Cet article explique comment maintenir un accès sécurisé aux applications IA dans votre organisation.
L'utilisation d'outils basés sur l'IA augmente la productivité mais présente également de nouveaux défis et risques de sécurité pour votre organisation. Par exemple, les utilisateurs peuvent entrer des données propriétaires dans la version gratuite d'une application IA, ce qui donne au fournisseur de l'application le droit d'utiliser ces informations. Des acteurs malveillants pourraient interroger le LLM de l'application IA pour extraire les données propriétaires. Alors que le nombre d'applications IA se développe rapidement, les équipes de sécurité doivent relever le défi de savoir quelles applications sont utilisées et où les données sensibles sont partagées.
Pour protéger votre organisation et ses données sensibles tout en permettant une utilisation sécurisée des applications IA, Cato recommande une stratégie en trois parties :
-
Gagner en Visibilité : Comprendre quelles applications IA sont utilisées, qui les utilise et comment elles sont utilisées
-
Contrôler l'Accès : Mettre en place des politiques pour réguler l'accès aux applications IA et mettre en œuvre des mesures de sécurité
-
Protéger les Données : Sauvegarder les informations sensibles en empêchant l'accès ou le partage non autorisés au sein des applications IA
Utiliser une combinaison de fonctionnalités vous permet de mettre en œuvre cette stratégie et de surveiller et sécuriser le trafic des applications IA. Vous pouvez définir des règles de pare-feu Internet pour contrôler l'accès à une catégorie d'applications IA et définir des règles pour des applications IA spécifiques. De plus, définissez la politique de contrôle des applications pour s'assurer que les utilisateurs n'accèdent qu'à votre locataire d'entreprise pour une application IA ou bloquent des actions granulaires, garantissant ainsi la sécurité de vos informations propriétaires. En tant que couche de protection supplémentaire, vous pouvez configurer la politique de contrôle des données pour empêcher le transfert de données sensibles vers les applications IA.
Connaître et comprendre les risques associés aux applications IA utilisées au sein de votre organisation peut prévenir les risques de fuite de données, les violations de conformité et les vulnérabilités potentielles de sécurité. Comprendre quelles applications IA sont utilisées, qui les utilise et comment elles interagissent avec les données sensibles vous permet d'appliquer des politiques, de réduire les menaces et de garantir une adoption responsable de l'IA. La visibilité aide également à évaluer les risques potentiels des applications IA, à maintenir la gouvernance et à aligner l'utilisation de l'IA sur le cadre de sécurité de votre organisation.
Le tableau de bord GenAI Apps et le catalogue d'apps vous offrent visibilité et compréhension des applications IA utilisées dans votre environnement.
Le tableau de bord GenAI Apps offre une visibilité centralisée et complète sur l'utilisation en ligne des applications GenAI, y compris l'IA de l'ombre. Le tableau de bord détaille quelles applications IA sont utilisées dans votre organisation, et par qui, et suit toutes les interactions utilisateur et le partage de données sensibles. Avec la visibilité fournie par le tableau de bord GenAI Apps, vous pouvez prévenir de manière proactive les violations de données en identifiant les risques. Pour plus d'informations, voir Utilisation du Tableau de Bord GenAI Apps.
Le catalogue d'applications contient un large éventail d'informations de sécurité, de conformité et générales pour des centaines d'applications et services IA. Cela inclut la fourniture de toutes les informations nécessaires pour effectuer TPRM (gestion des risques de tiers) afin d'évaluer le risque d'utilisation de cette application. Vous pouvez utiliser le catalogue pour en savoir plus sur une application et décider de la manière de l'utiliser dans votre organisation. Pour plus d'informations, voir Utilisation du Catalogue d'Applications.
Audit des Activités vous offre une visibilité hors bande de toutes les activités réalisées par tout utilisateur dans une application SaaS connectée, même si un utilisateur n'est pas connecté au nuage Cato. Microsoft Copilot et ChatGPT peuvent être intégrés à Cato pour vous offrir une visibilité des chats et des données partagées avec ces applications. Pour plus d'informations, voir Qu'est-ce que le Contrôle des Applications via API avec Activités des Applications.
La société ABC examine le tableau de bord GenAI Apps et identifie un outil d'analyse de code inconnu piloté par l'IA. Ils recherchent l'application dans le catalogue d'applications et découvrent que l'application a un score de risque de 6. Pour éviter le risque de divulgation d'informations sensibles, ils créent un rôle de contrôle des applications pour bloquer l'accès à l'application.
Sans contrôles d'accès appropriés, les utilisateurs peuvent accidentellement entrer des informations confidentielles dans des modèles IA, entraînant des fuites de données ou des violations réglementaires. De plus, des applications IA non validées pourraient introduire des vulnérabilités de sécurité, exposer du code propriétaire ou générer du contenu trompeur ou nuisible. En appliquant des politiques d'accès strictes, vous pouvez garantir que seuls les utilisateurs autorisés utilisent des outils IA autorisés, minimisant les risques tout en permettant l'adoption de l'IA.
Cato maintient 8 catégories système pour les applications IA en plus de la catégorie générale Outils IA Génératifs. Elles peuvent être utilisées dans le pare-feu Internet pour contrôler l'accès à une catégorie d'applications IA, par exemple, les assistants de code, ou pour les applications IA les plus populaires, y compris ChatGPT, AgentGPT, Google Bard, Elicit IA, MagicPen IA, Poe IA, OpenAI, et plus.
Vous pouvez également définir des règles pour des applications IA ou catégories d'applications spécifiques. Par exemple, après avoir créé une règle qui bloque le trafic vers la catégorie Outils IA Génératifs, vous pouvez créer une règle de priorité supérieure qui permet le trafic vers ChatGPT pour un groupe spécifique d'utilisateurs qui ont besoin d'accès. Pour plus d'informations, voir Qu'est-ce que le Pare-feu Internet de Cato ?.
L'exemple suivant de règles de pare-feu Internet permet au groupe d'utilisateurs Équipe de recherche d'accéder à ChatGPT, tout en bloquant tout autre accès à la catégorie Outils IA Génératifs :
La politique de contrôle des applications vous permet de contrôler de manière granulée l'accès aux applications en fonction de critères spécifiques, tels que le score de risque d'une application ou son niveau de conformité. Pour plus d'informations sur la configuration des règles de contrôle des applications, voir Gestion de la Politique de Contrôle des Applications.
Pour éviter l'exposition d'informations propriétaires dans le niveau gratuit d'une application, vous pouvez créer des règles dans la politique de contrôle des applications qui empêchent les utilisateurs d'accéder à des comptes privés, et n'autoriser l'accès qu'à votre locataire d'entreprise. Par exemple, vous pouvez définir des règles pour l'application OpenAI qui autorisent uniquement l'activité de connexion à votre locataire d'organisation, et bloquer toutes les autres connexions (par exemple, connexion avec une adresse e-mail privée).
Ci-dessous se trouve une base de règles d'exemple où la première règle permet la connexion à OpenAI pour les noms d'utilisateurs incluant le domaine d'entreprise, puis les règles suivantes bloquent toutes les connexions à OpenAI via l'authentification directe et tierce.
Pour plus de granularité, pour certaines applications, vous pouvez équilibrer la sécurité avec la productivité en permettant aux utilisateurs d'accéder à une application nécessaire tout en bloquant des activités risquées. Pour cela, vous pouvez créer des règles dans la politique de contrôle des applications, qui incluent des activités granulaires. Par exemple, vous pouvez autoriser l'accès à Wordtune, mais empêcher les utilisateurs de télécharger des fichiers.
ChatGPT offre une fonctionnalité de chat temporaire conçue pour améliorer la confidentialité de l'utilisateur. Selon OpenAI, ces discussions n'apparaissent pas dans l'historique de l'utilisateur, ne sont pas stockées en mémoire et ne sont pas utilisées pour entraîner des modèles. Cependant, cette mesure de sauvegarde de la confidentialité est désactivée par défaut. À moins que les utilisateurs ne l'activent manuellement, toutes les interactions sont enregistrées, posant un risque potentiel pour une utilisation professionnelle.
La politique de contrôle des applications peut détecter si les utilisateurs sont dans un chat temporaire et peut bloquer le trafic lorsqu'ils ne le sont pas. Cela permet aux organisations de donner aux utilisateurs l'accès à ChatGPT tout en s'assurant que les données sensibles ne sont pas divulguées par inadvertance.
Les applications GenAI traitent souvent les entrées utilisateur d'une manière qui pourrait entraîner une fuite de données, comme le partage involontaire de code propriétaire, d'informations personnelles identifiables (PII) ou de données commerciales confidentielles. Le service DLP de Cato analyse le contenu et applique des politiques dans une application IA pour vous aider à empêcher les utilisateurs de compromettre des données sensibles lorsqu'ils utilisent l'application. En créant des règles DLP pour les applications GenAI, vous pouvez appliquer des politiques qui détectent et bloquent les données sensibles d'être entrées dans les modèles IA.
Le service DLP de Cato utilise des dizaines de modèles capables de détecter des données sensibles dans le flux de trafic en utilisant des techniques avancées. Cela inclut des catégories telles que Finance, Légal, RH, Immigration et Médical. En outre, DLP inclut également des types de données à utiliser avec les applications GenAI. Par exemple, le profil de données PII inclut des types de données tels que les informations de carte de crédit et les permis de conduire. Cela vous permet de créer une politique granulaire qui ne s'applique qu'aux données sensibles pertinentes et empêche leur utilisation dans une application IA.
Si les profils de données prédéfinis peuvent fournir vos propres fichiers/données pour entraîner un modèle ML personnalisé. Les moteurs IA avancés apprennent à partir de cette entrée, déduisent le contexte et détectent ensuite les données sensibles dans le même domaine.
Pour plus d'informations, voir Travailler avec des Types de Données Personnalisés pour DLP.
Note
Note : Cette fonctionnalité est disponible par défaut pour les comptes créés après le 25 mars 2025. Pour les comptes créés avant cette date, vous pouvez créer manuellement les types de données. Pour plus d'informations, voir Recommended DLP Configuration to Monitor AI Apps.
La Politique de Contrôle des Applications et DLP inclut des règles prédéfinies recommandées par Cato. Ces règles incluent celles pour protéger vos applications IA. Par défaut, DLP surveille et crée des événements pour les types de données suivants étant téléchargés sur les outils GenAI :
-
PII
-
Données financières
-
Clés d'accès & jetons
-
Données légales
La société ABC signe un accord pour s'abonner à une nouvelle application SaaS. Ils reçoivent le contrat à signer et un utilisateur le télécharge dans le niveau gratuit d'une application GenAI à haut risque pour le réviser et le résumer. La règle DLP prédéfinie crée un événement pour alerter l'équipe de sécurité de cette violation de politique.
0 commentaire
Cet article n'accepte pas de commentaires.