Le défi de la convergence de la conformité : l’expansion des permissions et les réglementations sur l’IA dans des environnements hybrides
Les responsables de la sécurité des entreprises sont confrontés à un défi de convergence de la conformité. Alors que les données défient les frontières et que les informations générées par l’IA peuvent de plus en plus accéder aux données personnelles, les technologues doivent agir avec détermination ou risquer une exposition réglementaire. Pourtant, ce défi recèle un avantage concurrentiel pour ceux qui construisent proactivement des cadres de gouvernance intelligents.
Les chiffres racontent une histoire. Pas moins de cinq États américains ont mis en œuvre de nouvelles lois sur la confidentialité des données jusqu’à présent. Simultanément, dans l’Union européenne (UE), la loi sur la résilience opérationnelle numérique (DORA) est entrée en vigueur pour les entités de services financiers.
En outre, la loi sur l’IA de l’UE crée un réseau complexe d’exigences réglementaires qui ne sont tout simplement pas conçues pour être gérées par les cadres de gouvernance des données traditionnels. L’impact financier est stupéfiant et s’accélère. Selon des recherches, le coût moyen d’une violation de données était de près de 5 millions de dollars en 2024, avec 10,5 trillions de dollars de cybercriminalité anticipés cette année. Le coût de l’inaction est élevé.
Le phénomène de l’expansion des permissions
L’expansion des permissions se produit lorsque les utilisateurs accumulent des droits d’accès au fil du temps qui dépassent leurs exigences professionnelles actuelles, créant un ensemble de permissions inutiles et entremêlées qui sont difficiles à suivre et à remédier. Cela résulte généralement de changements de rôle, de transitions de projet et de processus de déprovisionnement inadéquats, laissant les organisations avec une surface d’attaque en constante expansion. Avec 91 % des employés ayant quitté l’entreprise conservant l’accès à des fichiers sensibles, la vulnérabilité découle d’un manque de contrôles automatisés.
Le parcours de collision entre innovation et conformité
Ce qui rend cela particulièrement difficile n’est pas seulement le volume de nouvelles réglementations, mais leur coalescence autour de la gouvernance des données. Le Comité européen de la protection des données (EDPB) a rappelé aux entreprises que le développement responsable de l’IA doit s’aligner sur les principes du Règlement général sur la protection des données (RGPD) de l’UE, tandis que le Parlement européen a publié un rapport sur l’interaction entre la loi sur l’IA de l’UE et le RGPD, concluant qu’elle pourrait s’avérer restrictive dans les circonstances où le RGPD autorise le traitement de catégories spéciales de données personnelles.
Cela représente une collision fondamentale entre l’innovation et la conformité. Les initiatives d’IA ont un besoin insatiable de données, ce qui contredit les mandats stricts en matière de confidentialité, forçant les technologues à concilier des exigences apparemment incompatibles. Sans une approche holistique qui aborde et réduit l’expansion des permissions, les organisations doivent choisir entre freiner l’innovation ou risquer de lourdes amendes dues à une mauvaise hygiène d’accès.
La gouvernance multi-cloud : le point aveugle
Les approches de conformité traditionnelles tendent à échouer dans des environnements hybrides où les problèmes de gouvernance se multiplient en raison des différents services utilisés et de la complexité de l’infrastructure sous-jacente, créant des vulnérabilités de sécurité. Les données résidant dans le cloud sont généralement évolutives, partagées et automatisées, et les plateformes informatiques cloud-native peuvent souvent obscurcir l’emplacement réel des données à la fois pour l’utilisateur final et le fournisseur de services.
L’environnement multi-cloud, bien qu’offrant agilité, est devenu un point aveugle en matière de gouvernance. L’absence d’interfaces de programmation d’applications (API) standardisées et l’obscurcissement de la résidence des données à travers des plateformes disparates ne sont pas seulement des obstacles techniques. Ce sont des menaces à l’application cohérente des politiques et à la conformité auditable. Cette fragmentation signifie également que démontrer la responsabilité aux régulateurs peut être décourageant et chargé de risques.
Le défi de l’amplification de l’IA
Les charges de travail de l’IA ajoutent encore plus de complexité aux cadres de conformité. Après le RGPD, les demandeurs de brevets ayant une plus grande exposition aux marchés de l’UE ont augmenté les brevets de sauvegarde des données – ceux conçus pour fonctionner efficacement avec moins de données personnelles ou qui cherchent activement à préserver la confidentialité – tout en réduisant ceux qui nécessitent beaucoup de données, indiquant que les réglementations redéfinissent déjà les stratégies de développement de l’IA. Pourtant, la plupart des organisations manquent de l’infrastructure de gouvernance pour supporter cette transition.
Une grande partie de cette infrastructure manquante est la capacité à gérer et restreindre l’accès aux vastes ensembles de données alimentant les modèles d’IA, empêchant l’expansion des permissions d’exposer des données d’entraînement sensibles ou des données auxquelles les utilisateurs demandeurs ne devraient pas avoir accès. Les organisations doivent établir une symétrie de permissions entre les exigences des systèmes d’IA et les droits d’accès accordés, garantissant que les modèles d’apprentissage automatique ne disposent que des données nécessaires sans accumuler des permissions excessives qui pourraient compromettre des informations sensibles.
Construire une gouvernance résiliente : trois capacités critiques
Le chemin à suivre est clair, bien que difficile. Les responsables de la sécurité des entreprises et les entreprises qu’ils servent doivent passer d’une conformité réactive à une gouvernance des données proactive. Cela est non seulement nécessaire pour la survie, mais aussi un tremplin pour l’innovation. Trois capacités fondamentales sont nécessaires pour construire des cadres véritablement résilients :
- Analyse et remédiation automatisées des contrôles d’accès
- Application des politiques basée sur les métadonnées
- Visibilité inter-environnementale
Les technologues doivent d’abord mettre en œuvre une analyse des listes de contrôle d’accès (ACL) automatisée et une remédiation. Les audits manuels des permissions ne peuvent tout simplement pas évoluer pour répondre aux exigences réglementaires actuelles. Les organisations modernes axées sur les données ont besoin de systèmes capables d’analyser automatiquement l’héritage complexe des permissions, d’identifier les modèles d’accès excessifs et de corriger les violations sans intervention humaine.
Les cadres de gouvernance intelligents doivent tirer parti de l’intelligence des métadonnées. Ces cadres doivent extraire et utiliser de riches métadonnées – y compris la propriété, les listes de contrôle d’accès et les détails de traitement – pour permettre la gestion du cycle de vie des données pilotée par les politiques. Cela permet aux technologues et aux équipes de données de mettre en œuvre les exigences de limitation des finalités des mandats comme la California Consumer Privacy Act (CCPA) et le RGPD.
Une visibilité complète à travers tous les environnements est essentielle. Les équipes de conformité ont besoin d’une vue unique sur les données sur site, hybrides, et multi-cloud. Sans cela, elles ne peuvent pas démontrer la responsabilité de la gestion des données que les régulateurs exigent. Cette capacité expose les vulnérabilités, détecte et gère l’expansion des permissions à travers des systèmes disparates, et assure qu’aucun IT fantôme ou ressource négligée ne détient des droits d’accès excessifs.
Ces trois capacités sont des étapes décisives pour affronter le moment de convergence de la conformité. Les organisations qui investissent proactivement dans des cadres de gouvernance des données automatisés qui abordent catégoriquement l’expansion des permissions débloqueront les avantages de la transformation numérique et de l’innovation en matière d’IA. Celles qui continuent à utiliser des processus hérités se retrouveront sur la défensive, perdant des ressources réactives, étouffant leur capacité à tirer parti de l’IA, et finalement faisant face à des coûts insoutenables en raison, en grande partie, des vulnérabilités d’accès aux données non contrôlées et croissantes. Le choix est binaire. Soit les technologues dirigeront avec une gouvernance intelligente, soit leurs organisations feront face aux coûts spiraux du chaos des permissions.