Catégories

Adopter l’IA en toute sécurité : le guide CLEAR pour les RSSI

Soutenez DCOD ☕ Offrez un café pour cette veille gratuite!
L’adoption sécurisée de l’IA nécessite un cadre comme CLEAR, intégrant la gouvernance, l’éducation et l’exploitation stratégique par les RSSI.

L’adoption de l’intelligence artificielle (IA) transforme les entreprises. Les Responsables de la Sécurité des Systèmes d’Information (RSSI) doivent s’assurer que cette transition se fait en toute sécurité. Leur rôle ne se limite plus à protéger les systèmes : ils participent à la stratégie IA et à sa gouvernance.

Le cadre CLEAR, présenté par The Hacker News, propose une méthode structurée pour intégrer l’IA en entreprise sans compromettre la sécurité ni la conformité.

Comprendre le cadre CLEAR

CLEAR repose sur cinq piliers :

  • Créer un inventaire des actifs IA
  • Learn (Apprendre) ce que font les utilisateurs
  • Enforcer votre politique IA
  • Appliquer des cas d’utilisation de l’IA
  • Reùtiliser les cadres existants

Créer un inventaire des actifs IA

L’une des premières étapes pour une adoption sécurisée de l’IA est d’établir un inventaire des outils IA utilisés. C’est une exigence du EU AI Act, de l’ISO 42001 et du NIST AI RMF. Pourtant, de nombreuses entreprises peinent à maintenir cet inventaire à jour.

Six approches permettent d’améliorer la visibilité des actifs IA :

  1. Suivi des achats : utile pour les nouveaux outils IA, mais inefficace pour les fonctions IA ajoutées à des logiciels existants.
  2. Analyse manuelle des journaux : permet de repérer l’activité IA sur le réseau, mais ne couvre pas les solutions SaaS.
  3. Solutions cloud et DLP : les outils CASB et Netskope apportent une certaine visibilité, mais restent limités pour appliquer des politiques strictes.
  4. Revue des accès via les fournisseurs d’identité : l’analyse des logs d’Okta ou Entra permet de tracer l’usage des applications IA.
  5. Extension des inventaires existants : classer les outils IA selon leur niveau de risque aide à aligner l’utilisation avec la gouvernance.
  6. Outils de surveillance : des solutions comme Harmonic Security permettent une détection continue de l’utilisation de l’IA.

Apprendre ce que font les utilisateurs

Interdire l’IA ne fonctionne pas. Les employés trouveront des moyens de contourner les restrictions. Mieux vaut comprendre pourquoi et comment ils utilisent ces outils.

  • Quels sont leurs besoins ?
  • Quelles alternatives sûres peut-on leur proposer ?

Cette approche permet aussi de renforcer la formation interne. Le EU AI Act exige que les entreprises forment leurs employés à l’usage de l’IA : « Les fournisseurs et déployeurs de systèmes d’IA doivent assurer un niveau suffisant de littératie en IA parmi leur personnel. »

Enforcer votre politique IA

Une politique IA claire est essentielle. Mais comment l’appliquer sans freiner l’innovation ? Deux approches principales existent :

  1. Contrôler l’IA via un navigateur sécurisé : efficace pour surveiller le trafic IA, mais peut gêner les employés et encourager le contournement.
  2. Utiliser des solutions DLP ou CASB : elles permettent de restreindre l’utilisation d’outils IA, mais les règles trop strictes peuvent générer des faux positifs.

L’objectif est de trouver un équilibre entre contrôle et flexibilité pour garantir la sécurité sans bloquer la productivité.

Appliquer des cas d’utilisation de l’IA pour la sécurité

Les équipes sécurité ne doivent pas seulement surveiller l’IA, mais aussi l’exploiter à leur avantage. Voici quelques cas d’usage :

  • Détection des menaces : l’IA aide à repérer les comportements suspects et les attaques.
  • Prévention des fuites de données (DLP) : identification des transferts anormaux.
  • Sécurité des emails : meilleure détection des tentatives de phishing.

Documenter ces usages et les présenter aux décideurs permet de montrer que l’IA est un atout pour la sécurité.

Réutiliser les cadres existants

Plutôt que de réinventer des processus, il est préférable d’intégrer l’IA dans les cadres de gouvernance existants.

Le NIST CSF 2.0 inclut désormais une fonction « Gouverner » qui couvre :

  • La gestion des risques IA
  • Les considérations sur la chaîne d’approvisionnement
  • Les rôles et responsabilités liés à l’IA

Cette approche simplifie l’encadrement et favorise une adoption cohérente avec les pratiques de cybersécurité déjà en place.

Vers une adoption maîtrisée de l’IA

Adopter l’IA en entreprise impose aux RSSI de jouer un rôle actif dans sa sécurisation. En appliquant le cadre CLEAR, ils peuvent :

  • Assurer une adoption sécurisée de l’IA
  • Proposer des alternatives conformes et efficaces aux employés
  • Appliquer des politiques IA sans freiner l’innovation
  • Utiliser l’IA pour renforcer la cybersécurité
  • S’appuyer sur des cadres existants pour une gouvernance robuste

L’IA est une révolution incontournable. Plutôt que de la subir, les RSSI doivent en devenir les architectes sécurisés. En suivant ces bonnes pratiques, ils peuvent transformer l’IA en un atout stratégique pour leur organisation.

Pour en savoir plus

Comment orienter l’adoption de l’IA : un guide pour les RSSI

Les RSSI sont de plus en plus impliqués dans les équipes d’IA, et dirigent souvent les efforts interfonctionnels et la stratégie d’IA. Mais il n’existe pas beaucoup de ressources pour les guider sur le rôle qu’ils devraient jouer ou sur ce qu’ils devraient apporter à ces réunions.

Lire la suite sur The Hacker News
Comment orienter l'adoption de l'IA : un guide pour les RSSI

(Re)découvrez également:

Le NIST publie un cadre de gestion des risques de l’intelligence artificielle

Le cadre a pour objectif de maximiser les avantages de la technologie de l’IA tout en réduisant les risques

Lire la suite sur dcod.ch
Le NIST publie un cadre de gestion des risques de l'intelligence artificielle

Les quatre piliers de la gestion des risques en IA selon la Cloud Security Alliance

Le cadre de gestion des risques des modèles d’IA de la Cloud Security Alliance se concentre sur quatre piliers pour atténuer les risques d’utilisation de l’IA tout en améliorant la transparence.

Lire la suite sur dcod.ch
Les quatre piliers de la gestion des risques en IA selon la Cloud Security Alliance
Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

Des idées de lecture cybersécurité

La cybersécurité pour les Nuls

Pour obtenir toutes les informations sur la cybersécurité, apprendre à protéger ses données sensibles sereinement et à éviter le hacking

Sécurité informatique - Ethical Hacking : Apprendre l'attaque pour mieux se défendre

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre.

Cyberattaques: Les dessous d'une menace mondiale

Un documentaire captivant et éclairant sur les affrontements entre attaquants et défenseurs du numérique, face à la plus grande menace de la prochaine décennie.