Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

New RFP Template for AI Usage Control and AI Governance 

3 minute de lecture

Mis à jour :

Guide pour l’Évaluation des Solutions de Contrôle de l’Usage de l’IA et de Gouvernance IA

Un nouveau guide d’appel d’offres (RFP) a été publié pour aider les organisations à évaluer et à mettre en œuvre des solutions de gouvernance de l’intelligence artificielle (IA). Face à l’adoption croissante de l’IA dans les entreprises et à la prolifération des outils associés, de nombreuses entreprises se retrouvent démunies pour choisir les bonnes solutions de sécurité IA. Ce guide propose une approche structurée pour passer d’objectifs vagues de sécurité IA à des critères de projet spécifiques et mesurables.

Points Clés :

  • Transition de la Sécurité Applicative à la Gouvernance des Interactions : L’article soutient qu’une approche centrée sur la gestion des applications individuelles est inefficace face à la rapidité d’innovation des outils IA. La véritable sécurité réside dans la gouvernance des interactions, c’est-à-dire le moment précis où un utilisateur interagit avec une IA (ex: saisie d’un prompt, téléversement d’un fichier). Cette approche est “agnostique” aux outils spécifiques utilisés.
  • Limites des Outils de Sécurité Existants : Les solutions de sécurité actuelles, telles que les CASB ou SSE, peuvent offrir des fonctionnalités de sécurité IA limitées, souvent basées sur une visibilité au niveau réseau, qui sont insuffisantes pour les interactions se déroulant dans des navigateurs ou des plugins cryptés.
  • Cadre de Gouvernance en 8 Piliers : Le guide propose un système de notation technique sur huit domaines essentiels pour une gouvernance IA mature :
    1. Découverte et Couverture de l’IA : Visibilité sur les navigateurs, SaaS, extensions et IDE.
    2. Conscience Contextuelle : Compréhension de l’identité de l’utilisateur et de l’objectif de la requête.
    3. Gouvernance des Politiques : Possibilité de bloquer les informations personnelles identifiables (PII) tout en autorisant des usages bénins.
    4. Application en Temps Réel : Blocage des fuites de données avant la fin de l’interaction.
    5. Auditabilité : Génération de rapports conformes pour la direction.
    6. Adéquation Architecturale : Déploiement rapide et sans perturbation du réseau.
    7. Déploiement et Gestion : Assurer une charge de travail minimale pour le personnel informatique.
    8. Anticipation de l’Évolution de l’Éditeur : Préparation aux flux de travail autonomes et pilotés par des agents.
  • Focus sur les Contrôles Applicables et Mesurables : L’objectif est d’obtenir des réponses détaillées de la part des fournisseurs, expliquant le “comment” de leurs solutions, et pas seulement des réponses binaires. Cela permet une comparaison basée sur des scores pour évaluer la gestion des risques réels comme les injections de prompts ou les environnements BYOD non gérés.

Vulnérabilités (Non Spécifiquement Mentionnées avec des CVEs dans l’article) :

  • Mauvaise gestion des données sensibles lors de l’utilisation d’IA.
  • Problèmes de conformité dus à l’utilisation non contrôlée d’outils IA.
  • Risques liés aux “Shadow AI” (outils IA non approuvés par l’IT).
  • Incapacité des outils de sécurité traditionnels à inspecter les interactions IA au point d’interaction.
  • Vulnérabilités potentielles dans les nouveaux navigateurs et extensions IA.

Recommandations :

  • Utiliser le guide RFP pour définir des exigences précises avant que le marché ne dicte les standards.
  • Standardiser l’évaluation des solutions de sécurité IA.
  • Accélérer la recherche de fournisseurs.
  • Permettre une adoption sécurisée de l’IA qui évolue avec l’entreprise.
  • Se concentrer sur la gouvernance des interactions plutôt que sur la gestion exhaustive des applications.
  • Exiger des fournisseurs qu’ils démontrent la capacité à détecter l’usage de l’IA dans des contextes comme le mode incognito, des navigateurs IA natifs, et la distinction entre identités professionnelles et personnelles au sein d’une même session.

Source

Vous pourriez aimer