Êtes-vous prêt pour le Web 3.0 ? Découvrez comment DSPM vous aide à avancer à la vitesse de l'IA

Tous les professionnels de la cybersécurité connaissent le triptyque CIA. L'objectif ultime de la cybersécurité est de protéger la Confidentialité, l'Intégrité et la Disponibilité des actifs informationnels. Mais selon l'expert en cybersécurité et auteur à succès Bruce Schneier, différents éléments du triptyque CIA ont été plus importants à différentes époques de l'histoire.

Du début des années 90 au début des années 2000, la disponibilité était la priorité. « Cette époque a vu les organisations et les particuliers se précipiter pour numériser leur contenu, créant ainsi ce qui est devenu un dépôt sans précédent du savoir humain », explique Schneier. Il appelle cette période le Web 1.0.

Mais du milieu des années 2000 jusqu'à aujourd'hui, nous vivons dans l'ère du Web 2.0, où la confidentialité est devenue primordiale. Une fois que toutes ces données ont été diffusées, et à mesure que de nouveaux outils pour le e-commerce et les réseaux sociaux ont évolué, les entreprises et les gouvernements se sont préoccupés de trouver des solutions pour protéger leurs actifs informationnels.

Les premières solutions étaient axées sur la protection du périmètre du réseau et des centres de données sur site des organisations. À l’image d’un château fort entouré de douves, elles se concentraient sur le contrôle de l’accès aux données. Mais à mesure que les opérations migraient vers le cloud et que de plus en plus d’utilisateurs se connectaient à distance (surtout après la pandémie), les contrôles ont dû évoluer.

Le Secure Access Service Edge (SASE, prononcé « sassy ») est devenu la référence en matière de sécurité. En combinant un courtier de sécurité d’accès au cloud (CASB), une passerelle web sécurisée (SWG) et un accès réseau à confiance zéro (ZTNA), et en s’appuyant sur une architecture de réseau étendu à définition logicielle (SD-WAN), SASE est une solution cloud-native au problème de la migration des données au-delà de la portée des contrôles de sécurité traditionnels.

Mais alors même que les leaders du secteur perfectionnaient le SASE, un nouveau défi de sécurité faisait surface : l'IA. Schneier pense que l'IA va fondamentalement changer notre expérience d'Internet, ouvrant la voie à l'ère du Web 3.0.

« Ceci est un Web distribué, décentralisé et intelligent. Les systèmes de réseaux sociaux pair-à-pair promettent de briser le contrôle des monopoles technologiques sur la façon dont nous interagissons les uns avec les autres… Un avenir rempli d’agents IA nécessite des données personnelles et des calculs vérifiables et dignes de confiance. Dans ce monde, l’intégrité des données occupe une place centrale. »

Pourquoi l'intégrité sera-t-elle reine à l'ère de l'IA ? Tout simplement parce que les données sont le moteur de l'IA. Construire des modèles d'IA fiables et valider leur fiabilité dans le temps est essentiel pour aligner le comportement de l'IA sur les valeurs et les intérêts humains. Ce n'est pas seulement un défi de sécurité. C'est un enjeu existentiel. Et tout commence par garantir la qualité des données dont l'IA se nourrit.

Mais comment y parvenir ? Le défi semble insurmontable, et ce n’est pas sans raison. Cette année, le monde produira plus de 180 zettaoctets de données, soit un octet pour chaque étoile de l’univers connu. Cet univers virtuel de données, ou « dataverse », connaît son propre Big Bang, et si les prévisions actuelles se confirment, ce n’est qu’un début. Car l’IA ne se contente pas de consommer des données, elle en génère aussi. Et à mesure que l’adoption de l’IA progresse, sa production de données augmentera elle aussi.

Ne vous y trompez pas : à l’ère du Web 3.0, le SASE restera nécessaire, mais il ne sera pas suffisant. Solution cloud-native pour des problèmes générés par le cloud, le SASE a établi la norme à l’ère du Web 2.0. Mais les défis uniques de l’IA exigent une solution native à l’IA. C’est là que DSPM entre en jeu.

La protection de l'intégrité des données commence par l'identification et la classification de ces données. Vous ne pouvez pas protéger ce que vous ne pouvez pas voir ou contrôler. Mais classifier manuellement les données à l'ère de l'IA, c'est comme un adepte du canapé qui essaierait de suivre le rythme d'un champion de marathon. Le résultat le plus probable est un échec cuisant.

Les outils automatisés utilisant des expressions régulières ne sont pas non plus à la hauteur du défi. Les solutions DLP traditionnelles – une fonctionnalité courante de nombreuses offres SASE – ont été minées par les faux positifs, à tel point que de nombreuses équipes de sécurité les désactivent ou les affaiblissent jusqu'à les rendre inutiles.

En revanche, DSPM exploite les grands modèles de langage et le traitement du langage naturel pour reconnaître différentes catégories de données en fonction de leur signification et de leur contexte. Si les outils DLP traditionnels et les expressions régulières recherchent des correspondances d'empreintes digitales, DSPM effectue une analyse ADN complète des données et trouve des modèles que les outils plus anciens ne pourraient jamais détecter.

DSPM peut classifier même des données non structurées avec une précision de 95 pour cent ou plus, une capacité essentielle lorsque tant de données utilisées pour entraîner des modèles d'IA se composent de documents dans divers formats de fichiers. Il découvre également des données à travers IaaS, SaaS, PaaS, DBaaS et des entrepôts de données sur site, surveillant en continu l'ensemble du patrimoine de données pour détecter les données nouvellement créées, supprimées ou modifiées.

Mais DSPM ne se contente pas de créer un inventaire précis et exhaustif des actifs de données. Il identifie également les utilisateurs – qu’il s’agisse d’humains ou d’agents IA – qui ont accès à ces données, les privilèges dont ils bénéficient, ainsi que les applications avec lesquelles ils partagent des données. Cela aide les organisations à mieux comprendre qui sont leurs utilisateurs les plus à risque et quelles applications non gérées, y compris les applications « Shadow AI », ont accès à leurs données.

Enfin, DSPM peut appliquer des politiques pour protéger les actifs de données, comme chiffrer les données sensibles ou révoquer l'accès aux utilisateurs inactifs.

En d'autres termes, il est pratiquement impossible de faire de la gouvernance de l'IA sans DSPM. Lorsque nous examinons un cadre comme le TRiSM de Gartner (Trust, Risk, and Security in AI Models), nous constatons que DSPM répond à tous les critères.

Découvrir et inventorier les applications d'IA dans l'organisation ? C'est fait.

Améliorer la classification, la protection et la gestion des accès aux données par l’IA ? C’est fait.

Mettre en œuvre la technologie IA pour soutenir et appliquer les politiques ? Vérifié.

Mener une gouvernance, une surveillance, une validation, des tests et une conformité en continu ? C'est fait.

L'IA va changer notre façon de concevoir Internet. Le Web 3.0 sera un univers différent de celui que nous connaissons, et nécessitera également un changement de paradigme dans la manière d’aborder la sécurité de l’information. Protéger les réseaux et les terminaux où les données résident et circulent restera essentiel, mais cela ne suffira plus.

Le Big Bang du dataverse submergera les contrôles du Web 2.0 à moins que nous ne les complétions par des contrôles suffisamment rapides, agiles et intelligents pour suivre l’explosion des données. Lorsque le Web 3.0 émergera, DSPM ne sera plus simplement un atout optionnel pour votre pile de sécurité. Il deviendra la norme pour toute organisation souhaitant avancer à la vitesse de l’IA. Serez-vous prêt ?