IA générative sécurisée avec Microsoft Entra

À mesure que le paysage numérique évolue rapidement, les entreprises de divers secteurs adoptent de plus en plus l’intelligence artificielle générative (Gen AI) pour stimuler l’innovation et améliorer la productivité. Une étude de recherche récente indique que 93 % des entreprises implémentent ou développent une stratégie d’IA. Environ le même pourcentage de dirigeants en matière de risque signalent qu’ils se sentent sous-préparés ou tout juste prêts à répondre aux risques associés. Lorsque vous intégrez la Gen AI à vos opérations, vous devez atténuer des risques importants en matière de sécurité et de gouvernance.

Microsoft Entra offre une suite complète de fonctionnalités pour gérer en toute sécurité les applications IA, contrôler correctement l’accès et protéger les données sensibles :

• Gestion des autorisations Microsoft Entra (MEPM)
• Gouvernance des ID Microsoft Entra
• Accès conditionnel Microsoft Entra (CA)
• Microsoft Entra Privileged Identity Management (PIM)
• Microsoft Purview Insider Risk

Cet article explique les défis de sécurité spécifiques que pose la Gen AI et comment vous pouvez les résoudre avec Microsoft Entra.

Découvrir les identités sur-privilégiées

Assurez-vous que les utilisateurs disposent des autorisations appropriées pour se conformer au principe des privilèges minimum. Nos données de télémétrie indiquent que plus de 90 % des identités utilisent moins de 5 % des autorisations accordées. Plus de 50 % de ces autorisations sont à haut risque. Les comptes compromis peuvent causer des dommages catastrophiques.

La gestion des environnements multicloud est difficile, car les équipes de gestion des identités et des accès (IAM) et de sécurité doivent souvent collaborer de manière croisée. Les environnements multiclouds peuvent limiter la vue complète des identités, des autorisations et des ressources. Cette vue limitée augmente la surface d’attaque sur les identités qui ont des rôles sur-privilégiés et sur des comptes sur-autorisés. Le risque de comptes inutilisés compromis avec des autorisations élevées augmente à mesure que les organisations adoptent le multicloud.

Identifier les comptes non humains

Les comptes non humains ont des modèles reproductibles et sont moins susceptibles de changer au fil du temps. Lorsque vous identifiez ces comptes, envisagez d’utiliser une charge de travail ou des identités managées et la Gestion des autorisations Microsoft Entra. La Gestion des autorisations est un outil de gestion des droits d’utilisation de l’infrastructure cloud (CIEM). Elle fournit une visibilité complète sur les autorisations que vous affectez à toutes les identités dans Azure, Amazon Web Services (AWS) et Google Cloud Platform (GCP).

Ajustez les rôles selon le principe de sécurité d’accès le moins privilégié Confiance Zéro. Faites attention aux super identités (telles que les fonctions serverless et les applications). Considérez les cas d’usage pour les applications Gen AI.

Appliquer l’accès juste-à-temps pour les rôles Microsoft Entra

Microsoft Entra Privileged Identity Management (PIM) vous permet de gérer, de contrôler et de surveiller l’accès aux ressources dans Microsoft Entra ID, Azure et dans d'autres services en ligne Microsoft, tels que Microsoft 365 ou Microsoft Intune. Les utilisateurs privilégiés activés sans PIM ont un accès permanent (toujours dans leurs rôles attribués même lorsqu’ils n’ont pas besoin de leurs privilèges). La page de découverte et d’informations de PIM affiche les attributions d’administrateur général permanentes, les comptes avec des rôles hautement privilégiés et les principaux de service avec des attributions de rôles privilégiés. Lorsque vous voyez ces autorisations, notez ce qui doit être normal pour votre environnement. Envisagez de réduire ces rôles ou de les passer en accès juste-à-temps (JIT) avec des affectations éligibles à PIM.

Directement sur la page de découverte et d’informations, vous pouvez rendre les rôles privilégiés éligibles à PIM pour réduire l’accès permanent. Vous pouvez supprimer complètement l’attribution si l’utilisateur n’a pas besoin d’un accès privilégié. Vous pouvez créer une révision d’accès pour les administrateurs généraux qui les invite à passer régulièrement en revue leur propre accès.

Activer les contrôles d’accès

Les autorisations suspectes créent un risque d’accès non autorisé et de manipulation de données d’entreprise restreintes. Sécurisez les applications IA avec les mêmes règles de gouvernance que celles que vous appliquez à toutes les ressources d’entreprise. Pour atteindre cet objectif, définissez et déployez des stratégies d’accès granulaires pour tous les utilisateurs et les ressources d’entreprise (y compris les applications Gen AI) avec la gouvernance des ID et l’Accès conditionnel Microsoft Entra.

Assurez-vous que seuls les utilisateurs appropriés disposent du niveau d’accès adéquat aux ressources appropriées. Automatisez les cycles de vie d’accès à grande échelle via des contrôles avec la gestion des droits d’utilisation, des workflows de cycle de vie, des demandes d’accès, des révisions et des expirations.

Régissez vos processus utilisateur intégration, mutation, départ avec des workflows de cycle de vie et contrôlez l’accès avec la gouvernance des ID.

Configurer des stratégies et des contrôles pour régir l’accès utilisateur

Utilisez la gestion des droits d’utilisation dans la gouvernance des ID pour contrôler qui peut accéder aux applications, aux groupes, à Teams et aux sites SharePoint avec des stratégies d’approbation en plusieurs étapes.

Configurez l’attribution automatique au moyen de stratégies dans la gestion des droits d’utilisation pour permettre aux utilisateurs d’accéder automatiquement aux ressources en fonction de propriétés utilisateur telles que le service ou le centre de coûts. Supprimez l’accès utilisateur lorsque ces propriétés changent.

Pour un accès adéquat, nous vous recommandons d’appliquer une date d’expiration et/ou une révision d’accès périodique aux stratégies de gestion des droits d’utilisation. Ces exigences garantissent que les utilisateurs ne conservent pas indéfiniment l’accès via des affectations limitées dans le temps et des révisions périodiques d’accès aux applications.

Appliquer des stratégies organisationnelles avec l’Accès conditionnel Microsoft Entra

L’Accès conditionnel regroupe des signaux pour prendre des décisions et appliquer des stratégies organisationnelles. L’Accès conditionnel est le moteur de stratégie Confiance Zéro de Microsoft qui prend en compte des signaux provenant de différentes sources lors de l’application des décisions de stratégie.

Appliquez le principe du moindre privilège et des contrôles d’accès appropriés pour garantir la sécurité de votre organisation avec des stratégies d’accès conditionnel. Considérez les stratégies d’accès conditionnel comme des instructions conditionnelles où les identités qui répondent à certains critères peuvent accéder à des ressources uniquement si elles répondent à des exigences spécifiques telles que la MFA ou l’état de conformité des appareils.

Limitez l’accès aux applications Gen AI en fonction de signaux tels que les utilisateurs, les groupes, les rôles, l’emplacement ou le risque pour améliorer les décisions relatives à la stratégie.

• Utilisez le contrôle d’accès conditionnel force d’authentification qui spécifie les combinaisons de méthodes d’authentification permettant d’accéder à une ressource. Exigez que les utilisateurs utilisent l’authentification multifacteur (MFA) résistante au hameçonnage pour accéder aux applications Gen AI.
• Déployez la protection adaptative Microsoft Purview pour atténuer et gérer les risques liés à l’utilisation de l’IA. Utilisez la condition Risque interne pour bloquer l’accès aux applications Gen AI pour les utilisateurs présentant un risque interne élevé.
• Déployez des stratégies de conformité des appareils Microsoft Intune pour incorporer des signaux de conformité des appareils dans les décisions de stratégie d’accès conditionnel. Utilisez la condition de conformité des appareils pour exiger que les utilisateurs disposent d’un appareil conforme pour accéder aux applications Gen AI.

Après avoir déployé des stratégies d’accès conditionnel, utilisez le classeur d’analyseur d’écart d’accès conditionnel pour identifier les connexions et les applications où vous n’appliquez pas ces stratégies. Nous vous recommandons de déployer au moins une stratégie d’accès conditionnel qui cible toutes les ressources pour garantir un contrôle d’accès de base.

Activer l’automatisation pour gérer le cycle de vie des identités des employés à grande échelle

Donnez aux utilisateurs l’accès aux informations et aux ressources uniquement s’ils en ont besoin pour effectuer leurs tâches. Cette approche empêche l’accès non autorisé aux données sensibles et réduit l’impact potentiel d’une violation de la sécurité. Utilisez un approvisionnement des utilisateurs automatisé pour réduire l’octroi inutile des droits d’accès.

Automatisez les processus de cycle de vie des utilisateurs Microsoft Entra à grande échelle avec les workflows de cycle de vie dans la gouvernance des ID. Automatisez les tâches de workflow pour donner aux utilisateurs un accès approprié lorsque des événements clés se produisent. Par exemple, avant qu’un nouvel employé ne commence à travailler au sein de l’organisation, à mesure que les employés changent d’état et lorsque les employés quittent l’organisation.

Régir l’accès aux rôles d’administration hautement privilégiés

Il est possible que des identités nécessitent un accès privilégié plus élevé en raison des exigences d’entreprise/opérationnelles, par exemple les comptes de secours.

Les comptes privilégiés doivent avoir le niveau de protection le plus élevé. Les comptes privilégiés compromis peuvent avoir un impact potentiellement significatif ou matériel sur les opérations organisationnelles.

Attribuez uniquement aux utilisateurs autorisés les rôles administratifs dans Microsoft Azure et Microsoft Entra. Microsoft vous recommande d’exiger une MFA résistante au hameçonnage sur les rôles suivants, au minimum :

• Administrateur général
• Administrateur d’application
• Administrateur d’authentification
• Administrateur de facturation
• Administrateur d'applications cloud
• Administrateur de l’accès conditionnel
• Administrateur Exchange
• Administrateur du support technique
• Administrateur de mots de passe
• Administrateur d’authentification privilégié
• Administrateur de rôle privilégié
• Administrateur de sécurité
• Administrateur SharePoint
• Administrateur d'utilisateurs

Votre organisation peut choisir d’inclure ou d’exclure des rôles en fonction de ses exigences. Pour passer en revue les appartenances aux rôles, configurez et utilisez les révisions d’accès aux rôles d’annuaire.

Appliquez le contrôle d’accès en fonction du rôle à l’aide de Privileged Identity Management (PIM) et de l’accès juste-à-temps (JIT). PIM fournit un accès JIT aux ressources en affectant un accès limité dans le temps. Éliminez l’accès permanent pour réduire le risque d’accès excessif ou mal utilisé. PIM autorise les exigences d’approbation et de justification, l’application de la MFA pour l’activation de rôle et l’historique d’audit.

Gérer le cycle de vie et l’accès des identités invitées externes

Dans la plupart des organisations, les utilisateurs finaux invitent des partenaires commerciaux (B2B) et des fournisseurs à collaborer et leur fournissent l’accès aux applications. En règle générale, les partenaires de collaboration reçoivent l’accès aux applications pendant le processus d’intégration. Lorsque les collaborations n’ont pas de date de fin définie, il est difficile d’établir quand un utilisateur n’aura plus besoin d’accès.

Les fonctionnalités de gestion des droits d’utilisation permettent un cycle de vie automatisé des identités externes ayant accès aux ressources. Établissez des processus et des procédures pour gérer l’accès via la gestion des droits d’utilisation. Publiez des ressources via des packages d’accès. Cette approche vous aide à suivre l’accès des utilisateurs externes aux ressources et à réduire la complexité du problème.

Lorsque vous autorisez des employés à collaborer avec des utilisateurs externes, ils peuvent inviter un nombre quelconque d’utilisateurs extérieurs à votre organisation. Si les identités externes utilisent des applications, les révisions d’accès Microsoft Entra vous aident à passer en revue l’accès. Vous pouvez laisser le propriétaire de la ressource, les identités externes elles-mêmes ou une autre personne déléguée que vous approuvez attester s’ils nécessitent un accès continu.

Utilisez les révisions d’accès Microsoft Entra pour empêcher les identités externes de se connecter à votre locataire et supprimer les identités externes de votre locataire après 30 jours.

Appliquer des protections de sécurité et de conformité des données avec Microsoft Purview

Utilisez Microsoft Purview pour atténuer et gérer les risques associés à l’utilisation de l’IA. Implémentez les contrôles de protection et de gouvernance correspondants. Le Hub IA Microsoft Purview est actuellement en préversion. Il fournit des outils graphiques et des rapports faciles à utiliser pour obtenir rapidement des informations sur l’utilisation de l’IA au sein de votre organisation. Les stratégies en un clic vous aident à protéger vos données et à vous conformer aux exigences réglementaires.

Dans l’Accès conditionnel, vous pouvez autoriser la Protection adaptative Microsoft Purview à signaler les comportements qui indiquent des risques internes. Appliquez la Protection adaptative lorsque vous appliquez d’autres contrôles d’Accès conditionnel pour demander à l’utilisateur sa MFA ou fournir d’autres actions en fonction de vos cas d’usage.

Superviser l’accès

La surveillance est essentielle pour détecter les menaces et les vulnérabilités potentielles de manière précoce. Surveillez les activités inhabituelles et les modifications de configuration pour empêcher les violations de sécurité et maintenir l’intégrité des données.

Passez en revue et surveillez continuellement l’accès à votre environnement pour détecter les activités suspectes. Évitez les autorisations suspectes et recevez des alertes lorsque les choses changent involontairement.

• Pour surveiller de manière proactive votre environnement pour les modifications de configuration et les activités suspectes, intégrez les journaux d’audit Microsoft Entra ID à Azure Monitor.
• Configurez des alertes de sécurité pour surveiller quand les utilisateurs activent des rôles privilégiés.
• Surveillez les modèles d’utilisation atypiques avec la Protection Microsoft Entra ID. Une utilisation atypique peut indiquer qu’un mauvais acteur est en activité et utilise de manière inappropriée des outils Gen AI.

Dans certains scénarios, vous pouvez utiliser des applications IA uniquement de manière saisonnière. Par exemple, les applications financières peuvent avoir une faible utilisation en dehors de la saison fiscale et d’audit, tandis que les applications de vente au détail peuvent avoir des pics d’utilisation pendant la saison des fêtes. Désactivez les comptes qui ne sont pas utilisés pendant une période importante, en particulier les comptes de partenaires externes, avec les workflows de cycle de vie. Considérez la saisonnalité pour décider d’appliquer une désactivation temporaire du compte ou le juste-à-temps.

Dans l’idéal, tous les utilisateurs suivent les stratégies d’accès pour sécuriser l’accès aux ressources organisationnelles. Lorsque vous devez utiliser des stratégies d’Accès conditionnel avec des exclusions pour des utilisateurs individuels ou des invités, vous pouvez éviter la surveillance des exceptions de stratégie. Utilisez les révisions d’accès Microsoft Entra pour fournir aux auditeurs une preuve de révision régulière des exceptions.

Passez en revue continuellement la Gestion des autorisations. À mesure que les identités restent avec une organisation, elles ont tendance à collecter des autorisations au cours de nouveaux projets ou lorsqu’elles changent d’équipes. Surveillez le score PCI (Permissions Creep Index) dans la Gestion des autorisations et configurez les fonctionnalités de surveillance et d’alerte. Cette approche réduit l’ajout progressif d’autorisations suspectes et diminue le rayon d’impact autour des comptes d’utilisateurs compromis.

• Configurez des rapports pour qu’ils s’exécutent régulièrement. Configurer des rapports personnalisés pour des cas d’usage spécifiques, en particulier pour les identités qui doivent accéder aux applications Gen AI.
• Pour surveiller les autorisations suspectes entre Azure, AWS et GCP, utilisez la Gestion des autorisations. Appliquez des recommandations aux identités de charge de travail pour vous assurer que vos applications Gen AI n’ont pas d’autorisations excessives ou plus d’autorisations ajoutées au fil du temps que nécessaire.

Contenu connexe

• Microsoft Security Copilot soutient les professionnels de la sécurité dans des scénarios de bout en bout tels que la réponse aux incidents, le repérage de cybermenaces, la collecte de renseignements et la gestion de la posture.
• Le Cloisonnement de l’information Microsoft Purview est un groupe de stratégies qui peuvent empêcher des personnes ou des groupes de communiquer entre eux. Le Cloisonnement de l’information dans Microsoft Teams peut déterminer et empêcher les collaborations non autorisées.
• Pour connaître les conditions requises pour Microsoft 365 Copilot, passez en revue l’article Protection des données d’entreprise dans Copilot pour Microsoft 365 et Microsoft Copilot.