Les données étant au cœur de toute entreprise hautement performante et mature, les outils d'IA tels que Microsoft Copilot et Gemini mettent en évidence les vulnérabilités dans la gestion des informations sensibles. Ces technologies étant intégrées dans les flux de travail quotidiens, le risque accru de surexposition des informations sensibles ne peut être ignoré. Une évaluation des risques liés aux données d'IA constitue votre première ligne de défense, garantissant la protection des données sensibles dès le départ tout en exploitant la puissance de l'automatisation.
 

Qu'est-ce qu'une évaluation des risques liés aux données IA ?

Une évaluation des risques liés aux données IA permet aux organisations d'identifier et de protéger efficacement les informations sensibles tout en continuant à adopter des outils IA tels que Copilot. Elle comprend principalement la découverte automatisée des données, leur classification, la surveillance des accès et l'application des politiques. Elle permet de comprendre le contenu de votre patrimoine de données, fournit des informations sur les flux de données lors des interactions IA entre les plateformes et soutient les efforts d'atténuation des risques.

Compte tenu de la vulnérabilité accrue des données stockées en ligne et accessibles à l'IA, les organisations sont de plus en plus sensibles aux risques de fuite de données. Qu'il s'agisse d'informations confidentielles, de dossiers d'employés ou de données commerciales exclusives, sans contrôles appropriés, les outils d'IA peuvent involontairement exposer ces informations sur diverses plateformes par le biais d'invites, de réponses ou d'intégrations avec des plateformes externes.

Minimiser les risques liés aux données consiste à contrôler les informations sensibles au sein de l'organisation, à savoir où ces données sont stockées et à comprendre qui y a accès. Les évaluations des risques doivent également tenir compte des outils et intégrations d'IA tiers, en fournissant des informations sur les flux de données échappant au contrôle direct de l'organisation. Parmi les exemples spécifiques, citons les données personnelles, les dossiers financiers et les informations réglementées telles que celles relatives à l'industrie des cartes de paiement (PCI) ou les informations personnelles identifiables (PII). À mesure que l'IA progresse, de nombreuses organisations jonglent avec plusieurs outils à la fois pour effectuer différentes tâches. Au sein de chaque plateforme, les données sont stockées et accessibles, et donc vulnérables à l'exposition. La réalisation d'évaluations des risques liés aux données d'IA permet aux organisations d'anticiper les domaines d'exposition et les risques réglementaires, établissant ainsi un cadre solide pour un déploiement responsable de l'IA.

Les entreprises ne protègent-elles pas déjà les données sensibles ?

Si de nombreuses organisations ont mis en place des protocoles de sécurité des données actifs, les outils traditionnels de protection des données tels que la prévention des pertes de données (DLP) et la gestion des risques internes (IRM) ont été conçus pour les e-mails, le partage de fichiers et les plateformes de collaboration. L'IA introduit de nouveaux vecteurs d'exposition des données que ces outils n'ont pas été conçus pour gérer de manière autonome. Il est donc nécessaire de surveiller les technologies d'IA, qu'elles se trouvent au sein de l'écosystème de données ou à l'extérieur.

Microsoft propose Data Security Posture Management for AI (DSPM for AI) en tant que composant de Microsoft Purview. Cette solution peut être utilisée conjointement avec les stratégies de prévention des pertes de données (DLP) et de gestion des risques internes (IRM). Elle examine les ensembles de données à la recherche de vulnérabilités potentielles et fournit des recommandations basées sur son analyse. DSPM pour l'IA permet aux organisations d'observer et de gérer le flux de données entre les applications d'IA et les systèmes internes. Grâce à son intégration avec DLP et IRM, DSPM pour l'IA offre des capacités de surveillance de l'IA uniques et prend en charge l'application des politiques dans les environnements traditionnels et d'IA.

Pour les équipes juridiques, cela signifie qu'elles peuvent obtenir une visibilité sur la manière dont les données sensibles sont consultées, partagées ou utilisées dans les interactions avec l'IA sans avoir à remanier leur infrastructure de sécurité existante.

Adapter les contrôles des risques liés aux données IA à votre organisation

Les classificateurs sont des règles ou des modèles qui détectent les informations sensibles dans l'ensemble des données d'une organisation. DSPM for AI permet aux utilisateurs de personnaliser les classificateurs afin de refléter le profil de risque unique de leur organisation, tout en créant des politiques par défaut basées sur des analyses.

Les services juridiques et de conformité peuvent travailler avec les équipes informatiques et de sécurité pour ajuster les classificateurs en fonction des obligations réglementaires, des exigences de confidentialité ou des politiques internes de prévention des risques. Vous pouvez modifier les types d'informations existants, créer des classificateurs personnalisés et les appliquer à votre politique DSPM, le tout à partir d'un portail centralisé.

Cette flexibilité garantit que les contrôles des risques liés à l'IA ne sont pas uniformisés. Au contraire, ils évoluent en fonction des besoins et des obligations légales et réglementaires de chaque organisation.

Utilisation des recommandations intégrées de Microsoft pour les classificateurs

Pour les organisations qui ne savent pas par où commencer, Microsoft propose des recommandations automatisées de classificateurs basées sur l'analyse du trafic en temps réel. Ces recommandations permettent d'identifier les comportements à haut risque, tels que le téléchargement de données sensibles sur des sites d'IA ou la soumission d'invites susceptibles d'exposer des informations confidentielles.

La possibilité d'associer des outils tels que DSPM pour l'IA à d'autres offres Microsoft telles que DLP permet aux utilisateurs de mettre en œuvre des flux de travail efficaces dans un système unifié tout en garantissant la sécurité des données.

Cadre de gouvernance de l'IA : ramper, marcher, courir

Les organisations peuvent utiliser un modèle « ramper, marcher, courir » pour déployer de nouvelles politiques auprès des parties prenantes. Le processus comprend :

• Rampement : déployer les politiques en mode audit pour observer les comportements sans les appliquer.
• Marche : surveiller et alerter les parties prenantes lorsqu'elles ont enfreint une nouvelle politique, mais ne pas bloquer le comportement.
• Course : appliquer les politiques pour bloquer les actions risquées et garantir la conformité.

Cette approche par étapes permet aux organisations de trouver un équilibre entre sécurité et facilité d'utilisation, en évitant les perturbations tout en mettant en place un cadre stratégique de gouvernance de l'IA. Chaque étape doit être étayée par des indicateurs tels que les taux de violation des politiques, l'adoption par les utilisateurs et les délais de réponse aux incidents afin de guider la progression et de garantir la responsabilité. Le cadre doit être adaptable en fonction des profils de risque. Les cas d'utilisation à haut risque peuvent nécessiter une progression plus rapide vers l'application, tandis que les domaines à faible risque peuvent rester plus longtemps en mode audit.

Ce que les équipes juridiques et de conformité gagnent à réaliser une évaluation des risques

La réalisation d'une évaluation des risques liés aux données d'IA à l'aide du DSPM pour l'IA offre plusieurs avantages qui permettent d'aborder de manière proactive la gouvernance de l'IA. Elle permet un déploiement rapide avec une configuration minimale, empêche les fuites de données dans les invites et les réponses de l'IA, surveille les comportements contraires à l'éthique et fournit une aide à la conformité réglementaire avec des cadres tels que le RGPD, l'HIPAA, le NIST et le RMF. DSPM for AI prend également en charge l'application des politiques en permettant des contrôles de gouvernance automatisés et des pistes d'audit pour les interactions IA. Il offre des capacités de surveillance et d'alerte en temps réel qui aident les équipes à réagir rapidement en cas d'utilisation abusive potentielle des données ou de violation des politiques, et favorise la collaboration entre les équipes juridiques, de gestion des risques, de conformité, de sécurité et de données afin de garantir une gouvernance unifiée dans toutes les initiatives IA. Ces capacités garantissent que l'innovation ne se fait pas au détriment de la conformité ou de la confidentialité.

Protection des données lors de l'utilisation d'outils IA tiers

Alors que Copilot est entièrement pris en charge en natif dans Purview, la couverture des outils d'IA tiers peut être gérée à l'aide de connecteurs ou en intégrant le SDK Purview dans des applications d'IA développées sur mesure. Microsoft s'efforce activement d'étendre la visibilité et le contrôle à d'autres plateformes, offrant ainsi aux organisations une vue plus complète des risques liés à la mise en œuvre de l'IA, tels que la divulgation involontaire d'informations sensibles, l'absence de pistes d'audit ou la non-conformité aux lois juridictionnelles en matière de confidentialité des données. Ce manque de visibilité expose les organisations à des risques qui ne sont pas couverts par le cadre de gouvernance de Microsoft. Pour combler cette lacune, les équipes juridiques et informatiques doivent envisager des solutions complémentaires qui étendent la surveillance et l'application des politiques à toutes les IA utilisées. Une approche prospective permet aux organisations de garder une longueur d'avance sur les risques émergents à mesure que ces outils continuent de se développer. Les équipes juridiques doivent collaborer de manière proactive avec les parties prenantes informatiques et de gouvernance afin de définir des politiques d'utilisation acceptables et de mettre en œuvre des outils de surveillance qui s'étendent au-delà des écosystèmes Microsoft.

Un risque élevé implique une grande responsabilité

L'évaluation des risques liés aux données d'IA n'est pas seulement une préoccupation informatique, c'est aussi une priorité juridique et réglementaire. En intégrant des outils tels que DSPM pour l'IA dans leur stratégie de gouvernance, les organisations protègent les données sensibles, garantissent la conformité réglementaire et favorisent l'adoption responsable de l'IA. Avant de vous lancer tête baissée dans l'adoption de l'IA, un cadre de gouvernance des données solide vous servira de base pour aller de l'avant en toute confiance.

Manikandadevan Manokaran, consultant senior en sécurité des données, Epiq

Manikandadevan est un consultant obsédé par la satisfaction client qui possède plus de 16 ans d'expérience dans les technologies Microsoft. Il est spécialisé dans la migration vers le cloud, la sécurité et la conformité. Manikandadevan est passionné par l'idée d'aider les organisations à moderniser leurs environnements de données grâce à des solutions d'IA intelligentes.