Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Gestion des risques liés à la cybersécurité > Stratégie IA du DHS dévoilée : Kiteworks apporte la solution

Stratégie IA du DHS dévoilée : Kiteworks apporte la solution

par Patrick Spencer updated mars 4, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

Le Department of Homeland Security (DHS) ne fait rien à petite échelle. Vingt-deux agences rattachées. 260 000 employés. Des missions qui couvrent la sécurité des frontières, la cybersécurité, l’immigration et la gestion des catastrophes. Et désormais, une obligation officielle d’adopter l’IA de façon responsable dans tous ces domaines.

Points clés à retenir

  1. Le DHS construit une passerelle centralisée d’IA avec autorisation continue. La stratégie IA du DHS pour le mémorandum OMB M-25-21 impose une passerelle API d’IA-as-a-Service à l’échelle de l’entreprise : un pipeline unique et gouverné par lequel chaque composante accède à des fonctions d’IA approuvées. Cette passerelle remplace les déploiements éparpillés par composante par une sécurité centralisée et une surveillance continue, et non des contrôles périodiques.
  2. Le suivi de la provenance des données devient une exigence fédérale, plus seulement une bonne pratique. Le DHS exige désormais une chaîne de traçabilité vérifiable pour chaque jeu de données : sa provenance, les personnes qui y ont accédé, les modifications apportées. Le GAO a constaté que le DHS n’avait pas pleinement mis en œuvre la documentation des sources de données ni la vérification de leur fiabilité. La stratégie rend le suivi de la provenance obligatoire pour tous les systèmes d’IA.
  3. Le GAO a constaté que les pratiques d’IA du DHS étaient insuffisantes. Plusieurs audits du GAO ont révélé que le DHS n’avait pas mis en œuvre les principales pratiques d’imputabilité en matière d’IA. Un audit a montré que l’inventaire de l’IA du Département n’était même pas exact : un cas d’usage présenté comme de l’IA n’en était pas. La stratégie répond directement à ces constats en imposant une imputabilité sur l’ensemble du cycle de vie, du développement à la production.
  4. 57 % des organisations n’ont pas de passerelle centralisée pour les données IA. Selon le rapport prévisionnel Kiteworks 2026, seules 43 % des organisations disposent aujourd’hui d’une passerelle centralisée pour les données IA. Les 57 % restants sont fragmentés, partiels ou n’ont aucun contrôle dédié. Sept pour cent ont déployé l’IA sans aucune gouvernance sur la façon dont ces systèmes accèdent aux données sensibles.
  5. Kiteworks fournit déjà ce que décrit la stratégie du DHS. Le Réseau de données privé Kiteworks inclut un serveur MCP en production qui fait office de passerelle centralisée d’IA, un moteur de règles de données qui applique RBAC et ABAC à chaque opération, des journaux d’audit immuables et une possibilité de déploiement FedRAMP : c’est exactement l’architecture exigée par le DHS.

En septembre 2025, le DHS a publié sa stratégie IA pour le mémorandum OMB M-25-21 : le plan opérationnel du Département pour généraliser l’IA tout en gardant la gouvernance, la sécurité et l’imputabilité en amont de la technologie. Trois piliers sont identifiés : une passerelle consolidée d’IA-as-a-Service avec autorisation continue, une gouvernance des données fondée sur la traçabilité et le contrôle du partage entre composantes, et des mécanismes de gouvernance qui relient chaque investissement IA à des résultats de mission mesurables.

Voilà la stratégie. Ce qui la rend digne d’intérêt, ce n’est pas son ambition, mais sa précision. Le DHS a nommé l’architecture dont il a besoin. Et Kiteworks l’a déjà construite.

22 agences, zéro infrastructure IA unifiée… jusqu’à aujourd’hui

Le DHS fait face à un problème de prolifération. CISA, CBP, ICE, TSA, USCIS, le Secret Service, la Coast Guard : chacun achète et développe des outils d’IA de façon indépendante. Résultat : efforts dupliqués, postures de sécurité incohérentes et aucune méthode unifiée pour gouverner ce que ces systèmes peuvent consulter ou produire.

La réponse de la stratégie : une passerelle API d’IA-as-a-Service centralisée. Un hub unique. Toutes les composantes s’y connectent. Chaque requête passe par un point d’application unique pour la sécurité, la conformité et le contrôle d’accès. La passerelle ne fait pas que réduire les contrats redondants : elle crée le point de contrôle architectural où la politique rencontre l’exécution.

Tout aussi important : la stratégie met fin au modèle « autoriser une fois, croiser les doigts ». Les systèmes d’IA doivent être surveillés, testés et réautorisés en continu en production. Pas tous les trois ans lors d’une recertification. En continu. C’est un changement fondamental par rapport au mode de fonctionnement de la plupart des agences – et des entreprises – aujourd’hui.

Gouvernance des données : là où la plupart des organisations échouent

Le deuxième pilier est celui qui met mal à l’aise quiconque considère la gouvernance des données comme une simple formalité.

Le DHS le reconnaît : l’IA n’est aussi performante que les données qu’elle traite. Si les données alimentant vos systèmes d’IA sont peu fiables, dupliquées, mal classifiées ou enfermées dans des silos, les résultats en pâtiront. La stratégie s’articule autour de quatre engagements : moderniser les politiques de données dans chaque composante, appliquer des standards communs de qualité, renforcer la traçabilité des données et lever les obstacles au partage de données entre composantes.

Ce dernier point est l’un des échecs opérationnels les plus persistants du DHS. Les composantes doivent régulièrement partager des renseignements, des dossiers et des données opérationnelles au-delà de leurs frontières organisationnelles. Mais le partage de données sensibles entre agences – chacune ayant ses propres systèmes de classification, politiques d’accès et obligations de conformité – est lent, manuel et insuffisant. La stratégie exige une architecture qui applique automatiquement les règles de partage, sans avoir recours à des validations par e-mail ou des tableaux Excel.

Le GAO a précisément interpellé le DHS sur ce sujet. Plusieurs audits ont montré que le Département n’avait pas mis en œuvre les pratiques d’imputabilité IA, notamment la documentation des sources de données et la vérification de leur fiabilité. Un audit a révélé que l’inventaire IA lui-même était inexact. L’accent mis par la stratégie sur la provenance n’est pas une ambition, mais un plan d’action correctif.

Mission : le DHS ne veut plus payer pour une IA inefficace

Le troisième pilier est celui qui devrait inquiéter tous les fournisseurs.

Le DHS exige des mécanismes de gouvernance qui relient les investissements IA à des résultats de mission mesurables. Pas des métriques de projets pilotes. Pas des démonstrations. De vraies améliorations dans la façon dont le Département accomplit ses missions, avec des points de contrôle intégrés pour arrêter les projets qui n’apportent rien.

Cela inclut la préparation des équipes (former les collaborateurs à travailler avec l’IA, pas seulement déployer des outils et espérer), la R&D ciblée sur des besoins opérationnels précis, et une planification des ressources qui exige des résultats tangibles avant le prochain cycle budgétaire. Le message est clair : le DHS en a assez des projets IA qui impressionnent lors d’une présentation puis disparaissent dans le processus d’achat. Si vous investissez dans l’IA sans pouvoir démontrer une amélioration concrète de la mission, vous faites face au même problème que le DHS cherche à résoudre.

Les chiffres montrent que la plupart des entreprises ne sont pas prêtes

La stratégie du DHS décrit à quoi ressemble une infrastructure IA responsable. Le rapport prévisionnel 2026 sur la sécurité des données et les risques de conformité de Kiteworks montre à quel point la plupart des organisations en sont loin.

Seules 43 % des organisations disposent d’une passerelle centralisée pour les données IA. Les 57 % restantes sont fragmentées, disposent de contrôles partiels ou n’ont rien du tout. Sept pour cent ont déployé l’IA sans aucune gouvernance dédiée sur la façon dont ces systèmes accèdent aux données sensibles. Elles ont de l’IA, mais elles ne la gouvernent pas.

Soixante pour cent ne peuvent pas mettre fin rapidement à un agent IA défaillant. Soixante-trois pour cent n’imposent aucune limite à ce que les agents sont autorisés à faire. Trente-trois pour cent n’ont pas du tout de journaux d’audit de qualité probante. Et 78 % ne peuvent pas valider les données qui entrent dans leurs pipelines d’entraînement IA.

L’écart entre gouvernance et confinement est particulièrement révélateur. Les organisations ont investi dans la surveillance – journaux, monitoring, tableaux de bord. Mais pas dans l’arrêt. Le binding de finalité est absent dans 63 % des organisations. Les kill switches manquent dans 60 %. L’isolation réseau est absente dans 55 %. Ce ne sont pas des problèmes de gouvernance, mais des échecs de confinement. Et le confinement, c’est ce qui empêche une interaction IA problématique de se transformer en violation de données.

À quoi ressemble une vraie mise en œuvre

Kiteworks a construit l’architecture décrite dans la stratégie du DHS. Pas sur une feuille de route, mais en production.

Au centre, un serveur MCP en production relie les agents IA au contenu d’entreprise dans le Réseau de données privé Kiteworks. C’est la passerelle privée de données imaginée par le DHS : les agents s’y connectent, et chaque requête – chaque accès à un fichier, chaque recherche, chaque opération sur les données – passe par le moteur de règles de données Kiteworks avant toute action. L’agent fait le travail. Le moteur de règles applique les politiques.

Le moteur de règles applique le contrôle d’accès basé sur les rôles (RBAC) et sur les attributs (ABAC) à chaque opération. Ce n’est pas du logging a posteriori, mais une autorisation préalable à l’exécution. Avant qu’un agent IA puisse lire un fichier, modifier un document ou partager du contenu au-delà d’une frontière organisationnelle, le moteur évalue la demande selon l’ensemble des règles applicables : qui fait la demande, quel est l’objet, quelle classification, et si l’opération est permise selon la politique en vigueur.

Le contenu ne quitte jamais le périmètre gouverné sans autorisation explicite. C’est une différence majeure par rapport aux plateformes qui se contentent de journaliser les mouvements de données après coup, en espérant que l’audit détectera les problèmes avant qu’ils ne deviennent des incidents.

Correspondance entre Kiteworks et le cadre du DHS

Passerelle IA-as-a-Service. Le serveur MCP est la passerelle centralisée, autorisée en continu. Les agents IA s’y connectent. Le moteur de règles autorise chaque requête en temps réel. Le contenu reste dans le périmètre gouverné sauf autorisation explicite. C’est l’architecture décrite par le DHS – déjà déployée, pas seulement prévue.

Provenance des données et gouvernance inter-composantes. Chaque opération sur un fichier comporte des métadonnées complètes : tags de classification, historique d’accès, enregistrements de modification, contexte organisationnel. RBAC et ABAC appliquent automatiquement les politiques de partage entre frontières organisationnelles. La traçabilité des données n’est pas reconstituée a posteriori : elle est capturée à chaque interaction – la chaîne de traçabilité exigée par le DHS.

Alignement sur le cadre d’imputabilité du GAO. L’audit logging immuable, impossible à modifier ou supprimer, fournit des traces de qualité probante pour les auditeurs et enquêteurs. Un déploiement FedRAMP et des contrôles d’imputabilité sur le cycle de vie IA répondent aux recommandations spécifiques du GAO au DHS – pas des principes généraux, mais les lacunes réellement identifiées.

Conformité à l’international et multi-cadre. Des options de déploiement flexibles – sur site, cloud privé, hybride, FedRAMP – permettent de stocker les contenus sensibles dans la juridiction d’origine. La gestion des clés de chiffrement reste dans la juridiction. Le géofencing impose la résidence des données. Des modèles de conformité préconfigurés pour le RGPD, DORA, NIS 2, HIPAA, CMMC, etc. fournissent les preuves de conformité continue exigées par les régulateurs.

Ce que chaque prestataire fédéral et RSSI doit faire dès maintenant

Comparez votre infrastructure IA au cadre en trois piliers du DHS. Si vous ne pouvez pas identifier une passerelle unique et gouvernée par laquelle tous les agents IA accèdent aux données sensibles, vous faites face au même problème de fragmentation que le DHS cherche à résoudre – et à la même exposition en matière de conformité. Cette stratégie n’est pas une simple recommandation : elle sert de modèle pour les exigences d’achat et les clauses contractuelles des mémorandums OMB M-25-21 et M-25-22.

Auditez la provenance de vos données et vos contrôles de partage inter-composantes. Le GAO a constaté que le DHS ne pouvait pas documenter les sources de données ni vérifier leur fiabilité. Si vous êtes prestataire ou partenaire et que vous ne pouvez pas prouver la traçabilité et l’application automatique des règles de partage, vous encourez le même risque d’audit que celui signalé par le GAO – et le compte à rebours pour la mise en conformité a commencé.

Comblez l’écart de confinement avant celui de gouvernance. La plupart des organisations ont investi dans la surveillance. Peu ont investi dans l’arrêt. Le binding de finalité, les kill switches et l’isolation réseau sont les contrôles qui empêchent un agent IA défaillant de provoquer une fuite de données. Soixante pour cent des organisations en manquent au moins un. Priorisez le confinement. La gouvernance sans confinement, ce n’est que de la surveillance.

Exigez des journaux d’audit de qualité probante, indépendants de la mémoire des agents IA. Trente-trois pour cent des organisations en sont totalement dépourvues. Les autres disposent souvent de journaux fragmentés, répartis sur des systèmes déconnectés. Les journaux d’audit immuables et centralisés ne sont pas une option : ils constituent la base de toute posture de conformité défendable.

La stratégie le décrit. Kiteworks le fournit.

La stratégie IA du DHS n’est pas un vœu pieux. Elle est prescriptive. Elle nomme l’architecture – passerelles centralisées, autorisation continue, provenance des données, imputabilité sur le cycle de vie – et elle nomme les lacunes. Pour les organisations qui transfèrent des données sensibles entre frontières organisationnelles, travaillent avec des agences fédérales ou reconnaissent qu’une IA non gouvernée est un risque, la feuille de route est claire.

L’infrastructure pour répondre à ces exigences existe déjà. Le Réseau de données privé Kiteworks – avec son serveur MCP, son moteur de règles, l’application RBAC/ABAC, ses journaux d’audit immuables et sa possibilité de déploiement FedRAMP – fournit l’infrastructure IA gouvernée décrite par le DHS et dont la plupart des organisations sont encore dépourvues.

La question n’est pas de savoir si votre organisation en a besoin. Mais si vous l’aurez avant le prochain audit, la prochaine décision d’achat ou le prochain incident qui tranchera pour vous.

Le DHS a écrit les exigences. Kiteworks a construit la plateforme.

Foire aux questions

Les prestataires fédéraux qui se préparent à des audits de conformité IA doivent savoir que la stratégie IA du DHS impose trois fonctions : une passerelle d’IA-as-a-Service à l’échelle de l’entreprise avec autorisation continue, une gouvernance des données avec traçabilité et contrôle du partage inter-composantes, et une gouvernance qui relie les investissements à des résultats de mission. Ces exigences découlent du mémorandum OMB M-25-21 et façonneront le langage des achats et les clauses contractuelles dans toutes les composantes du DHS.

La stratégie IA du DHS traite la gouvernance inter-composantes en imposant l’application automatique des politiques aux frontières organisationnelles, la traçabilité des données et des standards communs de qualité. Pour les agences qui partagent des données sensibles entre composantes, cela remplace les validations manuelles par des contrôles architecturaux qui appliquent les règles de partage avant tout transfert de données.

Le GAO a constaté que le DHS n’a pas documenté les sources de données, ni vérifié la fiabilité des données, ni maintenu un inventaire IA exact. Les organisations qui se préparent à un contrôle accru doivent prioriser l’audit logging immuable, la traçabilité des données et les contrôles d’imputabilité sur le cycle de vie. Kiteworks répond directement à ces lacunes avec des journaux d’audit de qualité probante, une traçabilité complète des métadonnées et une possibilité de déploiement conforme FedRAMP.

Kiteworks répond déjà aux exigences de passerelle du DHS pour les organisations qui déploient des agents IA sur des contenus sensibles. Son serveur MCP en production fait office de passerelle centralisée IA, et son moteur de règles applique RBAC et ABAC à chaque requête d’agent avant tout transfert de données. Les journaux d’audit immuables et la possibilité de déploiement FedRAMP complètent la posture de conformité.

Seules 43 % des organisations disposent d’une passerelle centralisée pour les données IA, selon le rapport prévisionnel Kiteworks 2026. Les 57 % restantes n’ont pas de point d’application unifié pour le contrôle d’accès, l’audit logging et l’application des politiques – les fonctions exactes désormais exigées par le DHS, le GAO et l’OMB pour un déploiement responsable de l’IA dans les agences fédérales et chez leurs prestataires.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks