À l’occasion de l’AI Appreciation Day, ce 16 juillet, il est essentiel de rappeler que l’adoption de l’IA ne peut se faire sans un cadre de sécurité solide.
Si le nouveau code de bonnes pratiques volontaire de l’Union européenne en matière d’IA met naturellement l’accent sur le développement responsable de l’intelligence artificielle, il soulève indirectement la question d’un autre pilier essentiel de son adoption responsable : la sécurité lors de l’utilisation de l’IA.
Les systèmes d’IA s’intègrent rapidement dans les opérations quotidiennes de nombreuses organisations. Jusqu’à présent, la plupart des discussions, recommandations et législations relatives à la conformité ont porté sur la manière dont les modèles d’IA sont conçus pour fonctionner, plutôt que sur la manière dont ils seront déployés et utilisés par les utilisateurs finaux. Aujourd’hui, les entreprises ne se contentent pas de former l’IA, elles la mettent en œuvre, déployant l’IA agentique dans tous les services pour générer des rapports, automatiser les flux de travail et accéder à des systèmes internes ou tiers. Cela implique de donner aux modèles d’IA l’accès à certaines des données les plus sensibles d’une organisation.
Dans ce scénario, les responsables de la sécurité sont confrontés à un double défi. Il ne fait aucun doute que l’intégration de l’IA permet de gagner en productivité. Mais ce gain s’accompagne d’une augmentation des risques. Chaque assistant, script ou interface de modèle IA constitue un point de compromission potentiel, en particulier lorsqu’il interagit avec des identifiants ou des systèmes privilégiés.
L’adoption de principes de sécurité dès la conception ne s’arrête pas au développement de l’IA : elle doit s’étendre à son intégration, son déploiement et sa surveillance. Il s’agit là d’un élément clé que les organisations doivent prendre en compte parallèlement au cadre réglementaire recommandé par l’UE.
Les organisations devraient sérieusement envisager d’introduire un Model Context Protocol (MCP) pour l’intégration de l’IA agentique. Le MCP permet aux entreprises de connecter des outils d’IA tiers ou internes à des systèmes privilégiés sans enfreindre les limites du zero-trust ni compromettre les architectures du zero-knowledge.
Permettre à un agent IA de récupérer ou de gérer des informations d’identification sans gouvernance appropriée pourrait involontairement lui permettre de contourner les contrôles d’accès internes ou d’enfreindre les normes de conformité. Fondamentalement, les agents IA doivent être traités comme n’importe quel autre utilisateur ou application privilégié. Cela implique un accès avec le moins de privilèges possible, une supervision humaine, des pistes d’audit complètes et une activation explicite par les administrateurs. Le non-respect de ces mesures de protection pourrait gravement compromettre les cadres de protection des données que les organisations ont mis tant d’efforts à mettre en place au cours de la dernière décennie.
L’initiative de l’UE visant à définir la gouvernance de l’IA au moyen de codes volontaires est une mesure bienvenue. Cependant, des contrôles techniques et opérationnels doivent être mis en place en parallèle afin de garantir que l’adoption et la mise en œuvre des systèmes d’IA soient mûrement réfléchies, intentionnelles et réglementées. L’IA souveraine replace la responsabilité entre les mains des organisations, qui doivent définir et appliquer leurs propres politiques d’utilisation, contrôles d’accès et cadres de gouvernance des données.
Jeremy London
Director Of Engineering, AI & Threat Analytics,
Keeper Secu