Lecture: 4 min.
À compter d'aujourd'hui, tous les utilisateurs de Cloudflare One, notre plateforme SASE (Secure Access Service Edge, service d'accès sécurisé en périphérie), peuvent utiliser notre CASB (Cloud Access Security Broker, agent de sécurité des accès au cloud) basé sur API pour évaluer la stratégie de sécurité de leurs outils d'IA générative, plus spécifiquement ChatGPT d'OpenAI, Claude d'Anthropic et Google Gemini. Les entreprises peuvent connecter leurs comptes ouverts sur l'une ou l'autre de ces plateformes d'IA générative (GenAI, Generative AI) et, en quelques minutes, commencer à détecter les erreurs de configuration, les correspondances sur les outils de DLP (Data Loss Prevention, prévention des pertes de données), l'exposition et le partage de données, les risques de conformité et bien plus encore, le tout sans se retrouver contraintes d'installer un logiciel malcommode sur les appareils des utilisateurs.
À l'heure où l'adoption de l'IA générative explose au sein de l'entreprise, les équipes chargées de l'informatique et de la sécurité doivent faire tout leur possible pour demeurer informées des nouvelles problématiques en matière de sécurité et de conformité qui accompagnent ces puissants outils. Face à l'évolution rapide de leurs environnements, ces équipes ont besoin d'outils qui permettent de faciliter l'adoption de l'IA, tout en protégeant la sécurité et la confidentialité des réseaux et des données de leur entreprise.
Le CASB sur API et le CASB interne (in-line) proposés par Cloudflare fonctionnent de concert afin d'aider les entreprises à adopter les outils soutenus par IA en toute sécurité. Les intégrations du CASB sur API assurent une visibilité hors bande sur les données au repos et la stratégie de sécurité au sein d'outils IA populaires, comme les plateformes ChatGPT, Claude et Gemini. En parallèle, la solution Cloudflare Gateway propose des mesures de contrôle des invites (prompts) in-line, ainsi que l'identification de l'IA fantôme (Shadow AI). Elle parvient à ses fins en appliquant des politiques et des stratégies DLP au trafic lorsqu'il transite vers ces fournisseurs d'IA. Ensemble, ces fonctionnalités permettent aux entreprises de disposer d'une interface unifiée conçue pour sécuriser leur utilisation de l'IA générative.
Les plateformes ChatGPT, Claude et Gemini sont désormais toutes disponibles dans l'ensemble d'intégrations prises en charge par le CASB sur API de Cloudflare. Ces intégrations sont disponibles pour tous les utilisateurs de Cloudflare One. Les titulaires de comptes peuvent ainsi facilement connecter leurs entités (tenants) d'IA générative. De même, le CASB recherchera les problèmes de sécurité sur plusieurs domaines :
Connexions sans agent : connectez ChatGPT, Claude et Gemini par l'intermédiaire d'intégrations sans agent basées sur API afin d'analyser la stratégie et les risques liés aux données. Vous n'avez aucun logiciel à installer sur le point de terminaison.
Gestion de la stratégie : détectez les paramètres non sécurisés et les erreurs de configuration susceptibles de donner lieu à une exposition ou à une mauvaise utilisation des données.
Détection DLP : identifiez à quel endroit des données sensibles ont été importées au sein de pièces jointes (les invites seront prochainement disponibles).
Informations spécifiques à l'IA générative : identifiez les risques associés aux capacités uniques des ensembles d'outils d'un fournisseur d'IA donné.
Les administrateurs peuvent désormais répondre à diverses questions, comme les suivantes. Quelles actions nos collaborateurs effectuent-ils dans ChatGPT ? Quelles données sont importées et utilisées dans Claude ? La plateforme Gemini est-elle correctement configurée dans Google Workspace ?
Intéressons-nous maintenant plus en détail à chaque intégration.
L'intégration du CASB Cloudflare à la plateforme ChatGPT d'OpenAI permet de rechercher plusieurs types d'informations, notamment :
Le contenu sensible (via DLP) : celle-ci détecte les données sensibles (p. ex. les identifiants et les secrets, les informations financières/médicales, le code source, etc.) par l'intermédiaire de correspondances avec un profil DLP au sein des pièces jointes importées afin de permettre une réponse ciblée.
En ce qui concerne Claude, Cloudflare est capable de détecter les informations hors bande suivantes :
Secrets, clés et invitations : cette procédure met en évidence les invitations à haut risque et les occurrences de dérive des droits à un stade précoce afin que le contrôle des accès basé sur le principe du moindre privilège demeure strict. Elle identifie également les clés d'API inutilisées et les lacunes dans la rotation avant que ces failles ne se transforment en portes ouvertes oubliées de tous.
Contenu sensible (via DLP) : la solution surveille la présence de données sensibles dans les fichiers importés afin de permettre aux entreprises d'utiliser Claude en toute sécurité, tout en assurant la conformité. Les équipes de sécurité reçoivent ces informations dès que le CASB les détecte afin de bénéficier de la visibilité nécessaire pour aider les collaborateurs à utiliser Claude de manière productive et sécurisée, malgré l'emploi de données sensibles.
Lorsqu'Anthropic continuera d'étendre les capacités de l'API de Claude, Cloudflare ajoutera les mesures de détection d'éléments de sécurité correspondantes afin de s'adapter aux nouvelles fonctionnalités dès que ces dernières seront disponibles.
Les mesures de détections Cloudflare pour Google Gemini apparaissent dans le cadre de l'intégration de notre CASB sur API pour Google Workspace :
Identité et MFA : cet outil identifie les utilisateurs et les administrateurs de Gemini qui n'ont pas activé la MFA (Multi-Factor Authentication, authentification multifacteur) et constituent ainsi des cibles de premier ordre pour les tentatives de compromission. Imaginez qu'un administrateur informatique dépende quotidiennement de Gemini pour traiter les données de son entreprise, mais qu'il n'ait pas activé l'authentification à deux facteurs sur son compte Google Workspace. Un e-mail de phishing réussi pourrait permettre à l'acteur malveillant à l'origine de celui-ci d'obtenir un accès privilégié à Gemini et à l'ensemble de l'environnement Google Workspace. Ce qui constituait une simple négligence au départ pourrait ainsi se transformer en véritable violation à l'échelle de l'entreprise.
Intégrité des licences : cette mesure de surveillance repère les comptes suspendus qui détiennent encore des licences Gemini ou AI Ultra afin de réduire les coûts et l'exposition. Un utilisateur titulaire d'un abonnement AI Ultra a accès à des fonctionnalités plus puissantes et plus risquées, comme le projet Mariner, un prototype de recherche qui se comporte comme un agent autonome et peut automatiser jusqu'à 10 tâches simultanément sur les navigateurs web. En compromettant ces utilisateurs, un acteur malveillant peut ainsi provoquer davantage de dégâts. C'est pourquoi nous incluons ce niveau d'abonnement dans notre ensemble de mesures de détection.
L'intégration à Gemini présente une portée plus restreinte, car Google a structuré son produit et son API différemment de ceux d'OpenAI ou d'Anthropic. La plateforme Gemini est proposée aux entreprises sous forme de service supplémentaire au sein de l'environnement Google Workspace. Les entreprises activent les fonctionnalités de Gemini dans Gmail, Docs, Sheets et d'autres applications Google Workspace par l'intermédiaire de licences supplémentaires, comme Gemini Enterprise ou AI Ultra. Nos mesures de détection soutenues par CASB se concentrent sur l'identité, l'authentification multifacteur (MFA) et l'intégrité des licences plutôt que sur les problèmes liés à la stratégie de sécurité, comme le partage public de données ou la publication par des assistants personnalisés, car Gemini ne propose pas encore ces points de terminaison dans son API.
L'avenir de la gestion de la stratégie en matière d'IA générative
Tout comme d'innombrables autres entreprises, Cloudflare adopte l'IA générative et s'engage sur le parcours qui permettra de rendre ces environnements encore plus sûrs qu'ils ne le sont à l'heure actuelle. Nous sommes heureux d'étendre la couverture de nos capacités de gestion à nos clients afin de leur permettre de continuer à innover avec l'IA générative. Toutefois, si nous regardons vers l'avenir, nous nous réjouissons de voir les fournisseurs d'IA générative prendre des mesures concrètes pour intégrer de manière plus profonde les principes de sécurité, de conformité et de confidentialité des données au sein de leurs plateformes.
Sécurisez l'IA générative au-delà de la portée des mesures de contrôle in-line
L'adoption de l'IA générative entraîne de nouvelles exigences en termes de sécurité. Le CASB Cloudflare assure une visibilité hors bande sur ces outils, en faisant apparaître des informations supplémentaires par rapport aux mesures de contrôle in-line. En maintenant leur stratégie, leurs accès et leurs données sous contrôle, les entreprises peuvent adopter l'IA générative en toute confiance et en toute sécurité.
Bien démarrer :
Clients Cloudflare One existants : contactez votre responsable de compte ou activez dès maintenant les intégrations, directement au sein de votre tableau de bord.
Vous êtes un nouveau client Cloudflare One ? Inscrivez-vous pour bénéficier de 50 postes gratuits et commencer à utiliser immédiatement l'IA générative, en toute sécurité. En cas de déploiements de grande envergure, n'hésitez pas à demander une consultation avec nos experts.
Si vous souhaitez découvrir d'autres fonctionnalités en avant-première et contribuer à définir notre feuille de route, nous vous invitons à manifester votre intérêt pour notre programme de recherche utilisateur consacré à la sécurité de l'IA.