Comment l’observabilité avancée peut éclipser les vices du shadow IA

0
23

La nouvelle loi européenne IA Act, indique que dorénavant les entreprises ont la responsabilité du « quand et comment » les capacités d’IA sont utilisées. Elles doivent mettre en place des garde-fous appropriés pour sécuriser leurs réseaux et leurs données et cela pourrait rendre la perspective du shadow IA d’autant plus alarmante pour les responsables de la sécurité.

Tribune – Qu’est-ce que le « shadow IA » ? Dernier volet du Shadow IT, il présente un risque sérieux pour les entreprises en introduisant de nouvelles portes dérobées, des points d’appui et des sites de stockage de données que les responsables de la sécurité sont incapables d’anticiper dans leur approche de sécurité globale. Cela signifie que ces applications sont utilisées sans les outils de sécurité et les niveaux d’authentification appropriés.

Le Shadow IT est un ensemble d’usages informatiques qui échappent au contrôle du responsable de la sécurité de l’entreprise, une sorte d’informatique parallèle qui comprend différentes formes d’activités liées aux technologies de l’information. Acheté et utilisé sans être officiellement signalé à l’entreprise, le shadow IT est souvent rendu possible parce que les utilisateurs n’en sont pas conscients ou le sous-estiment. Mais quels sont, concrètement, les risques induits ?

Yann Samama, Senior Sales Engineer chez Gigamon, donne quelques éléments de réponse.

« Les coûts non budgétisés peuvent constituer un défi pour tout shadow IT, mais certains des risques les plus importants surviennent lorsque les employés et les départements utilisent des technologies moins certifiées, voire impayées », explique Yann Samama.  « Le paysage actuel de l’IA offre en effet aux utilisateurs des programmes gratuits et comportant généralement un niveau de risque de sécurité plus élevé et qui sont actuellement en grande partie non réglementés. Outre le risque d’accès non autorisé, le shadow IA présente des problématiques plus diverses en matière de protection des données, à savoir : comment l’entreprise peut-elle savoir quelles informations potentiellement exclusives, confidentielles ou privées sont fournies à la solution d’IA pour qu’elle puisse prendre des décisions ? La solution d’IA est-elle fournie par un fournisseur “fiable” et réputé d’un État-nation de confiance, ou par une entreprise ayant de bons antécédents en matière de protection des données ? »

Ainsi, comment les entreprises peuvent-elles maîtriser l’utilisation de l’IA au sein même de leur organisation ? Yann Samama plaide pour une visibilité avancée et unifiée de l’infrastructure IT :

« Comme toujours, on ne peut pas gérer ce qu’on ne peut pas voir », rappelle Yann Samama. « Il est donc essentiel de disposer des niveaux de visibilité nécessaires pour identifier et cibler l’utilisation des plateformes d’IA grâce à l’inspection du trafic réseau. Si les utilisateurs ont toute une série de raisons de ne pas signaler l’utilisation de l’IA, les données transmises par le réseau doivent faire foi. Les solutions qui offrent une observabilité avancée du trafic réseau, où qu’il circule – cloud privé/public et sur site, chiffré ou non chiffré, nord/sud et est-ouest, sont en ce sens des outils essentiels dans l’arsenal de toute entreprise moderne souhaitant identifier et éliminer les risques du shadow IA. »