CreativMinds
Fr
CreativMinds
Fr
novembre 21st 2025

Comment éviter que ChatGPT devienne votre pire ennemi en cybersécurité ?

Près de 40 % des entreprises qui utilisent l’IA auraient déjà été ciblées par des cyberattaques visant spécifiquement ces outils. Le chiffre fait réfléchir. Mais ce qui m’interpelle davantage, c’est ce qu’il ne dit pas : combien d’incidents passent complètement sous le radar, simplement parce que personne ne savait qu’il y avait un risque ?

Chez CreativMinds, nous accompagnons des entreprises de toutes tailles sur leurs enjeux de cybersécurité. Et depuis l’arrivée de ChatGPT dans les usages quotidiens, une question revient systématiquement : « On peut l’utiliser, mais… c’est sûr ? »

La réponse courte : ça dépend. La réponse longue, c’est cet article.

Le vrai problème n’est pas l’outil. C’est ce qu’on en fait.

ChatGPT n’est pas dangereux en soi. Ce qui l’est, c’est l’écart entre ce que les gens pensent qu’il fait et ce qu’il fait vraiment.

Prenons un exemple concret. Un collaborateur du service RH utilise ChatGPT pour reformuler un e-mail de refus de candidature. Jusque-là, rien de grave. Mais pour « gagner du temps », il copie-colle le CV du candidat dans sa requête. Nom, adresse, numéro de téléphone, parcours professionnel complet. Ces données sont maintenant passées par les serveurs d’OpenAI.

Est-ce que ça veut dire qu’elles seront réutilisées ou exposées ? Pas forcément. Mais elles ont quitté le périmètre de l’entreprise. Et ça, la plupart des collaborateurs ne le réalisent pas.

Un autre cas qu’on voit régulièrement : un commercial qui demande à ChatGPT de « rédiger une proposition commerciale pour le client X » en incluant les tarifs négociés, les conditions particulières, parfois même des éléments de marge. Des informations stratégiques, parties dans une requête anodine.

Les trois risques qu’on sous-estime (presque) toujours

1. Les fuites de données involontaires

C’est le risque le plus courant et le moins spectaculaire. Personne ne se dit « je vais faire fuiter des données confidentielles ». Ça arrive par commodité, par habitude, par méconnaissance.

Le problème, c’est que ChatGPT est conçu pour être utile. Plus vous lui donnez de contexte, meilleure sera sa réponse. Cette logique pousse naturellement les utilisateurs à en dire trop.

Ce qu’on peut faire : Avant de taper quoi que ce soit, se poser une question simple : « Est-ce que j’enverrais cette information par e-mail à un inconnu ? » Si la réponse est non, elle n’a rien à faire dans ChatGPT non plus.

2. L’ingénierie sociale assistée par IA

Celui-là est plus sournois. Des acteurs malveillants utilisent des outils comme ChatGPT pour créer des e-mails de phishing d’un réalisme troublant. Fini les fautes d’orthographe grossières et les formulations bancales qui mettaient la puce à l’oreille.

J’ai vu passer récemment un exemple d’e-mail généré par IA qui imitait parfaitement le ton d’un DSI demandant une « vérification urgente des accès ». Même quelqu’un de vigilant aurait pu s’y laisser prendre.

À l’inverse, un chatbot interne compromis ou mal configuré peut devenir un vecteur d’attaque. Imaginez un « support technique » qui vous demande vos identifiants avec exactement le bon ton, les bonnes formulations, et qui répond de manière cohérente à vos questions de vérification.

Ce qu’on peut faire : Former les équipes à ces nouveaux types d’attaques. Les vieux réflexes anti-phishing ne suffisent plus. L’authentification à deux facteurs devient non négociable pour toute action sensible.

3. La conformité réglementaire

RGPD, LPD en Suisse, réglementations sectorielles… Dès qu’on utilise ChatGPT avec des données personnelles ou sensibles, on entre dans un champ réglementaire complexe.

Le souci, c’est que beaucoup d’entreprises n’ont tout simplement pas cartographié ces usages. ChatGPT s’est infiltré dans les pratiques sans passer par la case « validation juridique ». Et le jour où il y a un contrôle ou un incident, on découvre l’étendue du problème.

Ce qu’on peut faire : Commencer par un état des lieux. Qui utilise quoi, pour faire quoi, avec quelles données ? Sans cette visibilité, impossible de sécuriser quoi que ce soit.

Ce qui fonctionne vraiment (au-delà des bonnes intentions)

Poser un cadre clair — mais réaliste

Interdire ChatGPT, ça ne marche pas. Les collaborateurs trouveront des contournements, et vous perdrez toute visibilité sur les usages.

Ce qui fonctionne mieux : définir ce qui est autorisé, ce qui ne l’est pas, et surtout pourquoi. Un cadre compris est un cadre respecté. Un cadre imposé sans explication sera contourné dès que possible.

Concrètement, ça peut ressembler à ça :

  • Autorisé : reformulation de textes génériques, brainstorming, recherche d’informations publiques
  • Interdit : toute donnée personnelle, toute information client, tout élément financier non public
  • Zone grise : en cas de doute, demander avant

Mettre en place des garde-fous techniques

Pour les organisations qui veulent aller plus loin, des solutions existent. Certaines permettent d’analyser les requêtes avant qu’elles ne partent vers l’IA et de bloquer automatiquement celles qui contiennent des données sensibles. D’autres proposent des versions « entreprise » avec des garanties renforcées sur le traitement des données.

Mais attention : la technique ne remplace pas la sensibilisation. Un filtre mal configuré donne une fausse impression de sécurité. Et aucun outil ne peut anticiper tous les cas de figure.

Former, encore et encore

Je sais, « formation » ça fait rarement rêver. Mais c’est ce qui fait la différence entre une entreprise qui subit les risques et une qui les maîtrise.

Le plus efficace, d’après notre expérience : des sessions courtes, basées sur des cas concrets, avec des mises en situation. Pas des présentations PowerPoint de 45 slides qu’on oublie en sortant de la salle.

Et surtout : répéter le message. La cybersécurité, ce n’est pas une formation annuelle. C’est une culture qui se construit dans la durée.

Le cas particulier des entreprises qui développent avec l’IA

Pour celles qui intègrent ChatGPT (ou d’autres modèles) dans leurs propres produits ou processus, les enjeux sont encore plus élevés.

Quelques points de vigilance :

  • L’API n’est pas la version grand public. Les conditions de traitement des données diffèrent. Il faut les lire (vraiment les lire).
  • Les données d’entraînement. Si vous fine-tunez un modèle avec vos données, où vont-elles ? Qui y a accès ? Pendant combien de temps ?
  • Les tests de sécurité. Un audit régulier des intégrations IA devrait faire partie du cycle de développement, au même titre que les tests fonctionnels.

Ce que j’ai appris en accompagnant des entreprises sur ce sujet

La plupart des incidents liés à ChatGPT que nous avons observés n’étaient pas des attaques sophistiquées. C’étaient des erreurs humaines, commises par des gens compétents qui n’avaient simplement pas conscience du risque.

Ce qui me frappe aussi, c’est l’écart entre la vitesse d’adoption de ces outils et la lenteur des organisations à adapter leurs pratiques de sécurité. ChatGPT est arrivé dans les entreprises en quelques semaines. Les politiques de sécurité, elles, évoluent souvent sur des cycles annuels.

Il y a un décalage à rattraper. Et plus on attend, plus il se creuse.

Par où commencer ?

Si vous n’avez encore rien mis en place, voici une progression réaliste :

Semaine 1 : Faites un état des lieux informel. Demandez simplement à vos équipes comment elles utilisent ChatGPT. Sans jugement, juste pour comprendre.

Semaine 2-3 : Rédigez des guidelines simples. Une page maximum. Ce qui est OK, ce qui ne l’est pas, qui contacter en cas de doute.

Mois 2 : Organisez une sensibilisation. Pas une formation magistrale, plutôt une discussion ouverte avec des exemples concrets.

Mois 3 et suivants : Évaluez si des solutions techniques sont nécessaires selon votre contexte. Et prévoyez des rappels réguliers.

Les questions qu’on nous pose le plus souvent

ChatGPT conserve-t-il les données qu’on lui envoie ?

Par défaut, oui — du moins temporairement. OpenAI indique que les conversations peuvent être utilisées pour améliorer ses modèles, sauf si vous désactivez cette option dans les paramètres ou si vous utilisez la version API/Enterprise. Concrètement, partez du principe que tout ce que vous tapez peut être lu et stocké. Ce n’est pas un espace confidentiel.

Est-ce qu’utiliser ChatGPT peut nous mettre en infraction avec le RGPD ?

Potentiellement, oui. Si vous entrez des données personnelles (noms, e-mails, informations clients…) dans ChatGPT sans base légale ni information des personnes concernées, vous êtes en zone de risque. Le transfert de données vers les États-Unis ajoute une couche de complexité supplémentaire. Pour les usages professionnels impliquant des données personnelles, mieux vaut passer par des solutions avec des garanties contractuelles adaptées.

Quelle différence entre ChatGPT gratuit, Plus, Teams et Enterprise ?

Au-delà des fonctionnalités, c’est surtout le traitement des données qui change. La version gratuite et Plus peuvent utiliser vos conversations pour l’entraînement (sauf opt-out). Les versions Teams et Enterprise offrent des garanties plus strictes : pas d’utilisation des données pour l’entraînement, chiffrement renforcé, et pour Enterprise, des options de déploiement plus contrôlées. Si votre entreprise utilise ChatGPT de manière régulière, la question du passage à une offre pro mérite d’être posée.

Comment savoir si mes collaborateurs utilisent ChatGPT ?

Honnêtement ? Vous ne pouvez pas tout contrôler, surtout avec les smartphones personnels et le télétravail. La meilleure approche n’est pas la surveillance mais la transparence : posez la question ouvertement, sans jugement. Vous serez probablement surpris de l’ampleur des usages. Et c’est justement cette visibilité qui vous permettra d’encadrer les pratiques.

Peut-on utiliser ChatGPT pour traiter des données de santé ou financières ?

C’est très délicat. Ces données sont soumises à des réglementations spécifiques (secret médical, réglementations bancaires, etc.) qui imposent des niveaux de protection élevés. Dans la plupart des cas, utiliser la version grand public de ChatGPT avec ce type de données n’est pas conforme. Des solutions spécialisées existent pour ces secteurs, avec des hébergements certifiés et des garanties adaptées.

Les filtres de confidentialité intégrés à ChatGPT sont-ils suffisants ?

OpenAI a mis en place certains garde-fous, mais ils ne sont pas infaillibles. Le modèle peut refuser de générer certains contenus sensibles, mais il ne détecte pas automatiquement que vous êtes en train de partager des données confidentielles. La responsabilité reste du côté de l’utilisateur. Ne comptez pas sur l’outil pour vous protéger de vous-même.

Que faire si un collaborateur a déjà partagé des données sensibles ?

Pas de panique, mais ne minimisez pas non plus. Documentez ce qui s’est passé : quelles données, quand, dans quel contexte. Selon la nature des informations (données personnelles, secrets commerciaux), vous pourriez avoir des obligations de notification. C’est aussi l’occasion de rappeler les bonnes pratiques à l’ensemble de l’équipe, sans pointer du doigt la personne concernée. L’erreur est souvent collective avant d’être individuelle.

Est-ce que les alternatives à ChatGPT (Claude, Mistral, etc.) sont plus sûres ?

Chaque outil a sa propre politique de données. Mistral, par exemple, propose des options d’hébergement européen qui peuvent simplifier la conformité RGPD. Claude (Anthropic) a des engagements différents sur l’utilisation des données. Mais « plus sûr » dépend surtout de votre usage et de votre contexte. L’important est de lire les conditions d’utilisation — vraiment les lire — et de choisir en connaissance de cause.

ChatGPT peut être un allié formidable pour la productivité. Mais comme tout outil puissant, il demande un minimum de maîtrise pour ne pas se retourner contre vous.

La bonne nouvelle, c’est que les risques sont gérables. À condition de ne pas faire comme si ils n’existaient pas.

Derniers articles
L’évolution naturelle de notre direction artistique
février 3rd 2026
Deepfakes et phishing vocal : quand l’IA imite votre patron pour vider vos comptes
novembre 14th 2025
Analyse d’une attaque récente : ce qu’on peut apprendre (étude de cas)
novembre 7th 2025
Explore more insights in our blog
View all articles

    Contactez notre équipe
    Laissez-nous vos coordonnées et nous vous contacterons prochainement.
    Thank you!
    Your request has been received.
    We will contact you shortly
    We use third-party cookies to personalize content and analyze site traffic. Learn more