9m read

Conformité réglementaire de l’IA pour les équipes de sécurité

Que trouverez-vous ici ?

Cato Networks reconnu comme Leader dans le Gartner® Magic Quadrant™ 2024 pour le SASE à fournisseur unique

Télécharger le rapport

L’IA soulève une série de préoccupations en matière de conformité réglementaire, allant de l’utilisation de données sensibles et protégées pour former des modèles d’IA à l’utilisation non autorisée de l’IA pour soutenir des flux de travail critiques pour l’entreprise. La croissance de l’IA clandestine – où les employés utilisent des outils alimentés par l’IA non autorisés pour les affaires – aggrave ce problème alors que les entreprises peinent à maintenir la visibilité et à faire respecter les politiques de sécurité d’entreprise.

L’utilisation de l’IA ne fera qu’augmenter, donc l’accent des équipes de sécurité doit être mis sur l’assurance que cette utilisation est sécurisée et conforme aux réglementations applicables. Pour ce faire, les équipes ont besoin d’architectures de sécurité qui gèrent et surveillent l’utilisation de l’IA, génèrent des pistes de vérification et réduisent le risque d’incidents de sécurité liés à l’IA.

Points clés

  • La conformité réglementaire de l’IA devient un problème de sécurité opérationnelle, et pas seulement un problème légal.
  • L’IA clandestine crée un risque de conformité lorsque les employés utilisent des outils non autorisés sans visibilité ni contrôles.
  • Les équipes de sécurité ont besoin de pistes de vérification, de contrôles d’accès, d’application des politiques et de protection des données pour soutenir la gouvernance de l’IA.
  • Une visibilité continue sur l’utilisation des applications d’IA et le mouvement des données est essentielle pour la préparation à la conformité.
  • Un accès avec le moindre privilège et une gestion centralisée des politiques réduisent l’exposition à mesure que l’utilisation de l’IA s’étend.
  • Les plateformes de sécurité aident à transformer des tâches de conformité fragmentées en opérations de sécurité répétables.

La conformité réglementaire de l’IA est un problème de sécurité

L’utilisation de l’IA par les employés – tant des outils internes que de tiers – introduit une variété de risques pour l’entreprise. L’IA a souvent un accès étendu aux systèmes et aux données de l’entreprise, soulevant des préoccupations concernant l’accès et le traitement des données. Les équipes de sécurité ont besoin de visibilité sur l’utilisation de l’IA et de la capacité à faire respecter les politiques d’entreprise pour gérer le risque cybernétique et la conformité réglementaire.

À mesure que l’IA devient plus courante, les régulateurs s’attendent de plus en plus à ce que les organisations aient des politiques et des contrôles en place pour gérer les risques associés à l’IA, tels que :

  • Shadow IT
  • Empêchez la divulgation de données sensibles
  • Contrôles d’accès faibles
  • Application incohérente des politiques
  • Administration fragmentée
  • Préparation aux audits :


Les équipes de sécurité sont responsables de la mise en œuvre des politiques, des outils et des contrôles de sécurité nécessaires pour répondre aux attentes réglementaires. En conséquence, les équipes de sécurité doivent intégrer la sécurité par l’IA dans leur stratégie globale de conformité réglementaire.

Comment l’utilisation quotidienne de l’IA crée-t-elle une exposition à la conformité ?

L’utilisation quotidienne de l’IA peut introduire des risques en matière de sécurité, de confidentialité et de conformité. Les exemples courants incluent :

  • Le développement piloté par l’IA (vibe coding) peut introduire des vulnérabilités dans le code de production que les attaquants peuvent exploiter.
  • Les données clients partagées avec un outil d’IA tiers peuvent entraîner l’utilisation d’informations personnellement identifiables (PII) pour former le modèle et être divulguées à d’autres utilisateurs.
  • L’utilisation d’outils d’IA non autorisés peut violer les contraintes sur l’utilisation de l’IA en vertu de la loi sur l’IA de l’UE et de réglementations similaires.


Ces types de risques ne sont pas nouveaux dans le domaine de la sécurité, mais l’IA aggrave le problème en raison de son adoption généralisée, de l’auditabilité limitée et d’une plus grande autonomie. Les équipes de sécurité doivent s’assurer que les contrôles et politiques existants en matière de protection des données, de gestion des accès, de journalisation des activités et d’application des politiques sont étendus efficacement pour couvrir également l’utilisation de l’IA.

Quels thèmes de conformité liés à l’IA importent le plus aux équipes de sécurité ?

De nombreuses lois et réglementations ont des implications pour l’utilisation de l’IA et la conformité. Bien que la loi sur l’IA de l’UE soit la plus célèbre, les lois sur la protection des données comme le RGPD, le CCPA/CPRA, le PCI DSS et l’HIPAA contrôlent également comment l’IA peut être utilisée et les données auxquelles elle accède. Des cadres comme le NIST AI RMF offrent des conseils sur la manière dont les organisations peuvent mettre en œuvre des programmes de sécurité de l’IA qui sont sécurisés et conformes.

Étant donné que les équipes de sécurité sont responsables de la sécurisation des applications et des données et de l’application des politiques d’entreprise, le fardeau de la conformité réglementaire de l’IA leur incombe souvent. Certains facteurs clés à considérer incluent la transparence, la protection des données, la responsabilité, la gouvernance des accès, la surveillance et l’auditabilité.

Les réglementations sur la protection des données façonnent la conformité à l’IA.

Les systèmes d’IA nécessitent l’accès à de grandes quantités de données potentiellement sensibles pour accomplir leurs tâches. Cela inclut à la fois les données d’entraînement et les informations que les utilisateurs pourraient soumettre dans le cadre de leurs requêtes.

Les implications de conformité de cela sont significatives car les organisations doivent contrôler :

  • Les données que les utilisateurs soumettent.
  • Où vont ces données
  • Si ces données sont conservées
  • Qui peut accéder à ces données


Répondre à ces questions nécessite une visibilité complète sur les applications d’IA, la classification et l’étiquetage des données, la prévention des pertes de données (DLP), des contrôles d’accès stricts et une surveillance continue. Si les organisations ne peuvent pas voir quels outils sont utilisés et quelles données les utilisateurs leur fournissent – en raison de l’IA cachée ou d’une visibilité limitée des applications – elles peuvent avoir des difficultés à respecter les réglementations et être exposées à un risque accru de violations de données et d’incidents de sécurité similaires.

L’importance de la journalisation et de l’auditabilité pour la conformité à l’IA

Les systèmes d’IA sont intrinsèquement opaques. Pour les modèles d’IA non explicables, que la plupart des outils de production utilisent, il est impossible de déterminer comment le modèle a pris une décision particulière.

En conséquence, maintenir des pistes de vérification et la responsabilité nécessite de garder des enregistrements clairs de l’utilisation de l’IA, y compris ses entrées et sorties. Ces données sont cruciales pour soutenir la réponse aux incidents, les audits de conformité, la validation des contrôles et toute autre tâche où l’organisation doit défendre la prise de décision de l’outil d’IA. À mesure que l’utilisation de l’IA croît et devient plus distribuée à travers divers outils, les organisations ont besoin de solutions centralisées pour collecter, gérer et conserver ces journaux d’audit.

Contrôles principaux pour la conformité réglementaire de l’IA

La conformité réglementaire de l’IA nécessite la capacité de surveiller l’utilisation de l’IA et d’appliquer les politiques d’entreprise à ce sujet. De plus, les équipes de sécurité doivent être en mesure de démontrer la conformité avec les réglementations applicables grâce à des journaux d’audit durables et complets.

Inventaires d’applications d’IA et surveillance

Les équipes de sécurité ne peuvent sécuriser et gouverner que les outils d’IA dont elles savent qu’ils existent. Avec l’IA cachée, les organisations font face à des risques de sécurité et de conformité significatifs si elles ne réalisent pas activement la découverte d’applications d’IA et ne génèrent pas d’inventaires complets d’applications d’IA.

Avec cette visibilité, les organisations peuvent passer à la traçabilité des modèles d’utilisation et des mouvements de données pour les applications d’IA connues. Obtenir une visibilité complète sur l’utilisation des applications GenAI est essentiel pour empêcher que des données sensibles ne soient potentiellement exposées à des parties non autorisées à l’intérieur ou à l’extérieur de l’organisation.

Accès avec un minimum de privilèges

Les contrôles d’accès par le principe du moindre privilège limitent l’accès et les privilèges au minimum requis pour le rôle d’un utilisateur ou d’une application au sein de l’entreprise. Cela a de multiples applications pour la conformité réglementaire de l’IA, y compris :

  • Limiter l’accès aux données sensibles et protégées par les utilisateurs et les outils d’IA
  • Restreindre le champ de conformité en gérant l’accès aux outils d’IA


Les organisations peuvent gérer l’accès à grande échelle en mettant en œuvre un contrôle d’accès basé sur les rôles (RBAC), où les privilèges sont attribués à divers rôles d’utilisateur au sein de l’entreprise. Cela permet d’attribuer facilement des rôles à diverses entités et élimine la nécessité de gérer les privilèges au cas par cas. Les contrôles d’accès basés sur les rôles aident également à protéger contre le surprovisionnement, car les permissions attribuées sont directement liées à un ensemble particulier de tâches.

Pistes de vérification et enregistrements d’événements

Les pistes de vérification et les enregistrements d’événements aident à soutenir les enquêtes, la validation des contrôles et la collecte de preuves. Dans les enregistrements chronologiques réglementés des changements, les connexions et les actions politiques sont essentielles pour maintenir la conformité et déterminer qui a effectué une action spécifique, en particulier dans un scénario où l’IA peut agir de manière indépendante.

Les enregistrements d’audit centralisés augmentent l’évolutivité des efforts de conformité et d’enquête. Lorsque les outils d’IA peuvent interagir de manière indépendante avec d’autres systèmes, un enregistrement unique et synchronisé des événements peut accélérer les enquêtes et permettre une approche plus proactive de la conformité réglementaire.

Comment les équipes de sécurité peuvent-elles gouverner l’utilisation de l’IA sans ralentir l’entreprise ?

Souvent, la sécurité est perçue comme un obstacle, car les mêmes processus et contrôles qui empêchent les attaques peuvent également rendre plus difficile pour les utilisateurs légitimes d’accomplir leur travail. En ce qui concerne l’IA, bloquer chaque outil peut être l’approche la plus simple pour la gouvernance et la sécurité de l’IA, mais ce n’est pas une option réaliste.

Une politique de conformité efficace pour l’IA permet un accès contrôlé aux outils d’IA avec des politiques d’utilisation approuvées, des contrôles d’accès et une surveillance continue. Les meilleures pratiques incluent :

  • Découverte automatisée de l’utilisation non autorisée de l’IA
  • Plateforme centralisée pour la surveillance, la gestion et l’application des politiques
  • Contrôles d’accès au moindre privilège pour l’accès aux données sensibles, aux outils et aux flux de travail
  • Journalisation durable pour soutenir la réponse aux incidents, les audits de conformité et le dépannage
  • Prévention de la perte de données (DLP) appliquée à toutes les entrées et sorties de l’IA
  • Politiques d’utilisation et de conservation des données alignées sur les exigences réglementaires

Pourquoi la bonne architecture de sécurité facilite-t-elle la conformité de l’IA ?

La conformité de l’IA nécessite la capacité de surveiller et de gérer l’utilisation des outils d’IA et des données sensibles qu’ils consomment. Sans la bonne architecture de sécurité, les équipes souffrent de lacunes de visibilité significatives et ont du mal à suivre l’utilisation croissante de l’IA. d’application ou de sécurité.

  • Visibilité de l’utilisation de l’IA et des applications cloud
  • Accès avec un minimum de privilèges
  • Data Loss Prevention
  • Application centralisée des politiques
  • Archives durables.


La plateforme Cloud SASE de Cato offre une visibilité intégrée de l’IA et une application des politiques à travers le WAN de l’entreprise. Contactez-nous pour voir comment les équipes de sécurité peuvent obtenir une visibilité sur l’utilisation de l’IA, appliquer des contrôles d’accès et de données, et soutenir une gouvernance prête pour l’audit grâce à une gestion centralisée des politiques.

Cato Networks reconnu comme Leader dans le Gartner® Magic Quadrant™ 2024 pour le SASE à fournisseur unique

Télécharger le rapport

This page was machine-translated. If you notice any inaccuracies or have feedback, please feel free to send it to us here.