Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

The Buyer’s Guide to AI Usage Control

3 minute de lecture

Mis à jour :

Maîtriser l’Utilisation de l’IA en Entreprise

L’adoption massive de l’intelligence artificielle (IA) dans les flux de travail d’entreprise, via des plateformes SaaS, des navigateurs, des copilotes et des outils émergents, a créé un décalage significatif avec les contrôles de sécurité traditionnels. Ces derniers, souvent basés sur la gestion du réseau ou la prévention des pertes de données (DLP), s’avèrent insuffisants pour appréhender les interactions réelles avec l’IA. La problématique n’est pas tant un problème de données ou d’applications, mais un problème d’interactions.

Le contrôle de l’utilisation de l’IA (AI Usage Control - AUC) représente une nouvelle catégorie de sécurité axée sur la gouvernance des interactions avec l’IA en temps réel. Il vise à offrir une visibilité et un contrôle complets sur l’usage de l’IA, allant au-delà de la simple identification des outils utilisés. L’objectif est de comprendre qui utilise l’IA, comment, via quels outils, quelles sont les identités impliquées, et dans quelles conditions.

Les approches traditionnelles, telles que l’intégration de l’AUC dans les CASB ou SSE, la dépendance à la seule visibilité réseau, ou une focalisation excessive sur la détection sans mise en application, conduisent à des postures de sécurité incomplètes. L’AUC efficace repose sur la découverte de tous les points de contact avec l’IA, la compréhension contextuelle des interactions en temps réel (prompts, actions, téléchargements, sorties), l’identification des utilisateurs et l’évaluation du contexte de la session (posture de l’appareil, localisation), et enfin, le contrôle adaptatif basé sur les risques.

Points Clés :

  • Problème d’Interaction : La sécurité de l’IA est un problème d’interactions, pas de données ou d’applications.
  • Décalage de Visibilité : L’adoption de l’IA a dépassé la visibilité et le contrôle de sécurité.
  • Gouvernance Centrée sur l’Interaction : L’AUC est une nouvelle couche de gouvernance axée sur le moment de l’interaction avec l’IA.
  • Approche en Quatre Étapes : Découverte, Conscience de l’Interaction, Identité et Contexte, Contrôle en Temps Réel.
  • Considérations Techniques et Opérationnelles : Facilité de déploiement, expérience utilisateur et évolutivité sont cruciales.

Vulnérabilités (non spécifiées avec CVE dans l’article) :

  • L’utilisation d’identités multiples (corporatives et personnelles) dans la même session.
  • Les flux de travail “agentiques” qui enchaînent des actions entre plusieurs outils sans attribution claire.
  • L’absence d’inventaire fiable de l’utilisation de l’IA et de contrôle sur les prompts, les téléchargements, les identités et les actions automatisées.
  • Les outils “fantômes” (shadow AI) qui échappent à la visibilité et au contrôle.
  • Les extensions de navigateur et les applications natives de l’IA, souvent ignorées par les contrôles traditionnels.

Recommandations :

  • Adopter une approche d’AUC (AI Usage Control) qui gouverne les interactions en temps réel.
  • Implémenter une découverte complète de tous les points de contact avec l’IA, y compris les applications “fantômes”.
  • Se concentrer sur la compréhension des actions réelles des utilisateurs avec l’IA, et pas seulement sur les outils utilisés.
  • Lier les interactions IA aux identités réelles et évaluer le contexte de la session pour appliquer des politiques adaptatives.
  • Privilégier des solutions d’AUC qui permettent un contrôle en temps réel (rédaction, avertissements, contournement, garde-fous) sans bloquer les flux de travail légitimes.
  • Choisir des solutions qui s’intègrent facilement dans les architectures existantes sans nécessiter des modifications complexes ou des agents lourds.
  • Évaluer les solutions sur leur réduction de la charge opérationnelle, leur impact sur l’expérience utilisateur et leur capacité à s’adapter aux évolutions futures de l’IA.

Source

Vous pourriez aimer