DSPM est votre démineur IA : comment Cyera peut vous aider à naviguer dans le paysage des menaces liées à l'IA

Dans Generative AI Security: Theories and Practices, Ken Huang dresse un tableau intimidant du paysage des menaces liées à l'IA. Dans cet article, nous examinerons certaines caractéristiques clés de ce paysage - l'observabilité, l'intégrité et la sécurité des données, les politiques d'autorisation, et l'intégration des outils de sécurité - et comment la plateforme de sécurité des données de Cyera peut aider votre organisation à les naviguer avec succès.

Observabilité

« Avec des outils comme Copilot de Microsoft qui deviennent essentiels dans diverses industries », déclare Huang, « la vitesse à laquelle les modèles d'IA génèrent des résultats dépasse souvent la capacité des organisations à appliquer les protocoles de sécurité pertinents. »

Un défi majeur ici est la classification correcte des données. Selon Tina Ying et Neta Haiby de Microsoft, les efforts de classification manuelle seront tout simplement trop lents pour suivre le rythme des données générées par l’IA. Heureusement, le DSPM natif à l’IA de Cyera peut découvrir et classifier les données partout dans votre patrimoine de données, quel que soit l’auteur ou le générateur, avec une précision de 95 %. À son tour, l’Omni DLP de Cyera peut intervenir en temps réel et empêcher le partage excessif de données générées par l’IA.

Un autre problème lié à l'observabilité concerne la gestion des risques liés aux tiers, en particulier l'endroit et la manière dont les données organisationnelles peuvent être exposées tout au long de la chaîne d'approvisionnement. Comme l'a exprimé Belle Lin dans le Wall Street Journal :

« Le défi avec l’IA générative, c’est que la technologie évolue si rapidement que les entreprises se précipitent pour déterminer si elle introduit de nouveaux défis en cybersécurité ou si elle amplifie des faiblesses de sécurité existantes. Pendant ce temps, les fournisseurs de technologies ont inondé les entreprises de nouvelles fonctionnalités et offres basées sur l’IA générative — dont toutes ne sont pas nécessaires, ni même payées. »

Ici aussi, Cyera peut découvrir vos données où qu'elles se trouvent, y compris dans les applications Shadow IT et les services qui utilisent l'IA générative. Les organisations peuvent tirer parti de la visibilité offerte par Cyera pour créer et gérer un inventaire des actifs liés à l'IA. Elles peuvent également déployer l'Omni DLP de Cyera pour empêcher les utilisateurs de partager des propriétés intellectuelles précieuses ou des données client sensibles avec des applications alimentées par l'IA.

Intégrité et sécurité des données

L'intégrité des données sera le défi central de l'ère de l'IA, et Huang identifie deux menaces majeures : l'empoisonnement des données et la manipulation des données. L'empoisonnement des données fait référence à la corruption des ensembles de données d'entraînement dans le but de tromper un LLM afin de générer un résultat souhaité. Par manipulation des données, Huang entend l'utilisation de l'IA pour générer du contenu tel que des deepfakes, de la désinformation ou d'autres artefacts pouvant être utilisés à des fins malveillantes.

Le service d’évaluation des risques liés aux données de Cyera vous offre une vue d’ensemble complète des risques pesant sur votre patrimoine de données, y compris les ensembles de données d’entraînement pour l’IA. En s’appuyant sur son DSPM ainsi que sur des évaluations virtuelles menées par des RSSI et basées sur une trentaine de référentiels de contrôle tels que l’ISO 27001 et le NIST CSF, Cyera vous fournira des informations exploitables qui vous permettront de réduire immédiatement votre surface d’attaque, d’obtenir une visibilité sur les menaces potentielles et d’élaborer un plan pour renforcer la sécurité de vos données à l’avenir.

La plateforme de sécurité des données native IA de Cyera assure la ségrégation des données d'entraînement, de test et de validation pour les systèmes d'IA. Elle détecte également les comportements à risque et protège de manière proactive contre la fraude et les menaces internes.

L'IA représente également une menace pour la sécurité des données. En particulier, Huang décrit le problème potentiel de fuite de données dû à l'agrégation des ensembles de données d'entraînement. Même lorsque les données d'entraînement ont été anonymisées, les systèmes d'IA générative peuvent être capables de trianguler entre différents ensembles de données d'entraînement et d'en déduire des données sensibles ou personnelles. Mais Omni DLP de Cyera surveille et classifie les données générées par l'IA en temps réel, et peut alerter lorsque les outils d'IA créent et tentent de partager des éléments comme des PII, des PHI ou des secrets commerciaux.

Politique d'attribution des droits

Selon Huang, « l'absence de politiques claires en matière de droits d'accès concernant les systèmes GenAI présente des risques importants pour la confidentialité et la sécurité des données. Sans contrôles d'accès définis et sans rôles utilisateurs précis, des informations sensibles peuvent être exposées à des utilisateurs non autorisés. »

De plus, une gestion robuste des identités et des accès, ainsi que l’utilisation de contrôles d’accès basés sur les rôles, ne concernent pas uniquement les utilisateurs humains. Jason Clinton, CISO chez Anthropic, estime que nous ne sommes qu’à dix mois du déploiement de défenseurs de la sécurité entièrement autonomes dans nos environnements SOC. D’ici deux à trois ans, il prédit que tous les professionnels humains de la cybersécurité géreront des équipes d’agents IA. Ces agents auront besoin d’identités et de privilèges organisationnels, et les mêmes préoccupations concernant l’authentification et le principe du moindre privilège s’appliqueront à eux.

Cyera peut identifier toutes les entités, qu'elles soient humaines ou non humaines, internes ou externes, qui ont accès à vos données. Elle peut créer un catalogue des identités et des privilèges associés qui aidera les administrateurs à identifier vos utilisateurs les plus à risque, à détecter les identités obsolètes dont l'accès devrait être révoqué, à maintenir le RBAC et à prévenir la dérive de configuration.

Intégration des outils de sécurité

Huang soutient que les fournisseurs de sécurité doivent développer « des connecteurs et des API permettant une communication transparente entre GenAI et les systèmes SIEM, DLP et SOAR », et que l'absence de ces intégrations entraînera un « paysage de sécurité fragmenté où les menaces peuvent passer inaperçues ».

Chez Cyera, nous sommes d'accord. Cyera peut s'intégrer à vos outils SIEM, SOAR et DLP existants pour aider à coordonner la réponse aux incidents et automatiser les workflows de remédiation. De plus, la solution Omni DLP de Cyera représente un bond quantique par rapport aux outils DLP existants. Le moteur de politique natif IA d'Omni peut comprendre l'ADN de vos données, ce qui lui permet de créer des règles DLP réellement pertinentes pour les catégories de données qui vous importent. Son moteur de classification analyse et priorise les événements liés aux données, réduisant les faux positifs de 95 % et libérant ainsi les ingénieurs en sécurité pour qu'ils se concentrent sur les problèmes vraiment importants.

Conclusion

Comme l’a dit Shane Coleman, Chief Data Security Evangelist de Cyera, l’IA offre aux entreprises l’opportunité de « pénétrer de nouveaux marchés avant la concurrence, renforcer la fidélité des clients et libérer une productivité interne sans précédent. Mais… la vitesse sans réflexion n’est qu’un risque déguisé. » À moins de savoir quelles données vous possédez et où elles se trouvent, essayer de déployer l’IA en toute sécurité revient à avancer à l’aveugle dans un champ de mines.

La plateforme de sécurité des données de Cyera est à la fois votre carte, votre boussole et votre détecteur de mines. Les capacités de découverte et de classification natives à l’IA de Cyera DSPM, ainsi que le moteur de politiques intelligent d’Omni DLP, vous donneront la confiance nécessaire pour avancer rapidement et en toute sécurité dans le paysage des menaces liées à l’IA. Découvrez comment sur cyera.com.