Skip to content

Comment les agents d'IA héritent des autorisations et pourquoi cela crée des risques

Par Lonnie Ross Responsable du marketing de l'expérience numérique

5 minute de lecture

Les organisations déploient de plus en plus d'agents IA, de copilotes, d'assistants, de flux de travail autonomes et d'applications basées sur l'IA dans les environnements d'entreprise.

De nombreuses équipes de sécurité se concentrent sur les capacités de ces systèmes.

Ils sont encore moins nombreux à comprendre comment ces systèmes ont obtenu cet accès au départ.

Dans la plupart des environnements, les agents d'IA ne reçoivent pas directement d'autorisations.

Ils héritent des autorisations via les systèmes existants de gestion des identités, des applications et des accès.

La compréhension de l'accès hérité devient l'une des exigences les plus importantes pour sécurité de l'IA, Gouvernance de l'identité IAet Gouvernance de l'accès à l'IA.

Comment les agents IA héritent des autorisations : points clés à retenir

- La plupart des agents d'IA ne reçoivent pas directement les autorisations. Ils héritent de l'accès via les applications, les API, les comptes de service, les identités machine et les rôles utilisateur.

- Les autorisations héritées créent souvent des risques cachés. Les systèmes d'IA peuvent accéder à des informations bien au-delà de leur finalité commerciale initiale.

- La visibilité de l'accès à l'IA demeure un défi. De nombreuses organisations sont incapables d'expliquer clairement pourquoi les systèmes d'IA ont accès à des applications, des systèmes ou des données spécifiques.

- L'accès excessif à l'IA est fréquemment hérité. Les applications, les comptes de service et les API disposant de trop d'autorisations peuvent accroître les risques pour les systèmes d'IA.

- L'appropriation et la responsabilité sont importantes. Les organisations ont besoin de visibilité sur les propriétaires des identités d'IA et sur les autorisations dont ces identités héritent.

- Une gouvernance efficace de l'IA nécessite de comprendre les voies d'accès. Les organisations ne peuvent réduire les risques liés à l'IA que lorsqu'elles comprennent comment celle-ci a obtenu l'accès.

Pourquoi les autorisations d'IA fonctionnent différemment

Les utilisateurs traditionnels obtiennent généralement leurs autorisations via des processus d'identité établis.

Les employés reçoivent L'accès est basé sur les rôles.

Les applications reçoivent des autorisations en fonction des besoins de l'entreprise.

Agents d'intelligence artificielle introduire un nouveau défi.

De nombreux systèmes d'IA fonctionnent en utilisant des autorisations héritées d'autres systèmes.

Il en résulte une chaîne d'accès hérités que les organisations ont souvent du mal à comprendre.

Sans visibilité sur ces relations, les systèmes d'IA peuvent accéder à des données sensibles, à des applications critiques pour l'entreprise et à des flux de travail privilégiés sans surveillance appropriée.

Gagnez en visibilité sur l'accès à l'IA

La réalité cachée de l'accès à l'IA

La plupart des déploiements d'IA s'appuient sur l'infrastructure existante.

Plutôt que de créer des modèles d'accès entièrement nouveaux, les organisations connectent les systèmes d'IA à :

  • Applications SaaS
  • Logiciel d'entreprise
  • Apis
  • Comptes de service
  • Environnements cloud
  • Plateformes de collaboration
  • dépôts de données

Le système d'IA hérite alors des accès que ces systèmes possèdent déjà.

Cela crée l'un des plus grands angles morts de la gouvernance moderne de l'IA.

Cinq façons dont les agents d'IA héritent des autorisations

1. Applications

De nombreux copilotes IA fonctionnent au sein d'applications qui possèdent déjà des autorisations étendues.

Exemples :

  • Microsoft 365
  • Salesforce
  • ServiceNow
  • Google Workspace
  • Mou

Si une application peut accéder à des données, les capacités d'IA intégrées à cette application héritent souvent d'une partie de cet accès.

Risque

Les organisations comprennent l'application mais omettent d'évaluer Identité IA opérant à l'intérieur de celui-ci.

2. API

Les API servent de plus en plus de tissu conjonctif aux systèmes d'IA.

Les agents d'IA interagissent fréquemment avec les systèmes d'entreprise via des API qui disposent déjà des autorisations nécessaires pour :

  • Récupérer les enregistrements
  • Informations de mise à jour
  • Exécuter des actions
  • Déclencher les flux de travail

Risque

L'agent IA hérite effectivement de toutes les autorisations que l'API peut exercer.

3. Comptes de service

De nombreux flux de travail basés sur l'IA fonctionnent via des comptes de service.

Ces comptes possèdent souvent des autorisations étendues car ils prennent en charge l'automatisation sur plusieurs systèmes.

Risque

Un compte de service disposant de trop d'autorisations peut accorder involontairement des privilèges accès excessif aux agents d'IA qui en dépendent.

C’est l’une des raisons pour lesquelles les comptes de service restent une source majeure de risques liés à l’usurpation d’identité.

4. Rôles utilisateurs existants

Les copilotes IA opèrent fréquemment pour le compte des utilisateurs.

Dans ces environnements, le système d'IA hérite des autorisations associées à l'utilisateur qui l'invoque.

Risque

L'IA peut accéder à tout ce à quoi l'utilisateur a accès, y compris des informations sensibles dont elle n'a pas réellement besoin.

5. Identités des machines

Les systèmes d'IA dépendent de plus en plus de :

  • Certificats
  • Jetons
  • Secrets
  • identités de charge de travail
  • Identifiants cloud

Ces identités machine permettent l'authentification et la connectivité.

Risque

Les systèmes d'IA peuvent hériter d'autorisations via des identités de machines que les organisations ont déjà du mal à recenser et à gouverner.

En savoir plus sur sécurité de l'identité de la machine et son rôle croissant dans les environnements d'IA.

Opérationnaliser la gouvernance d'accès à l'IA

Pourquoi l'accès hérité à l'IA crée des risques

La plupart des discussions sur les risques liés à l'IA se concentrent sur les modèles.

Le principal défi opérationnel concerne souvent l'accès.

Lorsque les organisations ne peuvent pas expliquer pourquoi un système d'IA a accès à un système, elles ne peuvent pas contrôler efficacement cet accès.

Les risques courants comprennent :

Autorisations excessives

Les systèmes d'IA héritent de plus d'accès que nécessaire.

Exposition aux données sensibles

Les agents d'IA accèdent à des informations réglementées, confidentielles ou essentielles à l'activité de l'entreprise.

Lacunes en matière de propriété

Les organisations ne peuvent pas identifier qui est responsable des décisions d'accès à l'IA.

Chemins d'accès cachés

Les autorisations proviennent de systèmes que les équipes de sécurité n'associent pas forcément à l'IA.

Risque de conformité

Les organisations peinent à démontrer leur gouvernance et leur responsabilité.

La chaîne d'autorisation de l'IA

L'un des concepts les plus importants que les organisations négligent est la chaîne d'autorisation de l'IA.

Un chemin d'accès typique à l'IA peut ressembler à ceci :

Utilisateur → Application → API → Compte de service → Référentiel de données

L'agent IA peut intervenir quelque part dans cette chaîne.

Comprendre la chaîne aide les organisations à répondre à :

  • D'où provient l'accès
  • Pourquoi l'accès existe-t-il ?
  • Quelles autorisations sont héritées ?
  • Quels systèmes créent du risque ?
  • Quelles données sensibles sont exposées ?

La gouvernance de l'IA exige une visibilité sur l'ensemble de la chaîne.

Pourquoi les évaluations traditionnelles de l'accès au marché passent à côté des risques liés à l'IA

Les examens d'accès traditionnels portent sur :

  • Utilisateurs humains
  • Applications
  • Comptes de service

La plupart n'étaient pas conçus pour évaluer les identités basées sur l'IA.

De ce fait, les organisations ont souvent du mal à répondre :

  • Quels agents d'IA existent ?
  • Quelles autorisations appartiennent aux systèmes d'IA ?
  • Quelles identités d'IA accèdent aux données sensibles ?
  • Quelles identités d'IA disposent d'un accès excessif ?
  • À qui appartiennent les autorisations d'IA ?

C’est là que la gouvernance de l’identité IA et la gouvernance de l’accès IA deviennent essentielles.

Comment la gouvernance de l'accès à l'IA aide

La gouvernance de l'accès à l'IA aide les organisations à comprendre :

  • Ce à quoi l'IA peut accéder
  • Pourquoi l'accès existe-t-il ?
  • Comment les permissions ont été héritées
  • Quels systèmes d'IA créent des risques ?
  • Quelles identités d'IA accèdent aux données sensibles

Au lieu de se concentrer uniquement sur les modèles d'IA, les organisations acquièrent une visibilité sur les autorisations et les voies d'accès qui sous-tendent l'IA.

En savoir plus sur Gouvernance de l'accès à l'IA.

Comment BigID contribue à la gouvernance de l'accès à l'IA héritée

BigID aide les organisations à découvrir les identités des IA, à comprendre les autorisations héritées, à identifier les accès excessifs et à relier l'activité des IA à l'exposition de données sensibles.

Avec BigID, les organisations peuvent :

BigID met en relation les identités, les autorisations, les activités et les données sensibles liées à l'IA afin que les organisations puissent réduire leur exposition aux risques liés à l'IA avant qu'elle ne devienne problématique.

Comprendre ce à quoi l'IA peut accéder et pourquoi

Les systèmes d'IA reçoivent rarement les autorisations directement. Ils héritent de l'accès via des applications, des API, des comptes de service, des identités machine et des rôles utilisateur. BigID aide les organisations à révéler les chemins d'accès de l'IA, à identifier les autorisations excessives et à réduire l'exposition aux risques liés à l'IA.

Découvrez la gouvernance de l'accès à l'IA en action

FAQ sur les autorisations d'IA

Comment les agents IA héritent-ils des autorisations ?

Les agents d'IA héritent généralement des autorisations via les applications, les API, les comptes de service, les identités machine et les rôles utilisateur.

Pourquoi l'accès hérité à l'IA est-il risqué ?

L'accès hérité peut accorder aux systèmes d'IA plus d'autorisations que nécessaire, augmentant ainsi leur exposition aux données sensibles et aux systèmes critiques de l'entreprise.

Qu’est-ce qu’un accès excessif à l’IA ?

Un accès excessif à l'IA se produit lorsque les systèmes d'IA possèdent des autorisations allant au-delà de ce qui est nécessaire à l'exécution de leur fonction prévue.

Comment les organisations peuvent-elles identifier les autorisations d'IA héritées ?

Les organisations ont besoin de visibilité sur les identités des IA, les voies d'accès, les autorisations, la propriété et l'exposition des données sensibles.

Qu’est-ce que la gouvernance de l’accès à l’IA ?

La gouvernance des accès à l'IA aide les organisations à comprendre, à gérer et à réduire les risques associés aux autorisations et aux chemins d'accès à l'IA.

Quelle est la différence entre la gouvernance des identités IA et la gouvernance des accès IA ?

La gouvernance des identités IA se concentre sur la découverte et la gestion des identités IA. La gouvernance des accès IA se concentre sur les ressources auxquelles ces identités peuvent accéder et sur la manière dont les permissions engendrent des risques.

Auteur

Photo de l'avatar

Lonnie Ross

Responsable du marketing de l'expérience numérique

Lonnie est responsable du marketing d'expérience numérique chez BigID. Fort de plus de dix ans d'expérience en SEO et en marketing digital auprès d'entreprises B2C et B2B, dans les domaines du SaaS et du e-commerce, il s'appuie sur une expertise pointue en stratégie de recherche, en UX et en développement de contenu, ainsi que sur une passion pour l'évolution de la protection des données. De l'alignement du contenu avec l'intention de recherche à l'amélioration de l'image de marque, Lonnie veille à ce que les entreprises se démarquent sur un marché SaaS concurrentiel, tout en instaurant la confiance grâce à un leadership éclairé sur des questions cruciales comme la conformité, les risques liés aux données et l'innovation responsable.

Contenu

La gouvernance de l'accès aux données repensée pour l'ère de l'IA

Téléchargez le livre blanc pour découvrir ce qu'exige réellement un DAG intégré à l'ère de l'IA, et comment y parvenir.

Télécharger le livre blanc

Postes connexes

Voir tous les articles