Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les réglementations et normes de l’IA émergent dans les régions et les industries, fournissant un cadre robuste aux organisations pour évaluer, implémenter et tester leurs contrôles afin de développer et d’utiliser une IA fiable. Cet article aide les équipes à risque et à la conformité à se préparer à l’effort de conformité. Il décrit comment :
- Évaluez et renforcez votre posture de conformité par rapport aux réglementations.
- Implémentez des contrôles pour régir l’utilisation des applications et données IA.
Il s’agit du quatrième article d’une série. Si vous n’avez pas encore accompli les tâches de préparation à la sécurité de l’IA, découvrir des applications et des données IA, et protéger les applications et données IA, commencez par ces articles pour préparer votre environnement avec des fonctionnalités prescrites dans cet article.
Utilisez cet article avec ces ressources :
- Scénario d’entreprise du cadre d'adoption Zero Trust : répondez aux exigences réglementaires et de conformité avec Zero Trust
- Framework d’adoption du cloud (CAF) pour l’IA : processus de gouvernance de l’IA
Quelles sont les nouvelles considérations relatives à la gouvernance des applications et des données IA ?
Tout comme l’IA introduit de nouvelles surfaces d’attaque qui changent le paysage des risques, l’IA introduit également de nouvelles méthodes de traitement et d’utilisation de données qui affectent la conformité réglementaire. Ces nouvelles caractéristiques de l’IA affectent à la fois les réglementations existantes, telles que les réglementations en matière de confidentialité et les nouvelles réglementations ciblées spécifiquement sur l’utilisation de l’IA.
L’illustration suivante met en évidence les réglementations émergentes en matière d’IA, notamment l’intelligence artificielle et la Loi sur les données (AIDA) en Amérique du Nord, la Loi sur l’IA de l’UE, le Plan d’action de l’IA en Australie et les normes mondiales produites par l’ISO.
En règle générale, la gouvernance de l’IA pour la conformité réglementaire comprend les éléments suivants :
- Journalisation et conservation des interactions IA.
- Détection d’une utilisation non conforme potentielle.
- Utilisation d'outils, tels que eDiscovery pour les interactions avec l'IA, le cas échéant.
Cela permet aux organisations de répondre à leurs exigences de conformité et de répondre efficacement aux litiges potentiels.
Pour les organisations qui créent l’IA, les équipes de risque et de conformité doivent permettre aux équipes de développement de documenter leurs détails de projet, tels que le nom du modèle, la version, l’objectif des systèmes IA et leurs métriques d’évaluation pour traiter les risques de qualité, de sécurité et de sécurité. Cet effort peut aider les équipes de risque et de conformité à disposer d’un format standardisé d’informations pour préparer les audits et répondre aux demandes réglementaires.
Une autre bonne pratique consiste à utiliser des évaluations d’impact sur la confidentialité, un contrôle que de nombreuses entreprises ont déjà mis en œuvre pour des réglementations telles que le RGPD, afin de garantir que les applications IA disposent de toutes les évaluations et contrôles en place pour protéger la confidentialité. Microsoft fournit des fonctionnalités telles que les évaluations de confidentialité Priva qui peuvent être facilement intégrées à votre cycle de vie de développement d'IA pour s'assurer que les développeurs gardent la confidentialité à l'esprit.
Enfin, pour créer des applications IA responsables et respecter de nouvelles exigences réglementaires, les organisations doivent créer des garde-fous pour détecter et bloquer le contenu nuisible, comme la violence, la haine, la sexualité et le contenu auto-nuisible. En outre, vous souhaitez que vos applications IA produisent du contenu fiable. Les garde-fous devraient aider à détecter et corriger les informations incorrectes afin de réduire le risque de décisions erronées basées sur des résultats infondés. Ils doivent également identifier le contenu qui enfreint les droits d’auteur. Ces garde-fous peuvent aider les organisations à créer des applications IA responsables et fiables.
Fonctionnalités de gouvernance des applications et des données IA
Microsoft inclut des fonctionnalités permettant aux organisations de connecter les points entre les normes réglementaires et les solutions technologiques.
Les étapes suivantes décrivent l’illustration et décrivent également les étapes d’implémentation de ces fonctionnalités.
| Étape | Tâche | Étendue |
|---|---|---|
| 1 | Créer et gérer des évaluations dans le Gestionnaire de conformité Microsoft Purview | À l’échelle de l’entreprise |
| 2 | Utiliser Defender pour Cloud Apps pour gérer les applications IA en fonction du risque de conformité | Applications SaaS d'IA |
| 3 | Utiliser Cloud Security Posture Management (CSPM) pour les charges de travail IA pour découvrir et gérer des applications personnalisées en fonction du risque de conformité | Applications d'IA personnalisées basées sur Azure AI |
| 4 | Configurer la conformité des communications Purview pour réduire les risques de communication en vous aidant à détecter, capturer et agir sur des messages potentiellement inappropriés dans votre organisation | Applications et services Microsoft 365 Applications IA connectées par les connecteurs Microsoft Entra ou Microsoft Purview Data Map Services d'IA Azure |
| 5 | Configurez la gestion du cycle de vie des données Purview pour conserver le contenu que vous devez conserver et supprimer le contenu que vous n’avez pas. | Les stratégies de rétention pour les applications d'intelligence artificielle incluent les invites et les réponses des utilisateurs pour Microsoft 365 Copilot et Copilot Studio, ainsi que les invites et les réponses pour d'autres copilotes Microsoft et applications d’IA générative lorsqu'elles ont une politique de collecte avec le paramètre de capture de contenu. Ces messages peuvent ensuite être conservés et supprimés aux fins de conformité. Pour intégrer des applications IA développées sur d’autres fournisseurs de cloud, utilisez le Kit de développement logiciel (SDK) Purview. |
| 6 | Utiliser eDiscovery avec les journaux d’audit de Microsoft 365 Copilot pour les enquêtes, selon les besoins | Les journaux d’audit sont générés automatiquement lorsqu’un utilisateur interagit avec Copilot ou une application IA. Pour intégrer des applications IA développées sur d’autres fournisseurs de cloud, utilisez le Kit de développement logiciel (SDK) Purview. |
| 7 | Utiliser les évaluations de confidentialité de Privé pour lancer des évaluations d’impact sur la confidentialité pour les applications IA que vous créez | N’importe quelle application, n’importe quel emplacement |
| 8 | Utiliser des rapports IA dans AI Foundry pour documenter les détails du projet IA pour les applications que vous développez | Applications IA dans Azure |
| 9 | Implémenter Azure AI Content Safety pour bloquer le contenu dangereux et détecter et corriger les réponses infondées. | Applications IA dans Azure |
Étape 1 : Créer et gérer des évaluations dans Microsoft Purview Compliance Manager
Le Gestionnaire de conformité Microsoft Purview est une solution qui vous permet d’évaluer et de gérer automatiquement la conformité dans votre environnement multicloud. Le Gestionnaire de conformité peut vous aider tout au long de votre parcours de conformité, de l’inventaire des risques de protection de vos données à la gestion des complexités de l’implémentation de contrôles, la mise à jour des réglementations et des certifications et la création de rapports aux auditeurs.
Actuellement, le Gestionnaire de conformité inclut des modèles réglementaires pour les réglementations relatives à l’IA suivantes :
- Loi de l’UE sur l’intelligence artificielle
- ISO/IEC 23894:2023
- ISO/IEC 42001:2023
- NIST AI Risk Management Framework (RMF) 1.0
Utilisez les ressources suivantes pour commencer à utiliser le Gestionnaire de conformité.
| Tâche | Ressources recommandées |
|---|---|
| Découvrez et commencez | Gestionnaire de conformité Microsoft Purview Prise en main du Gestionnaire de conformité Microsoft Purview Créer et gérer des évaluations dans le Gestionnaire de conformité Microsoft Purview |
| Voir si le Gestionnaire de conformité inclut un modèle pour une réglementation | Liste des réglementations |
| Créer une évaluation personnalisée | Générer des évaluations personnalisées (préversion) dans le Gestionnaire de conformité Microsoft Purview |
Étape 2 : Utiliser Defender pour cloud Apps
Utilisez Defender pour Cloud Apps pour gérer les applications IA en fonction du risque de conformité. Les articles précédents de cette série décrivent comment utiliser Defender pour Cloud Apps pour découvrir, gérer et protéger l’utilisation d’applications IA. La conformité réglementaire introduit des critères supplémentaires pour trier et évaluer le risque de ces applications.
Après avoir généré une ou plusieurs évaluations pour des réglementations spécifiques dans Purview Compliance Manager, collaborez avec votre équipe Defender for Cloud Apps pour intégrer vos obligations de conformité dans les critères permettant d’évaluer le risque d’applications IA, de sanction ou de blocage de ces applications et d’appliquer des stratégies de session pour contrôler la façon dont ces applications sont accessibles (par exemple, avec un appareil conforme uniquement).
Consultez les articles précédents de cette série pour commencer et utiliser Defender pour Cloud Apps.
| Tâche | Ressources recommandées |
|---|---|
| Découvrir, approuver et bloquer des applications IA avec Microsoft Defender pour Cloud Apps | Voir l’étape 3 dans Découvrir les applications et données IA |
| Utiliser Defender pour Cloud Apps pour trier et protéger l’utilisation d’applications IA | Voir Tirer le meilleur parti de la protection contre les menaces pour l’IA dans Protéger les applications et les données IA |
Étape 3 : utiliser cspM (Cloud Security Posture Management) pour les charges de travail IA
Utilisez le plan CSPM (Defender Cloud Security Posture Management) dans Microsoft Defender pour Cloud pour découvrir et gérer des applications personnalisées basées sur les risques de conformité. Tout comme Defender pour Cloud Apps, la conformité réglementaire introduit des critères supplémentaires pour trier et évaluer le risque de vos applications créées personnalisées avec CSPM pour l’IA.
Collaborez avec votre équipe Defender pour Cloud pour intégrer vos obligations de conformité dans les critères d’évaluation du risque et de gouvernance de vos applications personnalisées.
Consultez les articles précédents de cette série pour commencer et utiliser Defender pour cloud.
| Tâche | Ressources recommandées |
|---|---|
| Découvrir les charges de travail IA déployées dans votre environnement et obtenir des insights de sécurité avec Microsoft Defender pour cloud | Voir l’étape 4 dans Découvrir les applications et les données IA] |
| Appliquer des protections IA dans Defender pour cloud | Consultez l’étape 2 pour tirer le meilleur parti de la protection contre les menaces pour l’IA dans protéger les applications et les données IA |
Étape 4 : configurer la conformité des communications Purview
Configurez Purview Communication Compliance pour réduire les risques de communication en vous aidant à détecter, capturer et agir sur des messages potentiellement inappropriés dans votre organisation. Pour l’IA dégénérative, vous pouvez utiliser des stratégies de conformité des communications pour analyser les interactions (invites et réponses) entrées dans des applications d’INTELLIGENCE artificielle génératives pour vous aider à détecter des interactions inappropriées ou risquées ou à partager des informations confidentielles. La couverture est prise en charge pour Microsoft 365 Copilot, les copilotes créés à l’aide de Microsoft Copilot Studio, des applications IA connectées par Microsoft Entra ou des connecteurs Microsoft Purview Data Map, et bien plus encore.
Utilisez les ressources suivantes pour commencer.
| Tâche | Ressources recommandées |
|---|---|
| Découvrez et commencez. | En savoir plus sur la conformité des communications Planifier la conformité des communications Démarrage avec la conformité des communications |
| Configurer des stratégies | Configurer une stratégie de conformité des communications pour détecter les interactions d’IA génératives Créer et gérer des stratégies de conformité des communications |
Étape 5 : configurer la gestion du cycle de vie des données Purview
La gestion du cycle de vie des données Microsoft Purview vous fournit des outils et des fonctionnalités permettant de conserver le contenu que vous devez conserver et de supprimer celui dont vous n’avez pas besoin. La suppression proactive du contenu que vous n’avez plus besoin de conserver permet de réduire le risque de surexposition des données dans les outils IA. Les principales fonctionnalités sont les suivantes :
- Stratégies de rétention et étiquettes de rétention.
- Archivage des boîtes aux lettres et boîtes aux lettres inactives : les boîtes aux lettres utilisateur incluent un dossier masqué avec des invites et des réponses Copilot
Utilisez les ressources suivantes pour commencer.
| Tâche | Ressources recommandées |
|---|---|
| Découvrez et commencez | En savoir plus sur la gestion du cycle de vie des données Microsoft Purview Prise en main de la gestion du cycle de vie des données |
| En savoir plus sur la rétention des applications Copilot & IA | Découvrez comment la rétention fonctionne avec les applications IA |
| Pour les applications IA développées dans d’autres fournisseurs de cloud, intégrez le Kit de développement logiciel (SDK) Purview | En savoir plus sur le Kit de développement logiciel (SDK) Microsoft Purview |
Étape 6 : utiliser eDiscovery avec les journaux d’audit pour Microsoft 365 Copilot
Utilisez Microsoft Purview eDiscovery pour rechercher des mots clés dans les invites et réponses Copilot susceptibles d’être inappropriées. Vous pouvez également inclure ces informations dans un cas eDiscovery pour examiner, exporter ou mettre ces données en attente pour une enquête juridique en cours.
Utilisez les journaux d’audit Microsoft Purview pour identifier comment, quand et où les interactions Copilot se sont produites et quels éléments ont été accessibles, y compris les étiquettes de confidentialité sur ces éléments.
| Tâche | Ressources recommandées |
|---|---|
| Découvrez où les données d’utilisation de Copilot sont stockées et comment vous pouvez l’auditer | Architecture de protection et d'audit des données Microsoft 365 Copilot |
| Bien démarrer avec eDiscovery | En savoir plus sur les solutions eDiscovery |
| En savoir plus sur les journaux d’audit Purview | En savoir plus sur les solutions d’audit dans Microsoft Purview |
| En savoir plus sur les journaux d’audit pour les applications IA | Découvrez quelles activités d’administrateur et d’utilisateur sont journalisées pour les applications IA |
| Pour les applications IA développées dans d’autres fournisseurs de cloud, intégrez le Kit de développement logiciel (SDK) Purview | En savoir plus sur le Kit de développement logiciel (SDK) Microsoft Purview |
Étape 7 : Utiliser les évaluations de confidentialité de Privé
Utilisez les évaluations de confidentialité Priva (version préliminaire) pour lancer des évaluations d’impact sur la confidentialité pour les applications d'IA que vous créez. Cela permet de s’assurer que les applications IA sont intégrées de manière respectueuse de la confidentialité. Les évaluations de confidentialité automatisent la découverte, la documentation et l’évaluation des données personnelles utilisées dans l’ensemble de votre patrimoine de données.
Utilisez les ressources suivantes pour commencer à utiliser les évaluations de confidentialité de Privé et lancer une évaluation de l’impact sur la confidentialité.
| Tâche | Ressources recommandées |
|---|---|
| Découvrez et commencez | En savoir plus sur les évaluations de confidentialité Bien démarrer avec les évaluations de confidentialité |
| Créer une évaluation | Créer et gérer des évaluations de confidentialité |
Étape 8 : utiliser des rapports IA dans AI Foundry
Les rapports IA dans Azure AI Foundry peuvent aider les développeurs à documenter leurs détails de projet. Les développeurs peuvent créer un rapport qui affiche tous les détails d’un projet IA, tels que les cartes de modèle, les versions de modèle, les configurations de filtre de sécurité du contenu et les métriques d’évaluation. Ce rapport peut être exporté dans des formats PDF ou SPDX, ce qui aide les équipes de développement à démontrer la préparation de la production dans les flux de travail de gouvernance, de risque et de conformité (GRC) et faciliter les audits continus des applications en production.
Utilisez les ressources suivantes pour commencer.
| Tâche | Ressources recommandées |
|---|---|
| En savoir plus sur les rapports IA dans AI Foundry (blog) | Rapports IA : Améliorer la gouvernance de l’IA et GenAIOps avec une documentation cohérente |
| Découvrir et bien démarrer avec AI Foundry | Qu’est-ce qu’Azure AI Foundry ? |
Étape 9 : implémenter la sécurité du contenu Azure AI
Azure AI Sécurité du Contenu est un service IA qui permet de détecter les contenus dangereux générés par l’utilisateur et par l’IA dans les applications et les services. Azure AI Sécurité du Contenu comprend des API de texte et d’image qui vous permettent de détecter le contenu nuisible. Content Safety Studio interactif vous permet de visualiser, d’explorer et d’essayer des exemples de code pour la détection de contenus dangereux dans différentes modalités.
Utilisez les ressources suivantes pour commencer.
| Tâche | Ressources recommandées |
|---|---|
| Découvrez et commencez | Qu’est-ce qu’Azure AI Sécurité du Contenu ? - Azure AI services | Microsoft Learn Utiliser Content Safety dans le portail Azure AI Foundry |
Étape suivante pour la sécurisation de l’IA
Continuez à progresser sur la sécurité de bout en bout avec les ressources Confiance Zéro :