confirmées par une source fiable.
6. Malware et ingénierie sociale Les acteurs malveillants peuvent persuader ChatGPT de renvoyer des extraits de code ou des modèles de phishing qui les aident à mener des cyberattaques. Il peut également aider à générer des deepfakes convaincants à des fins de fraude et d'extorsion, voire à créer des logiciels malveillants à la volée. Finalement, l'IA a considérablement réduit les obstacles techniques pour les criminels. Les offres de « jailbreak-as-a-service » sur le dark web leur facilitent encore davantage la tâche.
7. L'IA fantôme (Shadow AI) sur le lieu de travail Lorsque les employés utilisent la version publique de ChatGPT pour des tâches internes, ils peuvent involontairement partager des données confidentielles avec le LLM, ce qui présente des risques en matière de sécurité et de conformité. En 2023, le personnel de Samsung a accidentellement téléchargé du code source et des notes de réunion sur le chatbot, obligeant le géant technologique coréen à interdire les outils d'IA externes. Selon IBM, un cinquième (20 %) des organisations mondiales ont déclaré avoir subi une violation de données au cours de l'année écoulée en raison d'incidents de sécurité impliquant l'IA fantôme (ou Shadow AI).
Quelles données l’outil ChatGPT collecte-t-il et qui peut les consulter ?
| Type de données | Ce que cela comprend | Qui peut y accéder ? |
| Prompts et Historique | Tout ce que vous tapez et les réponses de l'IA (y compris les fichiers et images téléchargés) | Personnel / sous-traitants autorisés d'OpenAI (pour la formation des modèles, sauf si vous vous désinscrivez). Dans les versions professionnelles, cet accès est plus restreint (comme ci-dessus) et les données ne sont utilisées pour la formation que si les clients y consentent. |
| Détails de compte | Email, nom, numéro de téléphone, infos de paiement (Plus/Business/Enterprise) | OpenAI pour la facturation et l'assistance |
| Utilisation des données | Adresse IP, navigateur, type d'appareil, emplacement approximatif | OpenAI pour l'analyse et la surveillance de la sécurité |
Pour les titulaires d'un compte Free et Plus, les chats sont stockés indéfiniment, sauf si vous les supprimez. Ils sont ensuite programmés pour être définitivement supprimés du système dans un délai de 30 jours. Si vous désactivez « Chat History & Training » (ou utilisez le mode Temporary Chat), les chats ne seront pas enregistrés dans votre historique visible ni utilisés à des fins de formation, mais une copie sera conservée pendant 30 jours maximum à des fins de surveillance des abus et des utilisations frauduleuses avant d'être définitivement supprimée.
Pour les clients ChatGPT Business et Enterprise, les chats sont enregistrés dans votre historique jusqu'à ce qu'ils soient supprimés manuellement. Les administrateurs du plan Enterprise disposent d'un contrôle plus précis sur les paramètres de conservation.
La « blacklist » : voici les informations que vous ne devriez jamais partager sur un outil d’IA
Considérez chaque conversation comme susceptible d'être rendue publique. Ne communiquez jamais :
- Identifiants personnels : numéros de sécurité sociale, numéros de passeport, adresses, etc.
- Informations financières : numéros de carte bancaire, coordonnées bancaires, numéros d'identification fiscale, etc.
- Mots de passe, clés API ou tout autre donnée confidentielle ou secrète (par exemple, jetons MFA).
- Données de l'entreprise : code source, listes de clients, documents internes, rapports financiers non publics, documents juridiques.
- Informations médicales : tout ce qui est couvert par la loi notamment le RGPD et autres législations en vigueur.
Dix bonnes habitudes pour protéger vos données sur ChatGPT
- Utilisez uniquement les plateformes officielles : chat.openai.com ou l'application mobile ChatGPT vérifiée disponible sur Google Play et l'App Store d'Apple.
- Créez un mot de passe fort et unique à l'aide d'un gestionnaire de mots de passe.
- Activez l'authentification multifactorielle (MFA) : connectez-vous à votre compte. Sélectionnez Paramètres → Sécurité → Authentification multifactorielle.
- Désactivez l'entraînement des données : Paramètres → Contrôle des données → désactivez « Améliorer le modèle pour tout le monde ».
- Utilisez les chats temporaires (disponibles sur toutes les versions) pour les sujets sensibles, car ceux-ci ne sont ni stockés ni utilisés pour l'entraînement. Pour démarrer un chat temporaire, ouvrez un nouveau chat et cliquez sur le bouton circulaire « éphémère » dans le coin supérieur droit de la page.
- Suivez la "blacklist” indiquée plus haut
- Utilisez des exemples anonymisés plutôt que de fournir des informations/fichiers réels dans les invites.
- Utilisez un VPN sur le Wi-Fi public pour chiffrer le trafic.
- Supprimez régulièrement l'historique des discussions (Paramètres → Contrôle des données → Effacer l'historique).
- Déconnectez-vous des appareils partagés afin que personne d'autre ne puisse pirater votre compte.
Comment désactiver l'entraînement des données sur ChatGPT ?
- Connectez-vous à ChatGPT.
- Cliquez sur votre nom (en bas à gauche ou en haut à droite).
- Allez dans Paramètres → Contrôles des données.
- Recherchez « Améliorer le modèle pour tout le monde ».
- Désactivez cette option.
Une fois cette option désactivée, OpenAI n'utilisera plus vos futures conversations pour l'entraînement du modèle. En combinant cette option avec la fonction de chat temporaire, vous obtenez ce qui se rapproche le plus d'un chat privé dans les formules Free, Plus et Pro. Les comptes Entreprise ont déjà l'entraînement du modèle désactivé par défaut.
Conseils de sécurité pour les entreprises et les professions à haut risque
Entreprises
Les offres ChatGPT publiques ne sont pas adaptées aux données confidentielles. ChatGPT Enterprise offre de meilleurs niveaux de sécurité et de confidentialité. Cependant, un chatbot IA open source géré localement serait une meilleure option pour les entreprises soucieuses de leur sécurité, même si cela implique des frais supplémentaires de gestion et de déploiement.
| Fonctionnalité | Free / Plus | Enterprise |
| Formation du modèle | Désactivation manuelle | Désactivée par défaut |
| Conservation des données | Chats conservés jusqu'à leur suppression manuelle | Conservation nulle ou personnalisée possible |
| Propriété des données | Licence partagée | Le client est propriétaire des données |
| Conformité | RGPD, CCPA, etc. | SOC 2 Type 2 / RGPD / CCPA |
| Contrôle d'accès | Connexion standard, MFA | MFA plus intégration SSO / SAML, RBAC et vérification de domaine |
Utilisateurs à haut risque
Les médecins, avocats, conseillers financiers et autres professionnels exerçant des professions à haut risque ne doivent jamais saisir les données de leurs clients ou patients dans cet outil public.
L'avenir de la sécurité de l'IA
La réglementation de l'IA s'accélère. La loi européenne sur l'IA exigera de nouveaux niveaux de transparence et de gouvernance des données de la part des fournisseurs. Il faut s'attendre à ce qu'OpenAI et ses concurrents ajoutent un traitement sur appareil (qui inclut la protection de la charge de travail), des paramètres contrôlés par l'utilisateur plus efficaces (qui seront similaires aux paramètres par défaut de Claude) et des journaux d'audit en temps réel définis par les organismes de réglementation compétents.
Conseils et avis de notre expert
« Alors que les utilisateurs ont intégré des grands modèles de langage tels que ChatGPT dans leur quotidien, les risques liés à la sécurité et à la confidentialité de ces services restent flous. Malgré cela, de nombreuses entreprises se précipitent pour suivre le mouvement, en intégrant à leurs systèmes des agents IA et des modèles prêts à l'emploi provenant de marchés en ligne, souvent sans comprendre pleinement où ces outils trouvent leur place ni comment protéger les données personnelles des utilisateurs.
Cette ruée vers la facilité pourrait entraîner de graves violations de données, des fuites de confidentialité et des accès non autorisés, d'autant plus que les entreprises utilisent des modèles d'IA « boîte noire » dont l'origine ou les données d'entraînement ne sont pas claires. Dans le même temps, les escroqueries générées par l'IA, telles que les deepfakes, les faux avis et les e-mails de phishing, deviendront plus difficiles à détecter, permettant même à des criminels inexpérimentés de mener des escroqueries convaincantes et d'influencer des campagnes.
Les faux profils et les bots alimentés par l'IA sur les réseaux sociaux vont brouiller la frontière entre le réel et l'artificiel, rendant plus difficile la distinction entre le vrai et le faux en ligne. Par conséquent, les utilisateurs devront être plus prudents que jamais, car les services auxquels ils font confiance peuvent utiliser l'IA de manière à accroître à la fois la commodité et les risques, tandis que les normes industrielles pour la gestion et la sécurisation de ces technologies peinent à suivre le rythme. »
- Juraj Jánošík, responsable IA chez ESET
Que retenir ?
Alors, ChatGPT est-il sûr ? Même si vous prenez des précautions raisonnables, l'IA et les agents IA élargissent la surface d'attaque et peuvent vous exposer (ainsi que votre entreprise) à des risques supplémentaires. OpenAI a intégré certaines mesures de sécurité dans ses produits, mais son modèle économique repose toujours sur la collecte de données. Votre sécurité et votre confidentialité dépendent de la manière dont vous gérez ces données.
Prochaines étapes à mettre en place :
Allez dans Paramètres → Sécurité et activez l'authentification multifactorielle (MFA).
Allez dans Paramètres → Contrôles des données et désactivez « Améliorer le modèle pour tout le monde ».
Pour les sujets sensibles, utilisez les chats temporaires et effacez régulièrement l'historique.
Partagez ce guide avec votre équipe afin d'éviter tout incident lié au Shadow IA.
Géré de manière réfléchie, ChatGPT peut être un outil puissant et sûr. Mais seulement si vous gardez le contrôle de vos propres données.
