Comprendre les risques et les responsabilités dans les environnements de développement IA
Les développeurs utilisent de plus en plus d’outils comme Copilot Studio, les services Azure AI, Copilot dans Fabric et les applications inscrites dans Microsoft Entra. Ces environnements déverrouillent de nouvelles fonctionnalités, mais créent également des risques de sécurité et de conformité si les protections ne sont pas appliquées. De l’accès aux données non sécurisées aux réponses IA non gérées, un seul agent ou invite mal configuré peut entraîner une exposition de données sensibles ou des violations réglementaires.
Les agents et applications IA créés dans des environnements de développement peuvent ingérer, générer et partager des informations sensibles en fonction des entrées utilisateur et des sources de données principales. Plusieurs facteurs rendent ces environnements à risque unique :
- Les attaques par injection d’invite peuvent exploiter une entrée non filtrée pour manipuler le comportement d’un agent.
- Les agents IA peuvent accéder aux données et les retourner, en particulier si leurs autorisations sont trop étendues.
- Les fichiers utilisés dans le développement peuvent ne pas avoir d’étiquettes de confidentialité ou de chiffrement, ce qui les laisse non protégés.
- Les applications personnalisées inscrites via l’ID Microsoft Entra ou déployées à l’aide de services Azure AI peuvent se trouver en dehors de la visibilité des outils de sécurité traditionnels s’ils ne sont pas intégrés à Microsoft Purview.
Ces environnements incluent tous les outils ou plateformes dans lesquels les développeurs ou les créateurs créent, configurent ou étendent des applications basées sur l’IA, que ce soit par le biais d’interfaces à faible code, de code personnalisé ou d’interfaces inscrites par Microsoft Entra.
Comprendre le défi
Le rythme et la flexibilité du développement d’IA créent souvent des lacunes dans la visibilité et le contrôle. Contrairement aux systèmes informatiques traditionnels, ces outils s’exécutent dans des plateformes décentralisées ou à faible code où les protections ne sont pas appliquées de manière cohérente. Cela introduit un risque non seulement pendant le déploiement, mais également au début du développement et des tests.
Établir des mesures de protection dans les environnements de développement
Pour réduire ces risques, les organisations doivent effectuer ces actions dans les environnements de développement IA :
- Découvrir les applications et les agents pour identifier les données auxquelles ils accèdent
- Appliquer des étiquettes de confidentialité et des stratégies DLP afin que les fichiers sensibles et les interactions dangereuses soient protégés
- Détecter le comportement à risque tel que l’utilisation incorrecte d’invite ou l’accès non autorisé à l’aide de Purview Analytics
- Conserver et examiner les interactions avec la rétention, l’audit et eDiscovery pour répondre aux besoins de conformité
Utiliser Microsoft Purview pour appliquer des protections
Une fois les risques identifiés, Microsoft Purview fournit les outils permettant d’appliquer des protections cohérentes dans les environnements de développement. DSPM pour IA donne une visibilité sur les applications et les agents actifs, tout en auditant et en cas de détection des risques, les interactions de capture de capture et la surface d’une utilisation abusive potentielle. Pour protéger le contenu sensible, les administrateurs peuvent appliquer des étiquettes de confidentialité et des stratégies DLP. Les stratégies de rétention conservent les données d’invite et de réponse pour la conformité, tandis que eDiscovery prend en charge la recherche et l’examen de ces données si nécessaire.
Prendre en charge le développement sécurisé sans ralentir l’innovation
Ces outils permettent aux organisations d’appliquer des protections cohérentes dans les environnements de développement IA. En se concentrant sur la visibilité, la protection, la détection et la conformité, les organisations peuvent prendre en charge le développement sécurisé sans ralentir l’innovation.