4 exigences essentielles en matière de sécurité des chatbots que vous devez connaître

Si la sécurité des chatbots est importante pour toutes les entreprises, elle l'est particulièrement pour les secteurs de la santé, de la finance et de l'administration. Si nous examinons les questions de sécurité qui sont importantes pour ces secteurs, nous serons au moins en mesure de couvrir les questions qui sont pertinentes pour toutes les entreprises.

‍

Les implications de la sécurité des chatbots et les éléments à prendre en compte pour créer un environnement sûr.

Il y a un certain nombre de points à prendre en compte lorsqu'il s'agit de la sécurité des chatbots. Ils peuvent être abordés de manière générale à travers les questions suivantes :

• Quel est l'environnement utilisé pour construire le chatbot ?
• Où est hébergé le chatbot ?
• Quelles sont les caractéristiques de sécurité de la technologie sur laquelle le chatbot est construit ?
• J'aborderai ces questions une à une.

1. L'environnement

L'accès à l'environnement utilisé par les développeurs (personnel et sous-traitants) pour développer le chatbot doit être sécurisé et autorisé. Cela signifie qu'il faut non seulement sécuriser et contrôler le code à la source, mais aussi sécuriser les communications et s'assurer que l'environnement est exempt de virus et d'autres menaces.

Des normes doivent être mises en place pour l'installation d'antivirus, le cryptage, le contrôle d'accès, la formation obligatoire à la sécurité de l'information et l'enregistrement des activités. Des procédures et des politiques sont également nécessaires pour régir les tests des fonctions de sécurité des chatbots et le contrôle des modifications, afin que les développeurs ne puissent pas modifier le code source sans l'approbation explicite d'un ingénieur chevronné.

2. L'hébergement

De nos jours, il existe de nombreuses options pour l'hébergement de chatbots , qu'il s'agisse de l'hébergement public cloud, de l'hébergement privé cloud ou de l'hébergement sur site (on premises / in-house).

Les entreprises qui ont besoin d'un degré supérieur de sécurité des informations opteront pour une installation privée cloud ou sur site, en fonction de la nature du cas d'utilisation du chatbot.

Il est important de comprendre que l'hébergement ne se limite pas à l'hébergement du chatbot lui-même. Si le chatbot utilise des services tiers tels qu'un moteur NLP, il convient de prendre en compte les mêmes risques de sécurité liés à l'hébergement et à l'information du chatbot qui sont associés à ces services. Ces services sont-ils des SAAS ou sont-ils disponibles sur site, par exemple ? Isolent-ils les données des clients ou toutes les données sont-elles mises en commun d'une manière ou d'une autre ?

La partie frontale du chatbot est bien sûr un autre élément à prendre en compte. Si le chatbot est utilisé sur une plateforme de chat telle que Facebook Messenger, les informations du client seront exposées et enregistrées par cette plateforme. Il peut s'agir ou non d'un problème de sécurité du chatbot, mais il est clair qu'il faut en tenir compte.

Les entreprises préoccupées par la transmission de leurs données de conversation sur des plateformes de chat telles que Facebook Messenger et Slack, peuvent utiliser des moyens alternatifs pour communiquer avec leurs clients via des solutions sur site ou privées cloud telles que Mattermost ou Web Chat.

3. Caractéristiques de sécurité

Que le bot soit hébergé sur le site cloud ou sur place, il existe de nombreuses caractéristiques de sécurité à prendre en compte.

L'accès du personnel administratif au système de gestion du chatbot doit être étroitement contrôlé grâce à une sécurité intégrée basée sur les rôles et à une gestion multi-utilisateurs. Si nécessaire, ce contrôle d'accès peut être intégré à la solution interne de gestion des identités et des accès de l'entreprise, telle que Active Directory et LDAP.

Le système doit comprendre des journaux complets et détaillés montrant l'activité des utilisateurs (y compris les administrateurs) et du système. Des alertes doivent être définies pour avertir les administrateurs et d'autres personnes en cas d'activité spécifique.

Outre les alertes normales, des alertes spéciales doivent être mises en place pour informer les administrateurs et d'autres personnes d'activités suspectes, d'incidents et d'exceptions spécifiques.

Les données et les enregistrements stockés sur des serveurs, tels que les dossiers/interactions des clients et les données d'authentification, doivent être cryptés à l'aide d'une norme industrielle telle que AES-256.

La transmission de messages entre les utilisateurs finaux et les serveurs, ainsi que les connexions entre les systèmes frontaux (tels que Webchat, les pages web ou une plateforme de chat) et les systèmes dorsaux doivent être chiffrés selon des normes industrielles telles que TLS.

4. Politiques et procédures

Bien entendu, il est essentiel, pour tous ces éléments, de mettre en place des politiques et des procédures pertinentes qui régissent les normes en matière de sécurité de l'information. La sécurité de l'information n'est pas une installation ponctuelle, mais une activité permanente.

Ces politiques et procédures régiront non seulement la manière dont le logiciel concerné est configuré, mais elles préciseront également quand et comment les sessions de formation régulières et les tests de sécurité seront effectués.

La sécurisation d'un chatbot n'est pas différente de celle de n'importe quel autre logiciel. Au début du processus, il faut évaluer le degré de confidentialité des données sous-jacentes, ce qui déterminera les mesures à prendre par l'organisation pour garantir la sécurité des données.

Nous espérons que cet article vous a donné une vue d'ensemble des risques et des vulnérabilités liés à la création d'un chatbot sécurisé.

‍