Les organisations déploient rapidement des agents IA, des copilotes, des assistants, des flux de travail autonomes et des applications basées sur l'IA.
La plupart savent quels outils d'IA ils ont achetés.
Beaucoup moins nombreux sont ceux qui savent quelles identités d'IA ces outils ont créées.
Avec l'accélération de l'adoption de l'IA, les équipes de sécurité sont confrontées à un défi croissant : elles ne peuvent pas gouverner les systèmes d'IA qu'elles ne peuvent pas identifier.
La constitution d'un inventaire d'identités IA devient l'un des fondements les plus importants pour Gouvernance de l'identité IA, la sécurité de l'IA et la gestion des risques liés à l'IA.
Création d'un inventaire d'identités IA : points clés à retenir
- La gouvernance de l'IA commence par l'inventaire. Les organisations ne peuvent pas gouverner des systèmes d'IA qu'elles ne peuvent ni identifier, ni suivre, ni surveiller.
- Les identités IA deviennent une nouvelle catégorie d'identité d'entreprise. Les agents IA, les copilotes, les flux de travail autonomes et les applications basées sur l'IA sont de plus en plus utilisés dans les environnements d'entreprise.
- La plupart des risques liés à l'IA proviennent d'un accès hérité. Les systèmes d'IA obtiennent souvent des autorisations via des applications, des API, des comptes de service, des identités de machines et des rôles d'utilisateurs.
- Un inventaire basé sur l'IA devrait aller au-delà du simple suivi des actifs. La propriété, les autorisations, l'activité et l'exposition des données sensibles fournissent le contexte nécessaire à la gouvernance.
- La prolifération des identités générées par l'IA s'accélère. Gartner prévoit que 401 000 000 applications d'entreprise incluront des agents d'IA spécifiques à une tâche d'ici 2026, ce qui augmentera considérablement le nombre d'identités alimentées par l'IA que les organisations doivent gérer.
- Les inventaires d'IA les plus efficaces relient les identités aux données. Comprendre ce à quoi l'IA peut accéder aide les équipes de sécurité à prioriser les risques et les mesures correctives.
Pourquoi les inventaires d'IA deviennent soudainement essentiels
Pendant des années, les organisations ont tenu des inventaires pour :
- Applications
- Appareils
- Ressources cloud
- Ressources de données
- Identités humaines
- Identités des machines
L'IA introduit un nouveau défi en matière de gestion des stocks.
Les systèmes d'IA agissent de plus en plus pour le compte des utilisateurs, interagissent avec les applications, accèdent à des informations sensibles et exécutent des flux de travail dans les environnements d'entreprise.
À mesure que l'adoption de l'IA se développe, les organisations ont besoin de visibilité sur :
- Quels systèmes d'IA existent ?
- Quelles identités d'IA existent ?
- À qui appartiennent-ils ?
- Quelles autorisations ont-ils héritées ?
- Quels systèmes accèdent-ils ?
- Quelles données peuvent-ils atteindre ?
- Quelles actions peuvent-ils effectuer
Sans cette visibilité, la gouvernance devient réactive plutôt que proactive.
Le nouveau problème : la prolifération des identités liées à l’IA
De nombreuses organisations sont déjà confrontées à la prolifération de leurs identités.
L'IA introduit une couche supplémentaire.
Selon Gartner, 40% D’ici 2026, on prévoit que les applications d’entreprise incluront des agents d’IA spécifiques à une tâche, contre moins de 51 TP3 TP aujourd’hui.
Dans le même temps, Gartner prévoit que 33% D'ici 2028, la plupart des applications logicielles d'entreprise intégreront une IA agentive.
Chaque déploiement d'IA introduit de nouvelles nouveautés :
- Agents
- Assistants
- Copilotes
- Flux de travail autonomes
- Applications utilisant l'IA
- Intégrations de services
Chacune peut potentiellement fonctionner comme une identité.
Contrairement aux logiciels traditionnels, ces systèmes héritent souvent d'autorisations, accèdent à des données sensibles et effectuent des actions dans différents environnements d'entreprise.
Il en résulte une population en expansion rapide d'identités alimentées par l'IA que de nombreuses organisations ne sont pas encore en mesure de recenser intégralement.
Qu’est-ce qu’un inventaire d’identité IA ?
Un inventaire des identités IA sert de base opérationnelle à la gouvernance des identités IA en fournissant un registre constamment mis à jour des identités alimentées par l'IA et des risques associés.
Contrairement à un inventaire traditionnel des actifs d'IA, un inventaire d'identité d'IA se concentre sur la manière dont les systèmes d'IA interagissent avec les ressources de l'entreprise.
Un inventaire mature comprend :
Identité IA
Le système d'IA lui-même.
Exemples :
- Agents d'intelligence artificielle
- Copilotes
- Flux de travail autonomes
- Applications alimentées par l'IA
En savoir plus sur Identités IA et en quoi elles diffèrent des identités humaines et des identités de machines.
Possession
Qui est responsable du système d'IA ?
La propriété contribue à instaurer la responsabilité et la gouvernance.
Autorisations
De quels accès dispose l'identité de l'IA ?
Voies d'accès
Comment le système d'IA a-t-il obtenu cet accès ?
Activité
Quelles actions effectue l'identité IA ?
Exposition aux données sensibles
Quelles informations réglementées, confidentielles ou essentielles à l'activité de l'entreprise l'IA peut-elle consulter ?
Le déficit d'inventaire en IA que la plupart des organisations ignorent
De nombreuses organisations se concentrent sur la découverte en IA.
La découverte est importante.
Mais la découverte à elle seule ne crée pas de gouvernance.
Le véritable défi réside dans le contexte.
Un inventaire qui se contente de recenser les outils d'IA ne peut répondre à la question suivante :
- Quels systèmes d'IA créent des risques ?
- Quelles identités d'IA disposent de permissions excessives ?
- Quels agents d'IA peuvent accéder aux données clients ?
- Quelles identités d'IA sont dépourvues de propriétaire ?
- Quels systèmes d'IA nécessitent une correction ?
Un inventaire efficace des identités d'IA relie les identités d'IA aux autorisations, à la propriété, à l'activité et à l'exposition des données sensibles.
Les cinq composantes essentielles d'un inventaire d'identité IA
1. Découverte de l'IA
Identifier les systèmes basés sur l'IA fonctionnant au sein de l'organisation.
2. Cartographie identitaire
Connecter les systèmes d'IA aux identités numériques.
3. Attribution de propriété
Établir la responsabilité de chaque identité d'IA.
4. Analyse des autorisations
Comprendre les permissions et les droits d'accès hérités.
5. Contexte des données
Déterminer les données sensibles auxquelles chaque identité d'IA peut accéder via Gouvernance de l'accès à l'IA et l'analyse des risques basée sur les données.
Pourquoi les inventaires d'identité IA diffèrent des inventaires d'actifs
Qu'est-ce qui existe ?
Les inventaires d'identité de l'IA répondent à :
Qu’est-ce qui existe, à quoi peut-il accéder et quels risques engendre-t-il ?
Cette distinction devient de plus en plus importante à mesure que les systèmes d'IA gagnent en autonomie.
Une étude récente de Gartner met en garde contre les organisations absence de gouvernance efficace de l'IA Il se pourrait qu'ils soient contraints de revenir sur les déploiements d'agents d'IA en raison de défaillances de gouvernance.
La visibilité devient une condition préalable à la gouvernance.
Identités IA, identités machines et identités humaines
L'un des défis émergents est le chevauchement des identités.
Les identités IA reposent souvent sur :
- Identités humaines
- Comptes de service
- Apis
- Certificats
- Identités des machines
Les études sectorielles montrent Les identités non humaines sont déjà plus nombreuses que les identités humaines. et ce, avec des écarts importants dans de nombreuses organisations. Une étude récente de la Cloud Security Alliance a révélé que ratio médian de 45 identités de machines pour chaque identité humaine.
L'adoption de l'IA introduit une nouvelle couche d'identité.
À mesure que les agents d'IA se généralisent, les organisations ont de plus en plus besoin de modèles de gouvernance qui relient les identités humaines, machines et IA dans un cadre de risque unique.
Création d'un inventaire d'identités IA : un cadre pratique
Étape 1 : Découvrir les systèmes d’IA
Identifier les agents IA, les copilotes, les assistants et les applications utilisant l'IA.
Étape 2 : Inventaire des identités IA
Créer un inventaire centralisé.
Étape 3 : Établir la propriété
Désigner des responsables.
Étape 4 : Autorisations cartographiques
Comprendre l'accès hérité.
Étape 5 : Connecter les données sensibles
Identifier l'exposition des données.
Étape 6 : Prioriser les risques
Concentrez-vous sur les identités IA qui offrent la plus grande visibilité.
Étape 7 : Surveillance continue
Les environnements d'IA évoluent constamment.
Les stocks doivent évoluer avec eux.
Comment BigID contribue à la création d'un inventaire d'identités IA
Les organisations ne peuvent pas gérer les identités IA, l'accès à l'IA ou les risques liés à l'IA tant qu'elles n'ont pas établi une visibilité sur les identités alimentées par l'IA opérant dans leur environnement.
BigID aide les organisations à découvrir, inventorier et gouverner les identités d'IA dans les environnements cloud, SaaS, d'IA et hybrides.
Avec BigID, les organisations peuvent :
- Découvrez les agents et copilotes IA
- Constituer un inventaire centralisé des identités IA
- Comprendre les permissions héritées
- Établir la propriété
- Associer les identités IA à des données sensibles
- Identifier l'accès excessif à l'IA
- Prioriser les risques liés à l'identité de l'IA
- Soutenir les programmes de gouvernance de l'identité IA
BigID relie les points entre les identités, les autorisations, l'activité et les données sensibles des IA pour aider les organisations à gouverner leurs systèmes d'IA en toute confiance.
FAQ sur l'inventaire des identités IA
Qu’est-ce qu’un inventaire d’identité IA ?
Un inventaire d'identités IA est un registre centralisé des identités alimentées par l'IA, de leur propriétaire, de leurs autorisations, de leur activité et de l'exposition de leurs données sensibles.
Pourquoi les organisations ont-elles besoin d'un inventaire d'identités basé sur l'IA ?
Les organisations ont besoin de visibilité sur les identités des IA avant de pouvoir gérer efficacement les risques, les accès et les exigences de conformité liés à l'IA.
Que doit contenir un inventaire d'identité IA ?
Les inventaires d'IA doivent au minimum inclure les identités des IA, leur propriété, leurs autorisations, leurs voies d'accès, leur activité et l'exposition des données sensibles.
En quoi un inventaire d'identités IA diffère-t-il d'un inventaire d'actifs IA ?
Les inventaires d'actifs portent sur les outils et systèmes d'IA. Les inventaires d'identités d'IA portent sur les identités, les autorisations et les risques associés à ces systèmes.
Comment la gouvernance des identités par IA soutient-elle la gestion des stocks ?
La gouvernance des identités IA aide les organisations à découvrir les identités IA, à établir la propriété, à analyser les autorisations et à surveiller en continu les risques liés à l'IA.
À quelle fréquence les organisations doivent-elles mettre à jour leur inventaire d'identités IA ?
Les inventaires d'identité des IA doivent être mis à jour en continu à mesure que les organisations déploient de nouveaux agents IA, copilotes, flux de travail autonomes et applications basées sur l'IA. Une surveillance continue permet de garantir l'exactitude des informations relatives à la propriété, aux autorisations et à l'exposition des données sensibles.
Intégrer la visibilité dans chaque identité IA
La gouvernance de l'IA commence par l'identification des identités d'IA existantes, des autorisations dont elles disposent et des données sensibles auxquelles elles peuvent accéder. BigID aide les organisations à découvrir, inventorier et gouverner les identités d'IA à l'échelle de l'entreprise.
Auteur
