Abonnez-vous pour recevoir des notifications sur les nouveaux articles :

Une suite complète d'outils de sécurité Zero Trust pour tirer le meilleur parti de l'IA

15/05/2023

9 min. de lecture

Une suite d'outils de Cloudflare One pour aider vos équipes à utiliser les services basés sur l'IA en toute sécurité.

Zero Trust Security for AI

Cloudflare One permet aux équipes de toute taille d'utiliser en toute sécurité les meilleurs outils disponibles sur Internet, sans devoir se préoccuper des complexités liées à la gestion ou des problématiques liées aux performances. Nous sommes ravis d'annoncer Cloudflare One for AI, une nouvelle collection de fonctionnalités qui aident votre équipe à développer des solutions fondées sur les nouveaux services d'IA, tout en préservant une stratégie de sécurité Zero Trust.

Grands modèles de langage, très grands défis pour la sécurité

Un grand modèle de langage (LLM, Large Language Model) tel que OpenAI GPT ou Google Bard consiste en un réseau neuronal ayant reçu un apprentissage basé sur un ensemble de données, permettant de prédire et générer du texte à partir d'une invite. Les utilisateurs peuvent poser des questions, demander des commentaires et s'appuyer sur le service pour produire différents textes, des poèmes jusqu'aux applications Cloudflare Workers.

Ces outils se distinguent également par leur étrange similitude avec un véritable humain. À l'instar de certaines conversations personnelles de la vie réelle, le partage excessif d'informations peut devenir un grave problème avec ces services d'IA, et ce risque est démultiplié par les types de scénarios d'utilisation dans lesquels les modèles LLM s'avèrent particulièrement efficaces. Ces outils peuvent aider les développeurs à résoudre des problèmes de codage difficiles ou aider les travailleurs de l'information à produire des rapports succincts à partir d'une accumulation désordonnée de notes. Malgré leur utilité, toutefois, chaque fragment de données fourni par le biais d'une invite devient une donnée qui échappe au contrôle de votre entreprise.

Certaines réactions à des outils tels que ChatGPT ont consisté à essayer d'imposer l'interdiction pure et simple du service, que ce soit à l'échelle d'une entreprise ou de l'ensemble d'une nation. Nous pensons qu'une telle mesure ne devrait pas être nécessaire. L'objectif de Cloudflare One est de vous permettre d'utiliser en toute sécurité les outils dont vous avez besoin, où qu'ils se trouvent, sans compromettre les performances. Ces fonctionnalités paraîtront familières à tous ceux qui utilisent déjà les produits Zero Trust de Cloudflare One, mais nous sommes ravis de vous présenter des scénarios dans lesquels vous pouvez dès maintenant utiliser les outils disponibles pour permettre à votre équipe de tirer parti des fonctionnalités LLM les plus récentes.

Mesurer l'utilisation

Les applications SaaS permettent à n'importe quel utilisateur de s'inscrire et de commencer à tester des fonctionnalités. C'est d'ailleurs cette praticité qui fait que ces outils représentent un risque, tant au regard des budgets informatiques que des politiques de sécurité. Les équipes appellent ce problème « Shadow IT » (informatique fantôme), un terme désignant l'adoption d'applications et de services extérieurs aux canaux approuvés au sein d'une organisation.

Au regard des problématiques budgétaires, des clients primo-adoptants nous ont indiqué qu'ils savent que des membres de leur équipe commencent à effectuer des expériences avec les LLM, mais ils ne sont pas sûrs de la manière d'aborder une décision concernant une licence commerciale. De quels services et fonctionnalités les utilisateurs ont-ils besoin, et combien de places doivent-ils acheter ?

Du point de vue de la sécurité, les IA peuvent se montrer révolutionnaires en facilitant l'exécution de différentes tâches, mais également terrifiantes, au regard des politiques de contrôle des données. Les membres de l'équipe utilisent ces IA comme des « groupes d'expertise » lorsqu'ils s'attèlent à la résolution de problématiques complexes. Les services invitent les utilisateurs à leur poser leurs questions ou leur présenter leurs problématiques. Parfois, les informations contextuelles fournies dans ces invites peuvent contenir des données sensibles, qui ne devraient jamais être diffusées hors d'une entreprise. Même si les équipes sélectionnent et approuvent un fournisseur unique, les collaborateurs de votre entreprise peuvent préférer une autre IA et continuer à l'utiliser dans leur flux de travail.

Les clients de Cloudflare One, quelle que soit l'offre qu'ils ont souscrite, peuvent désormais examiner l'utilisation des IA. Votre service informatique peut déployer Cloudflare Gateway et observer passivement le nombre d'utilisateurs choisissant tel ou tel service, afin de commencer à étudier les offres de licence pour entreprises.

Les administrateurs peuvent également bloquer l'utilisation de ces services d'un simple clic ; toutefois, cela n'est pas notre objectif aujourd'hui. Cette fonction peut s'avérer utile si vous choisissez ChatGPT comme modèle approuvé et vous souhaitez vous assurer que les membres de votre équipe ne continuent pas à utiliser d'autres services ; cependant, nous espérons que vous ne bloquerez pas tous ces services d'emblée. La priorité de Cloudflare est de vous offrir la possibilité d'utiliser ces outils en toute sécurité.

Contrôler l'accès aux API

Lorsque nos équipes ont commencé à réaliser des expériences avec le service ChatGPT d'OpenAI, nous avons été étonnés par ce que ce dernier savait déjà sur Cloudflare. Nous avons demandé à ChatGPT de créer des applications avec Cloudflare Workers ou de nous guider dans la configuration d'une politique Cloudflare Access et, dans la plupart des cas, les résultats ont été précis et pertinents.

Dans certains cas, toutefois, les résultats n'étaient pas probants : les IA disposaient d'informations obsolètes, ou nos questions concernaient des fonctionnalités qui n'avaient été lancées que récemment. Heureusement, ces IA sont capables d'apprendre, et nous pouvons les aider. Nous pouvons entraîner ces modèles avec des entrées ciblées, puis connecter des plug-ins pour offrir à nos clients de meilleures expériences guidées par l'IA lors de l'utilisation des services de Cloudflare.

Certains de nos clients nous ont indiqué souhaiter faire la même chose et, comme nous, ils ont besoin de partager en toute sécurité des données d'apprentissage et d'accorder, à un service d'IA, un accès par le biais d'un plug-in. La suite de sécurité de Cloudflare One s'étend au-delà des utilisateurs humains et peut offrir aux équipes la possibilité de partager en toute sécurité un accès Zero Trust à des données sensibles par le biais d'API.

Premièrement, les équipes peuvent créer des jetons de service que les services externes doivent présenter pour accéder aux données mises à disposition par Cloudflare One. Les administrateurs peuvent fournir ces jetons aux systèmes transmettant des requêtes d'API et journaliser chaque requête. Si nécessaire, les équipes peuvent révoquer ces jetons d'un simple clic.

Après avoir créé et émis des jetons de service, les administrateurs peuvent configurer des politiques permettant à des services spécifiques d'accéder à leurs données d'apprentissage. Ces politiques vérifient le jeton de service et peuvent être étendues afin de vérifier le pays, l'adresse IP ou la présence d'un certificat mTLS. Des politiques peuvent également être créées pour exiger des utilisateurs humains qu'ils s'authentifient auprès d'un fournisseur d'identité et qu'ils renseignent une invite d'authentification MFA avant d'accéder à des services ou des données d'apprentissage sensibles.

Lorsque les équipes sont prêtes à autoriser un service d'IA à se connecter à leur infrastructure, elles peuvent le faire sans ouvrir des brèches dans leur pare-feu, grâce à Cloudflare Tunnel. Cloudflare Tunnel crée une connexion chiffrée, uniquement sortante, au réseau de Cloudflare, permettant de vérifier la conformité de chaque requête aux règles d'accès configurées pour un ou plusieurs services protégés par Cloudflare One.

Le contrôle d'accès Zero Trust de Cloudflare vous donne la possibilité d'exiger l'authentification à chaque requête transmise aux données que votre organisation décide de fournir à ces outils. Il reste donc toutefois une lacune concernant les données que les membres de votre équipe pourraient communiquer par mégarde, de leur propre initiative.

Restreindre les transferts de données

Les administrateurs peuvent sélectionner un service d'IA, bloquer les alternatives liées au Shadow IT et restreindre avec précision l'accès à leurs supports d'apprentissage ; cependant, ces expériences avec l'IA impliquent toujours des humains. N'importe qui, parmi nous, peut accidentellement provoquer un incident de sécurité en divulguant par mégarde des informations lors de l'utilisation d'un service d'IA, même s'il s'agit d'un service approuvé.

Nous nous attendons à ce que les terrains de jeu de l'IA continuent d'évoluer, afin d'offrir davantage de fonctionnalités de gestion des données ; toutefois, nous ne pensons pas qu'il faille attendre davantage pour commencer à intégrer ces services à votre flux de travail. Le service de prévention des pertes de données (DLP) de Cloudflare peut offrir une protection permettant de mettre un frein au partage excessif d'informations, avant que celui-ci ne provoque un incident pour votre équipe de sécurité.

D'abord, dites-nous quelles sont les données qui vous préoccupent. Nous proposons des options préconfigurées simples qui vous permettent de rechercher les informations ressemblant à des numéros de sécurité sociale ou à des numéros de carte de paiement. Cloudflare DLP peut également rechercher des modèles basés sur des expressions régulières, configurées par votre équipe.

Une fois que vous avez défini les données qui ne doivent jamais quitter votre organisation, vous pouvez élaborer des règles granulaires spécifiant de quelle façon elles peuvent ou non être partagées avec les services d'IA. Certains utilisateurs peuvent être autorisés à réaliser des expériences dans le cadre de projets contenant des données sensibles ; dans ce cas, vous pouvez élaborer une règle autorisant uniquement un groupe Active Directory ou Okta à transférer ce type d'informations, tandis que tous les autres utilisateurs sont bloqués.

Contrôler l'utilisation sans proxy

Les outils présentés dans cet article de blog se concentrent sur les fonctionnalités spécifiques aux données en mouvement. Nous voulons également nous assurer que des erreurs de configuration des applications n'entraînent pas des violations de la sécurité. Par exemple, la nouvelle fonction de plug-in de ChatGPT permet d'intégrer les connaissances et les flux de travail des services externes au flux d'interactions avec l'IA. Cependant, cela peut également avoir pour conséquence que les services situés derrière les plug-ins disposent d'un accès plus étendu que vous ne le souhaiteriez.

Le CASB (Cloud Access Security Broker) de Cloudflare analyse vos applications SaaS afin de détecter les problèmes potentiels pouvant survenir lorsque les utilisateurs effectuent des modifications. Qu'il s'agisse de vous alerter au sujet de fichiers qu'un utilisateur vient accidentellement de diffuser sur Internet ou de vérifier que vos référentiels GitHub disposent de contrôles d'appartenance adéquats, le CASB de Cloudflare élimine les tâches manuelles nécessaires à la vérification de chaque paramètre afin d'identifier les problèmes potentiels dans vos applications SaaS.

Nous développons actuellement de nouvelles intégrations avec des services d'IA populaires, permettant de rechercher les erreurs de configuration ; ce service sera disponible prochainement. Comme la plupart des utilisateurs de ces services, nous en apprenons toujours davantage sur les situations dans lesquelles des accidents potentiels peuvent se produire, et nous sommes ravis de fournir aux administrateurs utilisant notre CASB notre première suite de contrôles dédiés aux services d'IA.

Et ensuite ?

L'utilité de ces outils ne fera qu'augmenter. La capacité des services d'IA à accompagner et générer des résultats continuera à faciliter la tâche des créateurs de tous horizons tandis qu'ils travaillent au développement du prochain grand succès.

Nos objectifs sont similaires. Les produits Cloudflare destinés à aider les utilisateurs à créer des applications et des services et notre plateforme Workers éliminent les problématiques telles que la nécessité de vous demander où déployer votre application ou comment gérer l'évolutivité de vos services. Cloudflare résout ces difficultés, permettant ainsi aux utilisateurs de se concentrer sur la création. Avec les services d'IA, nous nous attendons à voir des milliers de nouveaux créateurs lancer la prochaine vague de produits développés sur Cloudflare et inspirés par l'accompagnement et la génération assistés par IA.

Nous avons déjà assisté à l'aboutissement de dizaines de projets développés sur Cloudflare Workers avec les conseils d'outils tels que ChatGPT. Nous avons l'intention de lancer de nouvelles intégrations avec ces modèles afin de rendre ce processus encore plus fluide, en apportant de meilleurs conseils spécifiques à Cloudflare à l'expérience de chat.

Nous savons également que le risque que représentent ces outils pour la sécurité va augmenter. Nous continuerons à intégrer à Cloudflare One des fonctionnalités visant à devancer les risques à mesure qu'ils évoluent de pair avec ces services. Prêt à vous lancer ? Inscrivez-vous ici pour commencer à utiliser Cloudflare One gratuitement pour les équipes comptant jusqu'à 50 utilisateurs.

Nous protégeons des réseaux d'entreprise entiers, aidons nos clients à développer efficacement des applications à l'échelle d'Internet, accélérons n'importe quel site web ou application Internet, repoussons les attaques DDoS, maintenons les pirates à distance et pouvons vous aider dans votre parcours vers le Zero Trust.

Rendez-vous sur 1.1.1.1 depuis n'importe quel appareil pour commencer à utiliser notre application gratuite, qui rend votre navigation Internet plus rapide et plus sûre.

Pour en savoir plus sur notre mission visant à bâtir un meilleur Internet, cliquez ici. Si vous cherchez de nouvelles perspectives professionnelles, consultez nos postes vacants.

Developer Week (FR)FrançaisZero Trust (FR)Cloudflare One (FR)AI Gateway (FR)AI (FR)

Suivre sur X

Cloudflare|@cloudflare

Publications associées