Chef de la sécurité : Les contrats avec les fournisseurs d'IA ont besoin de contrôles de privilèges, pas juste de battage médiatique

Kumar Ravi, Chef de la sécurité et de la résilience chez TMF Group, s'oppose au discours commercial des fournisseurs d'IA qui se concentre sur les capacités plutôt que sur les contrôles. Dans une nouvelle entrevue, Ravi soutient que les partenaires gestionnaires qui évaluent les outils d'IA posent les mauvaises questions—obsédés par la protection contre les ransomwares tout en ignorant les menaces « graduelles et imperceptibles » comme l'accès sur-privilégié et les contrôles de flux de travail faibles qui « s'accumulent à travers plusieurs processus, équipes, systèmes et applications ».

Cela touche au cœur du dysfonctionnement de l'approvisionnement en IA. Pendant que les fournisseurs font la démo de fonctionnalités impressionnantes et que les acheteurs d'entreprise se concentrent sur les vecteurs d'attaque évidents, le vrai risque réside dans la gestion d'identité ennuyante et la gouvernance des données. Le point de Ravi sur le privilège légal créant des goulots d'étranglement dans le partage d'information est particulièrement pertinent—les firmes « traitent de plus en plus tous les points de données comme privilégiés », ce qui « peut ralentir et compromettre le partage d'information en temps opportun » avec les régulateurs et pairs qui ont besoin « d'insights rapides, spécifiques et actionnables ».

Ce qui manque dans la plupart des conversations avec les fournisseurs d'IA, c'est le truc pas sexy qui compte vraiment : Qui a accès à quelles données ? Comment les permissions sont-elles gérées à travers les systèmes d'IA ? Que se passe-t-il quand votre outil d'IA s'intègre avec des flux de travail existants qui ont déjà une dérive de privilèges ? L'argument plus large de Ravi—que la sécurité a besoin de mesures au niveau du conseil d'administration et d'assurance indépendante—suggère que la plupart des organisations achètent des outils d'IA sans comprendre leur posture de sécurité réelle.

Pour les développeurs intégrant des API et outils d'IA, cela signifie auditer non seulement les revendications de sécurité du fournisseur d'IA, mais comment leurs outils vont interagir avec vos contrôles d'accès existants. La démo d'IA tape-à-l'œil ne vous montrera pas la prolifération de permissions qui arrive six mois après le déploiement.