Une intégration tierce ne devrait pas être une porte dérobée. Mais pour Journée de travail clients, c'est exactement ce qui s'est passé.
Suite à une série d'attaques ciblant l'écosystème cloud de Salesforce, le géant des technologies RH Workday a confirmé une violation de données. L'exposition proviendrait d'un acteur malveillant abusant des droits d'accès autorisés. accès tiers — un rappel brutal que l’IA fantôme, les API sur-autorisées et les flux de données non gouvernés créent des conditions idéales pour les violations.
Dans l'entreprise hybride d'aujourd'hui, pilotée par l'IA, la sécurité ne s'arrête pas à votre périmètre. Vous avez besoin de visibilité, de gouvernance et de contrôle sur chaque système touchant à vos données sensibles.
Le risque d'accès par des tiers et d'IA fantôme
Selon le Ordinateur bipantDes attaquants ont accédé aux données clients de Workday à l'aide d'identifiants légitimes provenant d'un système tiers connecté à Salesforce. Si les systèmes internes de Workday n'ont pas été compromis, des données sensibles sur les employés et le recrutement ont été compromises, incluant probablement des informations personnelles identifiables et des antécédents professionnels.
Ce que cette violation met en évidence :
- Applications tierces peut être votre maillon le plus faible
- IA de l'ombre et les intégrations non enregistrées augmentent l'exposition
- L’accès non autorisé à des données sensibles (même via des applications « autorisées ») constitue toujours une violation de la confiance et souvent de la conformité.
Pourquoi cela est important pour la loi européenne sur l'IA et la conformité mondiale
En vertu de lois comme la Loi européenne sur l'IA et émergents Réglementation américaine sur l'IA et le transfert de donnéesLes organisations doivent démontrer un contrôle total sur les données traitées par leurs systèmes (et leurs fournisseurs). BigID permet aux équipes juridiques, de confidentialité et de sécurité de réduire ce risque, avant qu'il ne fasse la une des journaux. Loi européenne sur l'IA Elle renforce notamment la responsabilité de l'IA, obligeant les entreprises à classer les niveaux de risque, à retracer la lignée des données, à appliquer des limitations d'objectifs et à documenter le comportement du système tout au long du cycle de vie de l'IA. Sans la capacité de découvrir, de gérer et de rendre compte automatiquement des données alimentant l'IA, les organisations s'exposent à des sanctions réglementaires, à une atteinte à leur réputation et à un ralentissement de l'innovation.
Comment BigID contribue à combler les lacunes
BigID aide les entreprises à gouverner l’ingouvernable — avec une visibilité et un contrôle automatisé sur les systèmes d’IA internes et tiers.
Voici comment BigID gère les risques tels que ceux liés à la violation de Workday :
- Découvrez et classez les données sensibles à travers les intégrations : Identifiez automatiquement les informations personnelles identifiables, les données RH et les informations réglementées dans Salesforce, Workday et les applications connectées, y compris les copilotes et les plugins pilotés par l'IA.
- Détecter Shadow AI et outils tiers : Faites apparaître des outils d’IA non autorisés, des intégrations de modèles et des bases de données vectorielles, y compris ceux qui siphonnent ou traitent discrètement des données sensibles.
- Appliquer des contrôles d'accès et d'utilisation basés sur des objectifs : Appliquez des politiques dynamiques pour garantir que seules les applications et les utilisateurs autorisés peuvent accéder à des données spécifiques, réduisant ainsi les autorisations excessives et les utilisations abusives en aval.
- Surveiller les flux de données à risque : Suivez la manière dont les données sensibles circulent dans les systèmes connectés, en signalant les transferts suspects, les accès excessifs ou les comportements anormaux des API.
- Documenter le comportement du système d'IA pour la conformité : Générez automatiquement une documentation prête à être auditée sur les données auxquelles les systèmes d'IA accèdent, la manière dont ils les utilisent et la manière dont les violations des politiques sont traitées.
Pour découvrir comment BigID peut aider votre organisation à gérer les risques liés à l'IA, à sécuriser les données sensibles et à gagner en visibilité : réservez une démo 1:1 aujourd'hui.
Auteur
