Les organisations déploient de plus en plus d'agents IA, de copilotes, d'assistants, de flux de travail autonomes et d'applications basées sur l'IA dans les environnements d'entreprise.
Pour fonctionner efficacement, ces systèmes ont besoin d'accès.
Ils ont besoin d'autorisations pour récupérer des informations, accéder à des applications, interroger des bases de données, exécuter des flux de travail, interagir avec des API et effectuer des actions commerciales.
La plupart des organisations comprennent les autorisations pour les utilisateurs humains.
Beaucoup moins nombreux sont ceux qui comprennent comment fonctionnent les autorisations pour l'IA.
Cela crée un défi croissant en matière de gouvernance.
Les systèmes d'IA souvent hériter des permissions Par le biais d'applications, d'API, de comptes de service, d'identités de machines et de rôles d'utilisateurs, les organisations doivent, face à l'accélération de l'adoption de l'IA, comprendre les autorisations dont disposent les systèmes d'IA, comment ils les ont obtenues et quels risques elles engendrent.
Les autorisations d'IA sont devenues l'une des composantes les plus importantes de sécurité de l'IA, Gouvernance de l'identité IAet Gouvernance de l'accès à l'IA.
Explication des autorisations d'IA : points clés à retenir
- Les systèmes d'IA nécessitent des autorisations pour fonctionner. Les agents d'IA, les copilotes, les assistants et les flux de travail autonomes dépendent de l'accès aux applications, aux API, aux systèmes et aux données.
- La plupart des autorisations d'IA sont héritées. Les applications, les comptes de service, les API, les identités des machines et les rôles des utilisateurs déterminent souvent ce à quoi l'IA peut accéder.
- Les autorisations déterminent le risque lié à l'IA. Plus l'accès est étendu, plus le risque d'exposition aux données sensibles et aux systèmes critiques de l'entreprise est important.
- De nombreuses organisations manquent de visibilité sur les autorisations d'IA. Les équipes savent souvent quels outils d'IA existent, mais elles ne peuvent pas expliquer quelles autorisations ces outils possèdent.
- Des autorisations excessives en matière d'IA créent des problèmes de gouvernance. Les systèmes d'IA héritent fréquemment de plus d'accès que nécessaire pour accomplir leur fonction prévue.
- La gouvernance des accès à l'IA aide les organisations à comprendre et à gérer les autorisations d'accès à l'IA. La visibilité sur les autorisations, la propriété, les voies d'accès et l'exposition des données sensibles contribue à réduire les risques liés à l'IA.
Que sont les autorisations d'IA ?
Les autorisations d'IA définissent ce à quoi un système d'IA peut accéder, récupérer, modifier, exécuter ou avec quoi il peut interagir dans les environnements d'entreprise.
À l'instar des utilisateurs humains, des applications et des identités de machines, les systèmes d'IA nécessitent des autorisations pour effectuer des tâches.
Les autorisations peuvent permettre à l'IA de :
- Applications d'accès
- Récupérer les enregistrements
- Lire les documents
- Interroger les bases de données
- Exécuter les flux de travail
- Appeler des API
- Interagir avec les systèmes d'entreprise
- Accès aux données sensibles
Sans autorisation, les systèmes d'IA ne peuvent pas effectuer de travail utile.
La difficulté consiste à déterminer si ces autorisations sont appropriées.
Pourquoi les autorisations d'IA sont importantes
Les autorisations déterminent ce que l'IA peut faire.
Ils déterminent également ce que l'IA peut révéler.
À mesure que les organisations déploient davantage de systèmes d'IA, les autorisations deviennent une source de plus en plus importante de Risque lié à l'IA.
Un agent d'IA ayant accès à la documentation publique ne suscite que peu d'inquiétudes.
Un agent d'IA ayant accès aux dossiers clients, aux systèmes financiers, à la propriété intellectuelle ou aux informations réglementées crée un profil de risque très différent.
Les organisations ont besoin de visibilité sur :
- Quelles autorisations existent ?
- Pourquoi ces autorisations existent-elles ?
- Comment les autorisations ont été accordées
- La question de savoir si les autorisations restent nécessaires
- Quelles autorisations de données sensibles révèlent
Sans cette visibilité, la gouvernance devient difficile.
Comment les systèmes d'IA obtiennent les autorisations
L'une des plus grandes idées fausses concernant la sécurité de l'IA est que les systèmes d'IA reçoivent des autorisations de manière indépendante.
La plupart ne le font pas.
En réalité, les autorisations d'IA sont généralement héritées des systèmes d'entreprise existants.
Applications
De nombreux copilotes IA fonctionnent au sein d'applications d'entreprise qui disposent déjà des autorisations nécessaires.
Exemples :
- Microsoft 365
- Salesforce
- ServiceNow
- Google Workspace
- Mou
L'IA hérite des accès disponibles via l'application.
Apis
Les systèmes d'IA interagissent fréquemment avec les ressources de l'entreprise via des API.
Si une API peut récupérer des informations ou effectuer des actions, l'IA peut hériter de cette capacité.
Comptes de service
De nombreux flux de travail d'IA s'appuient sur des comptes de service pour automatiser les tâches.
Les autorisations attribuées à ces comptes de service deviennent souvent des autorisations d'IA.
Identités des machines
Les systèmes d'IA s'appuient de plus en plus sur les certificats., secrets, jetons, identifiants cloud et identités de charge de travail.
Ces identités de machines déterminent souvent ce à quoi l'IA peut accéder.
Rôles des utilisateurs
Certains assistants IA fonctionnent pour le compte des utilisateurs.
Dans ces environnements, l'IA hérite des autorisations associées à l'utilisateur qui l'invoque.
En savoir plus sur comment les agents d'IA héritent des permissions.
Les différents types d'autorisations d'IA
Toutes les autorisations ne présentent pas le même niveau de risque.
Autorisations de lecture
Autoriser les systèmes d'IA à extraire des informations à partir d'applications, de référentiels, de bases de données ou de documents.
Autorisations d'écriture
Autoriser les systèmes d'IA à modifier des enregistrements, à mettre à jour des informations ou à créer du nouveau contenu.
Autorisations d'exécution
Autoriser les systèmes d'IA à initier des flux de travail, à déclencher des automatisations ou à effectuer des actions.
Autorisations administratives
Fournir un accès privilégié aux systèmes, applications ou environnements.
Autorisations d'accès aux données
Déterminer quelles informations l'IA peut extraire, traiter ou exposer.
Comprendre ces types d'autorisation aide les organisations à hiérarchiser les risques.
Le risque caché des autorisations excessives en matière d'IA
De nombreux systèmes d'IA bénéficient d'un accès plus étendu que nécessaire.
Cela se produit généralement car l'IA hérite des autorisations des systèmes existants.
Exemples :
- Applications avec des autorisations excessives
- Accès étendu aux comptes de service
- Autorisations héritées
- droits administratifs hérités
- Autorisations utilisateur excessives
Il en résulte un accès excessif à l'IA.
Des autorisations excessives augmentent la probabilité de :
- Exposition de données sensibles
- Violations de conformité
- Récupération de données non autorisée
- Perturbation des activités
- Surfaces d'attaque étendues
En savoir plus sur accès excessif et son rôle dans les risques liés à l'IA.
Pourquoi les modifications du contexte des données entraînent-elles des risques liés aux autorisations ?
Les autorisations à elles seules ne déterminent pas le risque.
Les données déterminent le risque.
Un assistant IA ayant accès en lecture aux documents publics ne suscite que peu d'inquiétudes.
Un agent d'IA ayant accès à des données clients réglementées, à la propriété intellectuelle ou à des informations financières engendre une exposition considérablement accrue.
Les organisations ont besoin de visibilité sur :
- Le système d'IA
- Les autorisations qu'elle possède
- Les données sensibles que ces autorisations exposent
Sans contexte de données, les organisations ne peuvent pas hiérarchiser avec précision les risques liés à l'IA.
C’est là que les autorisations d’IA deviennent des décisions de gouvernance basées sur les données.
Autorisations IA vs Identités IA
Ces concepts sont étroitement liés mais non identiques.
Identités IA
Identités IA représentent les systèmes d'IA fonctionnant au sein de l'organisation.
Exemples :
- Agents d'intelligence artificielle
- Copilotes
- Assistants
- Flux de travail autonomes
- Applications utilisant l'IA
Les autorisations évoluent souvent tout au long du cycle de vie d'une identité d'IA. Découvrez comment les organisations peuvent gouverner leurs systèmes d'IA, de leur création à leur mise hors service. Gestion du cycle de vie de l'identité IA.
Autorisations IA
Les autorisations définissent ce à quoi ces identités d'IA peuvent accéder et ce qu'elles peuvent faire.
Réponses d'identité :
Qui ou quoi est le système d'IA ?
Réponse concernant les autorisations :
Que peut faire un système d'IA ?
Les organisations ont besoin de visibilité sur les deux.
Autorisations IA vs Gouvernance d'accès à l'IA
Les autorisations sont fondamentales.
La gouvernance est un processus.
Gouvernance de l'accès à l'IA aide les organisations :
- Découvrez les systèmes d'IA
- Autorisations cartographiques
- Analyser l'accès hérité
- Identifier les autorisations excessives
- Associer les autorisations aux données sensibles
- Prioriser remédiation
Les autorisations créent de la visibilité.
La gouvernance permet de contrôler.
Questions auxquelles les équipes de sécurité doivent répondre
Les organisations ont de plus en plus besoin de réponses à plusieurs questions cruciales.
Quelles sont les autorisations d'IA disponibles ?
Comprendre les accès dont disposent actuellement les systèmes d'IA.
Comment l'IA a-t-elle obtenu ces autorisations ?
Tracer les chemins d'accès hérités à travers les systèmes.
Quelles autorisations sont excessives ?
Identifier les autorisations qui dépassent les besoins de l'entreprise.
Quelles données sensibles l'IA peut-elle accéder ?
Associer les autorisations à l'exposition des données.
Quelles autorisations d'IA exposent des données sensibles ?
Comprendre comment les autorisations d'IA peuvent exposer des informations réglementées, confidentielles ou essentielles à l'activité de l'entreprise.
À qui appartiennent les autorisations d'IA ?
Établir les responsabilités et la gouvernance.
Comment les autorisations évoluent-elles au fil du temps ?
Surveiller l'évolution des autorisations et la dérive des accès.
Comment BigID aide à gouverner les autorisations de l'IA
BigID aide les organisations à découvrir les identités IA, à analyser les autorisations, à comprendre les accès hérités et à relier les autorisations à l'exposition des données sensibles.
Avec BigID, les organisations peuvent :
- Découvrez les systèmes d'IA et les applications basées sur l'IA
- Analyser les autorisations de l'IA
- Afficher les chemins d'accès hérités
- Identifier les autorisations excessives
- Associer les autorisations aux données sensibles
- Prioriser les risques liés à l'IA
- Soutenir les programmes de gouvernance de l'accès à l'IA
BigID met en relation les identités, les autorisations, la propriété, les voies d'accès et l'exposition des données sensibles liées à l'IA afin que les organisations puissent réduire les risques liés à l'IA avant qu'ils ne se concrétisent.
FAQ sur les autorisations d'IA
Que sont les autorisations d'IA ?
Les autorisations d'IA définissent ce à quoi les systèmes d'IA peuvent accéder, récupérer, modifier, exécuter ou avec quoi ils peuvent interagir dans les environnements d'entreprise.
Comment les systèmes d'IA obtiennent-ils les autorisations ?
La plupart des systèmes d'IA héritent des autorisations via les applications, les API, les comptes de service, les identités des machines et les rôles des utilisateurs.
Pourquoi les autorisations d'IA sont-elles importantes ?
Les autorisations déterminent à quoi les systèmes d'IA peuvent accéder et quelles actions ils peuvent effectuer, influençant directement les risques liés à l'IA.
Que sont les autorisations excessives en matière d'IA ?
Les autorisations excessives accordées à l'IA se produisent lorsque les systèmes d'IA possèdent plus d'accès que nécessaire pour accomplir leur fonction prévue.
Comment les organisations gèrent-elles les autorisations d'accès à l'IA ?
Les organisations gèrent les autorisations d'accès à l'IA en découvrant les systèmes d'IA, en analysant les accès, en identifiant les autorisations excessives, en reliant les autorisations aux données sensibles et en surveillant en permanence les changements.
Comment BigID aide-t-il à gérer les autorisations d'IA ?
BigID aide les organisations à comprendre les autorisations d'IA, à révéler les chemins d'accès hérités, à identifier les accès excessifs, à relier les autorisations aux données sensibles et à réduire les risques liés à l'IA.
Les autorisations d'IA créent des risques. La visibilité permet de contrôler.
Les systèmes d'IA héritent de plus en plus des autorisations via les applications, les API, les comptes de service, les identités machine et les rôles utilisateur. BigID aide les organisations à comprendre les ressources auxquelles l'IA peut accéder, à identifier les autorisations excessives, à relier l'accès aux données sensibles et à réduire l'exposition aux risques liés à l'IA.
Auteur
