Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les agents IA représentent la plus grande menace pour la sécurité des données que vous ne maîtrisez pas

Les agents IA représentent la plus grande menace pour la sécurité des données que vous ne maîtrisez pas

par Patrick Spencer updated février 25, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 12 minutes

Quelque chose a discrètement évolué dans la sécurité des entreprises cette année, et la plupart des organisations ne s’en sont pas rendu compte.

Les agents IA — des systèmes autonomes capables de raisonner, d’agir et d’interagir indépendamment avec les ressources de l’entreprise — sont passés des phases pilotes à des flux de travail en production. Ils ajustent les allocations de ressources cloud, exécutent des processus métier complexes, interrogent des bases de données et interagissent avec des API externes. Ils accomplissent tout cela avec une grande autonomie, à la vitesse de la machine, et souvent sans supervision humaine continue.

Et voici ce qui devrait inquiéter chaque RSSI : l’infrastructure de sécurité qui encadre ces agents n’a pas suivi leur déploiement. Loin de là.

Le rapport Cyber Pulse de Microsoft confirme que plus de 80 % des entreprises du Fortune 500 utilisent désormais des agents IA actifs, dont beaucoup sont créés avec des outils low-code et no-code, mettant ainsi la création d’agents entre les mains des utilisateurs métier, et non plus seulement des développeurs. Ce même rapport lance un avertissement sans détour : ces agents « se déploient plus vite que certaines entreprises ne peuvent les voir ». Ce manque de visibilité n’est pas un simple inconvénient. Microsoft y voit un risque métier qui exige une gouvernance et une sécurité urgentes.

La question n’est plus de savoir si votre organisation utilisera des agents IA. C’est de savoir si vous les gouvernerez avant qu’ils ne provoquent une faille impossible à contenir.

5 points clés à retenir

  1. Les agents IA se déploient plus vite que les équipes de sécurité ne peuvent les détecter. Plus de 80 % des entreprises du Fortune 500 utilisent aujourd’hui des agents IA actifs créés avec des outils low-code et no-code. Le rapport Cyber Pulse de Microsoft alerte : ces agents « se déploient plus vite que certaines entreprises ne peuvent les voir », créant ainsi un manque de visibilité que le rapport qualifie explicitement de risque métier. Quand des systèmes autonomes peuvent raisonner, agir et accéder aux ressources de l’entreprise de façon indépendante, l’absence de gouvernance n’est pas une simple lacune — c’est une porte ouverte.
  2. Une organisation sur trois considère l’accès non supervisé aux données par des agents IA comme une menace critique. Selon le rapport Data Security Landscape 2025 de Proofpoint, 32 % des organisations identifient l’accès non supervisé aux données par des agents IA comme une menace critique. Ces agents opèrent souvent comme des « superutilisateurs » très privilégiés, accédant à des données sensibles dans des environnements cloud et hybrides avec bien moins de supervision que n’importe quel collaborateur humain.
  3. Des agents IA peuvent être détournés via des instructions cachées — sans aucune interaction utilisateur. Trend Micro a démontré que des agents IA multimodaux peuvent être manipulés via des instructions cachées dans des images ou documents, entraînant l’exfiltration de données sensibles sans aucun clic de l’utilisateur. Des chercheurs sur arXiv ont mis au point une attaque de bout en bout où des instructions cachées sur une page de blog malveillante poussent un agent basé sur RAG à extraire des secrets de sa base de connaissances et à les envoyer à un serveur contrôlé par l’attaquant.
  4. 44 % des organisations n’ont pas une supervision suffisante de l’utilisation de l’IA générative. Proofpoint a constaté que 44 % des organisations reconnaissent ne pas disposer d’une supervision adéquate de l’utilisation de l’IA générative, y compris des outils et agents. La Cloud Security Alliance révèle un écart de sensibilisation frappant : 52 % des cadres dirigeants se déclarent familiers avec les technologies IA contre seulement 11 % des collaborateurs de terrain — ceux qui utilisent ces outils au quotidien.
  5. Le manque de gouvernance est une bombe à retardement financière. Le coût moyen d’une violation de données s’élève désormais à 4,88 millions de dollars (IBM Cost of a Data Breach Report, 2024). Les amendes du règlement européen sur l’IA peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Les sanctions RGPD montent à 20 millions d’euros ou 4 % du chiffre d’affaires. Avec une hausse de 56,4 % des incidents de confidentialité liés à l’IA en un an (Stanford 2025 AI Index Report), les organisations qui ne peuvent démontrer une gouvernance de l’IA s’exposent à des risques financiers et juridiques croissants.

L’agentic workspace est déjà là — et la plupart des organisations ignorent ce qui s’y passe

Le rapport Data Security Landscape 2025 de Proofpoint a introduit un terme qui résume parfaitement la situation actuelle : l’« agentic workspace ». Il désigne un environnement où des outils de productivité pilotés par l’IA et des agents autonomes traitent des données sensibles aux côtés des humains. La conclusion du rapport est sans appel : de nombreuses organisations « manquent de visibilité et de contrôles pour gouverner ce nouvel agentic workspace ».

Les chiffres qui sous-tendent ce constat sont édifiants. Près de la moitié des répondants identifient la dispersion des données dans les environnements cloud et hybrides comme une préoccupation majeure. Deux organisations sur cinq citent la perte de données via des outils d’IA générative publics ou d’entreprise comme une inquiétude principale. Plus d’un tiers s’inquiètent de l’utilisation de données sensibles pour l’entraînement de modèles IA. Et 32 % voient l’accès non supervisé aux données par des agents IA — souvent en tant que « superutilisateurs » — comme une menace critique.

Ce qui rend la situation particulièrement dangereuse, c’est l’écart entre la perception et la réalité. La Cloud Security Alliance a révélé que 52 % des cadres dirigeants se disent familiers avec les technologies IA, mais seulement 11 % des collaborateurs l’affirment. C’est un gouffre de gouvernance. Ceux qui prennent les décisions sur la politique IA surestiment souvent la préparation de leur organisation, tandis que ceux qui utilisent réellement les outils manquent de connaissances pour les utiliser en toute sécurité.

Parallèlement, 44 % des organisations reconnaissent ne pas avoir une supervision suffisante de l’utilisation de l’IA générative. Cela inclut les outils utilisés quotidiennement par les collaborateurs et les agents de plus en plus intégrés aux flux de travail de l’entreprise.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Comment les agents IA sont détournés : prompt injection et exfiltration de données

Si le manque de visibilité était le seul problème, il serait gérable. Mais les agents IA ne créent pas qu’une exposition passive. Ils peuvent être activement détournés — et les recherches récentes le prouvent de façon alarmante.

Les travaux de Trend Micro sur les vulnérabilités des agents IA ont montré que des agents multimodaux peuvent être manipulés via des instructions cachées dans des images ou documents. L’attaque ne nécessite aucune interaction utilisateur. Un document ou une image contenant des instructions dissimulées peut pousser un agent à exfiltrer des données sensibles — y compris des informations personnelles comme noms, numéros de sécurité sociale et coordonnées, données financières, informations médicales protégées, secrets d’affaires, identifiants d’authentification et documents confidentiels téléchargés — sans que l’utilisateur ne s’en rende compte.

La surface d’attaque s’étend au web. Trend Micro a montré que des agents capables d’analyser des pages web peuvent lire des instructions malveillantes intégrées dans des sites, qui leur ordonnent d’exfiltrer des données stockées en mémoire — telles que des clés API ou des coordonnées — vers des destinations contrôlées par l’attaquant. Si le trafic sortant est autorisé, l’agent devient un canal de fuite de données à l’insu de tous.

Les chercheurs publiant sur arXiv sont allés plus loin. Ils ont construit une attaque complète contre un agent IA basé sur le retrieval-augmented generation (RAG), capable d’interroger une base de connaissances interne contenant des secrets de projet sensibles et de récupérer du contenu web externe. Une page de blog malveillante contenait des instructions cachées en blanc sur blanc, invisibles pour les utilisateurs humains. Lorsqu’on a demandé à l’agent de résumer la page, il a ingéré ces instructions et les a exécutées — extrayant le secret de sa base de connaissances, l’intégrant dans un paramètre d’URL, puis l’envoyant à un serveur contrôlé par l’attaquant via l’outil de recherche web prévu à cet effet.

La conclusion de l’article doit retenir l’attention de tous les responsables sécurité : les agents LLM actuels utilisant des outils et RAG présentent une « vulnérabilité fondamentale » face aux attaques indirectes par prompt injection, et les fonctions de sécurité intégrées aux modèles sont insuffisantes sans couches défensives supplémentaires.

Ce n’est pas théorique. Ces attaques ciblent précisément le type d’architecture d’agent que les entreprises déploient aujourd’hui.

Trois vulnérabilités qui s’additionnent et créent une crise

Le paysage des risques liés aux agents IA s’explique par trois vulnérabilités qui, combinées, exposent l’entreprise à des risques inédits.

La première vulnérabilité est l’accès excessif aux données — le volume de données auquel les agents peuvent accéder. Les agents IA ont besoin d’un accès large aux données pour fonctionner efficacement. Mais cet accès génère une surface d’exposition immense. En moyenne, les organisations comptent 15 000 comptes obsolètes mais actifs, avec plus de 31 000 autorisations obsolètes (Varonis 2025 State of Data Security Report), et chaque agent IA déployé ajoute une identité non humaine à cette surface d’attaque déjà tentaculaire. Les systèmes traditionnels de gestion des identités et des accès ont été conçus pour les humains, pas pour les machines. Ils manquent souvent de granularité pour appliquer le principe du moindre privilège à des systèmes autonomes capables de demander, traiter et transmettre des données à une vitesse inégalée par l’humain.

La deuxième vulnérabilité est l’utilisation incontrôlée des données — les types de données traitées par les agents et leur destination. Les études montrent que le plus grand groupe d’entreprises — 27 % — admet que plus de 30 % des informations envoyées à des outils IA contiennent des données privées, dont des numéros de sécurité sociale, dossiers médicaux, informations de carte bancaire et propriété intellectuelle protégée. 17 % n’ont aucune visibilité sur ce que partagent leurs collaborateurs. Une fois ces données intégrées à l’entraînement d’un modèle public, il est impossible de les récupérer, de les supprimer ou de les contrôler. La contamination est permanente.

La troisième vulnérabilité est la manipulation des agents — exploitation via prompt injection, skills malveillantes et attaques supply chain. Les agents IA qui interagissent avec des services externes, des plugins et des réseaux d’agents sont vulnérables au même type d’attaques indirectes par prompt injection que celles démontrées par Trend Micro et les chercheurs d’arXiv. Une skill IA compromise peut se propager à travers les réseaux d’agents en quelques heures. Des agents autonomes peuvent être manipulés pour exfiltrer des identifiants, accéder à des fichiers sensibles et provoquer des violations de conformité — à la vitesse de la machine, bien plus rapidement qu’une menace interne humaine.

Ces trois vulnérabilités ne sont pas isolées. Elles s’additionnent. Un agent doté d’un accès excessif, qui traite des données non contrôlées et est vulnérable à la manipulation, n’est pas seulement un risque — c’est une faille annoncée.

Le shadow AI aggrave tout

À ces vulnérabilités structurelles s’ajoute le problème du shadow AI. Près de la moitié des utilisateurs d’IA générative s’appuient sur des applications IA personnelles et non approuvées, totalement hors du champ de vision de l’organisation. Les collaborateurs téléchargent régulièrement du code source, des données réglementées et de la propriété intellectuelle sur ces outils pour résumer, déboguer ou générer du contenu — souvent sans savoir que ces données peuvent servir à entraîner des modèles publics.

L’ampleur du phénomène est impressionnante. Une organisation subit en moyenne 223 violations de politiques de données liées à l’IA par mois, le code source représentant 42 % des incidents et les données réglementées 32 % (Netskope Cloud and Threat Report 2026). Les incidents de confidentialité liés à l’IA ont augmenté de 56,4 % en un an (Stanford 2025 AI Index Report). Et 98 % des entreprises ont des collaborateurs utilisant des applications non approuvées, avec une moyenne de 1 200 applications non officielles par organisation (Varonis 2025 State of Data Security Report).

Seules 17 % des organisations disposent de contrôles techniques bloquant l’accès aux outils IA publics avec analyse DLP. 40 % se contentent de la formation et d’audits. Et 13 % n’ont aucune règle en place.

Bloquer totalement l’IA n’est pas la solution — toutes les organisations qui ont essayé le savent. Les collaborateurs trouvent des moyens de contourner. Ils utilisent des comptes personnels. Ils téléchargent des données sur des outils gratuits depuis leur téléphone. Le résultat n’est pas moins d’IA, mais une IA invisible, bien plus risquée.

Le fossé de gouvernance est plus large que ce que les organisations admettent

Malgré la montée des risques, la plupart des organisations ne sont pas prêtes. Seules 12 % disposent de structures de gouvernance IA dédiées, tandis que 55 % n’ont aucun cadre en place. À peine 9 % atteignent le niveau de maturité jugé « prêt » par les analystes, alors que 23 % se disent « très préparés » — un excès de confiance de 14 points qui constitue en soi un risque.

Par ailleurs, 86 % des organisations n’ont aucune visibilité sur les flux de données IA, et 45 % citent la pression à déployer rapidement comme principal obstacle à la gouvernance. Chez les responsables techniques, ce chiffre grimpe à 56 %. Résultat : un schéma qui se répète dans tous les secteurs — des organisations déploient des agents IA en production alors que leur infrastructure de gouvernance, de sécurité et de conformité est encore pensée pour un monde où seuls les humains accédaient aux données sensibles.

La réglementation, elle, n’attend pas que les organisations rattrapent leur retard. Cinquante-neuf nouvelles réglementations en matière de protection des données personnelles ont été adoptées rien que l’an dernier. Le règlement européen sur l’IA prévoit des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les violations à haut risque. Les sanctions RGPD peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires. Des exigences sectorielles spécifiques sous HIPAA, SOX, GLBA et CMMC ajoutent d’autres obligations de conformité qui touchent directement à la façon dont les agents IA accèdent, traitent et transmettent les données sensibles.

Zero Trust pour les agents IA : le modèle de sécurité adapté

Le rapport Cyber Pulse de Microsoft présente la solution avec des termes familiers aux professionnels de la sécurité : Zero Trust. Le rapport applique les mêmes principes Zero Trust aux agents qu’aux utilisateurs humains — accès au moindre privilège, vérification explicite de « qui ou quoi » demande l’accès, et présomption de compromission comme principe de conception.

Ce cadre est intuitif. Les agents IA sont des identités. Ils s’authentifient, demandent des accès, agissent. Le fait qu’ils ne soient pas humains ne les rend pas moins dangereux — au contraire, ils le sont davantage, car ils opèrent à des vitesses et des échelles pour lesquelles les contrôles de sécurité centrés sur l’humain n’ont jamais été conçus.

Appliquer le Zero Trust à l’agentic workspace signifie que chaque agent IA doit être traité comme une identité distincte nécessitant authentification et autorisation. L’accès doit être limité aux autorisations strictement nécessaires à chaque tâche. Chaque interaction avec les données doit être enregistrée dans une piste d’audit immuable. La détection d’anomalies doit fonctionner à la vitesse de la machine pour suivre le rythme des opérations des agents. Et les flux de données sortants doivent être gouvernés pour éviter l’exfiltration — qu’elle soit due à un agent compromis, à un prompt manipulé ou à un workflow mal configuré.

Les recherches de Trend Micro vont dans ce sens, recommandant des contrôles d’accès robustes, un filtrage avancé du contenu et une surveillance en temps réel pour limiter les fuites de données et les actions non autorisées. Les chercheurs d’arXiv arrivent à la même conclusion : les fonctions de sécurité intégrées aux modèles ne suffisent pas. Il faut des couches défensives supplémentaires.

À quoi ressemble l’infrastructure adaptée

Sécuriser l’agentic workspace exige une infrastructure opérant au niveau des données, et non seulement au niveau réseau. La sécurité réseau — qui inspecte le trafic via des proxys — peut détecter qu’un collaborateur a visité une application IA. Mais elle ne permet pas de gouverner quelles données précises un agent IA consulte dans les référentiels de l’entreprise, d’appliquer des politiques granulaires sur l’utilisation de ces données, ni de fournir la piste d’audit au niveau du contenu exigée par les régulateurs.

L’infrastructure nécessaire pour combler le fossé de gouvernance IA présente plusieurs caractéristiques fondamentales. Elle doit proposer une passerelle sécurisée entre les systèmes IA et les données de l’entreprise, où les principes Zero Trust s’appliquent à chaque interaction. Elle doit isoler l’exécution des agents IA pour qu’un plugin ou une skill compromis ne puisse accéder qu’aux ressources autorisées. Elle doit étendre les cadres de gouvernance existants — contrôle d’accès basé sur les rôles et les attributs — à toutes les interactions IA, y compris celles initiées par des agents autonomes. Elle doit enregistrer chaque interaction IA-données dans une piste d’audit immuable avec identité, horodatage, données consultées et système IA utilisé. Et elle doit détecter les anomalies à la vitesse de la machine, en signalant par exemple un agent qui demande soudainement de gros volumes de données inhabituels ou tente de transmettre des données vers des destinations anormales.

Le Réseau de données privé Kiteworks a été conçu pour relever ce défi. Sa passerelle de données IA crée un pont Zero Trust entre les systèmes IA et les référentiels de données de l’entreprise, garantissant que les données ne quittent jamais l’environnement protégé. Son serveur MCP sécurisé isole l’exécution des agents IA avec authentification OAuth 2.0, détection d’anomalies et application du cadre de gouvernance. Et sa gouvernance unifiée multi-canal couvre le partage de fichiers, le transfert sécurisé de fichiers, l’e-mail, les formulaires web, les API et les interactions IA sous un moteur de politiques unique avec une piste d’audit immuable unique.

Pour les organisations des secteurs réglementés, la flexibilité de déploiement est essentielle. Kiteworks prend en charge les environnements sur site, cloud privé, hybride et FedRAMP High — avec des contrôles de conformité préconfigurés pour HIPAA, SOX, RGPD, CCPA, CMMC, NIST CSF, ISO 27001 et le règlement européen sur l’IA.

Attendre coûte des violations, des amendes et des dommages irréversibles

L’argument financier en faveur de la gouvernance des données IA est sans équivoque. Le coût moyen d’une violation de données s’élève à 4,88 millions de dollars. Dans la santé, ce chiffre atteint 10,93 millions (IBM Cost of a Data Breach Report, 2024). Les amendes du règlement européen sur l’IA pour les violations à haut risque peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Les sanctions RGPD montent à 20 millions d’euros ou 4 %. Les pertes liées aux attaques supply chain logicielles sont estimées à 60 milliards de dollars pour l’ensemble du secteur.

Mais le coût le plus dommageable est peut-être le plus difficile à quantifier : la propriété intellectuelle intégrée de façon permanente dans les ensembles d’entraînement IA publics. Une fois les données propriétaires intégrées à un modèle public, il est impossible de les récupérer, de les supprimer ou de les contrôler. Le préjudice concurrentiel est irréversible.

Les organisations qui mettent en place dès maintenant une gouvernance IA au niveau des données ne se contentent pas de réduire les risques. Elles gagnent un avantage concurrentiel — la capacité d’adopter l’IA plus vite, plus sereinement, et avec les preuves de conformité documentées exigées par les régulateurs, auditeurs et clients.

Trois actions à mettre en œuvre dès maintenant

Premièrement, obtenez de la visibilité sur ce qui se passe déjà. On ne peut gouverner que ce qu’on voit. Déployez une surveillance qui capture les interactions IA-données sur tous les canaux — pas seulement le trafic web, mais aussi le partage de fichiers, l’e-mail, les API et les workflows agents. Identifiez où circulent les données sensibles vers les systèmes IA et si ces flux sont autorisés, tracés et conformes. Si 44 % des organisations reconnaissent manquer de supervision, supposez que la vôtre en fait partie tant que vous ne pouvez pas prouver le contraire.

Deuxièmement, appliquez le Zero Trust à chaque agent IA. Traitez chaque agent IA comme une identité non humaine nécessitant la même authentification, autorisation et contrôle d’accès qu’un utilisateur humain — avec les garde-fous supplémentaires qu’exige la vitesse de la machine. Appliquez le principe du moindre privilège. Isolez l’exécution des agents. Surveillez les comportements anormaux. Veillez à ce qu’aucun agent n’accède à des données au-delà de ce que requiert sa tâche spécifique.

Troisièmement, permettez l’IA avec la gouvernance intégrée — ne la bloquez pas. Les organisations qui tentent d’interdire l’IA perdront cette bataille. Les collaborateurs trouveront des solutions de contournement, et le shadow AI proliférera. L’approche pérenne consiste à mettre en place une infrastructure qui permet aux collaborateurs d’utiliser l’IA de façon productive tout en garantissant que les données sensibles ne quittent jamais l’environnement protégé. Une gouvernance automatique, en arrière-plan, sans nuire à la productivité, est le seul modèle qui passe à l’échelle.

La révolution IA en entreprise n’est pas à venir. Elle est déjà là. La question est de savoir si votre organisation la gouvernera — ou subira ses conséquences.

Pour découvrir comment Kiteworks peut vous accompagner, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

Les chatbots IA traditionnels répondent à des requêtes dans une interface limitée et n’agissent pas de façon indépendante. Les agents IA sont fondamentalement différents — ils raisonnent, planifient et agissent de manière autonome à travers les systèmes de l’entreprise, interrogent des bases de données, appellent des API, exécutent des processus complexes et transmettent des données avec une supervision humaine minimale. Cette autonomie crée le risque de sécurité. Un agent ne se contente pas de répondre à une question ; il agit comme une identité non humaine privilégiée, avec un accès à des données sensibles à des vitesses et à des échelles pour lesquelles les contrôles de sécurité centrés sur l’humain n’ont jamais été conçus. En cas de compromission ou de manipulation, un agent peut exfiltrer des milliers d’enregistrements avant même qu’une alerte ne soit déclenchée.

Le prompt injection indirect consiste à intégrer des instructions cachées dans un contenu traité par un agent IA — document, image ou page web — qui outrepassent la programmation initiale de l’agent. Lorsque l’agent traite ce contenu, il exécute les instructions de l’attaquant. Trend Micro a démontré que cela entraîne une exfiltration de données sans aucune interaction utilisateur. Des chercheurs sur arXiv ont conçu une attaque fonctionnelle qui a poussé un agent basé sur RAG à extraire des secrets internes et à les transmettre au serveur d’un attaquant. Les outils de sécurité traditionnels — DLP, pare-feu, protection des endpoints — sont impuissants, car l’exfiltration se fait via des canaux légitimes et autorisés que l’agent est censé utiliser.

Le shadow AI désigne l’utilisation par les collaborateurs d’outils IA non approuvés — comptes personnels, produits gratuits, extensions de navigateur — sans que l’organisation n’en ait connaissance ni contrôle. Les études montrent que 98 % des entreprises ont des collaborateurs utilisant des applications non approuvées, et qu’une organisation subit en moyenne 223 violations de politiques de données liées à l’IA par mois. L’exposition est permanente : lorsque des collaborateurs téléchargent du code source, des dossiers médicaux, des données financières ou de la propriété intellectuelle sur un modèle IA public, ces données peuvent être intégrées à l’ensemble d’entraînement du modèle. Il est alors impossible de les récupérer, de les supprimer ou de les contrôler. Bloquer totalement l’IA ne règle pas le problème — cela pousse l’utilisation dans la clandestinité, créant une exposition invisible au lieu d’une exposition maîtrisée.

Le Zero Trust pour les agents IA reprend les mêmes principes que pour les utilisateurs humains, avec des garde-fous supplémentaires pour la vitesse de la machine. Chaque agent est considéré comme une identité distincte nécessitant une authentification et une autorisation explicites. L’accès est limité aux données strictement nécessaires à chaque tâche — jamais à l’ensemble du référentiel. Chaque interaction avec les données est enregistrée dans une piste d’audit immuable. La détection d’anomalies fonctionne à la vitesse de la machine pour signaler les comportements inhabituels, comme des demandes massives de données ou des transmissions vers des destinations inattendues. Et les flux de données sortants sont gouvernés pour qu’un agent compromis ne puisse pas exfiltrer de données via des canaux autorisés. Les contrôles d’accès basés sur les rôles et les attributs doivent s’étendre explicitement aux identités non humaines — la plupart des systèmes IAM n’ont pas été conçus pour les agents.

Plusieurs cadres majeurs recoupent désormais directement la gouvernance des agents IA. Le règlement européen sur l’IA prévoit des amendes jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les violations à haut risque et exige une supervision humaine documentée et la traçabilité des données. Le RGPD impose une base légale et des garanties appropriées pour tout traitement de données personnelles, y compris par des agents automatisés. HIPAA exige des contrôles d’accès et des pistes d’audit pour chaque système manipulant des informations médicales protégées. CMMC impose des solutions FedRAMP pour les sous-traitants fédéraux traitant des informations non classifiées contrôlées. GLBA impose des mesures de protection sur l’accès aux données financières. Avec 59 nouvelles réglementations sur la protection des données adoptées l’an dernier, la gouvernance IA est passée du statut de bonne pratique à celui d’exigence de conformité dans tous les secteurs.

Ressources complémentaires

  • Article de blog Architecture Zero Trust : Ne jamais faire confiance, toujours vérifier
  • Vidéo Microsoft GCC High : Les inconvénients qui poussent les sous-traitants de la défense vers des solutions plus intelligentes
  • Article de blog Comment sécuriser les données classifiées une fois signalées par le DSPM
  • Article de blog Instaurer la confiance dans l’IA générative grâce à une approche Zero Trust
  • Vidéo Guide ultime pour le stockage sécurisé des données sensibles à destination des responsables IT

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks