Découvrez chaque outil d'IA utilisé par vos collaborateurs, appliquez les politiques d'usage acceptable en temps réel et empêchez les données sensibles de quitter votre organisation, sans bloquer la productivité IA dont vos équipes ont besoin.
Une plateforme Workforce AI Security pour l'entreprise est une solution de sécurité et de conformité spécialement conçue pour donner aux organisations une visibilité et un contrôle sur la manière dont les collaborateurs interagissent avec les outils d'IA. Elle répond à trois problèmes interconnectés apparus à mesure que l'adoption de l'IA a progressé plus vite que les processus de politique, d'achat et de sécurité : l'usage du Shadow AI (des collaborateurs utilisant des outils d'IA jamais approuvés ni examinés), la fuite de données (des informations sensibles partagées avec des modèles d'IA sans contrôle) et l'exposition en matière de conformité (l'incapacité à démontrer aux auditeurs que l'usage de l'IA est gouverné et documenté).
Aona est une plateforme Workforce AI Security pour l'entreprise conçue pour le niveau du navigateur, le seul endroit où toute l'activité IA des collaborateurs est visible, quel que soit l'appareil, le réseau ou l'outil d'IA utilisé. Elle combine quatre capacités fondamentales : la découverte du Shadow AI pour cartographier chaque outil d'IA utilisé dans l'organisation ; l'application des politiques pour définir des règles d'usage acceptable et les appliquer en temps réel ; un analyseur de fichiers pour empêcher le téléversement de données sensibles vers les modèles d'IA ; et un accompagnement des collaborateurs en temps réel pour les éduquer au moment du risque, et non après qu'un incident soit déjà survenu.
L'ampleur du problème rend une solution spécialement conçue indispensable. Une étude Salesforce de 2024 a révélé que 55 % des collaborateurs utilisent des outils d'IA jamais approuvés par l'IT ou la sécurité. Le Privacy Benchmark Study 2024 de Cisco a révélé que 48 % des collaborateurs ont saisi des informations confidentielles et non publiques dans des outils d'IA générative. Il ne s'agit pas de cas marginaux ou d'acteurs malveillants, c'est le comportement IA dominant en entreprise, et cela représente des risques que les outils génériques de DLP, de CASB et de protection des terminaux n'ont pas été conçus pour traiter.
Une plateforme Workforce AI Security bien déployée ne restreint pas l'usage de l'IA, elle permet une adoption sûre de l'IA à grande échelle. En donnant aux collaborateurs des garde-fous clairs, des conseils en temps réel et un accès à des outils approuvés, les organisations peuvent accélérer la productivité IA tout en maintenant la posture de conformité et les normes de protection des données qu'exigent les régulateurs, les clients et les conseils d'administration.
des collaborateurs utilisent des outils d'IA non approuvés à l'insu de l'IT
Source : Salesforce, 2024
ont saisi des données non publiques ou confidentielles dans des outils d'IA générative
Source : Cisco Privacy Benchmark Study, 2024
Le Shadow AI est l'angle mort qui croît le plus rapidement dans la sécurité d'entreprise. Selon Salesforce, 55 % des collaborateurs utilisent des outils d'IA qui n'ont jamais été examinés, approuvés ou acquis par l'IT ou la sécurité. Ce chiffre s'accélère chaque trimestre à mesure que de nouveaux outils d'IA sont lancés et que les collaborateurs les adoptent avant que la politique ne suive.
La découverte du Shadow AI d'Aona opère au niveau du navigateur, le seul endroit où l'usage de l'IA par les collaborateurs est entièrement visible, quel que soit l'appareil, le réseau ou le statut VPN. Lorsque les collaborateurs utilisent ChatGPT, Claude, Gemini, Perplexity, Midjourney ou l'un des milliers d'autres outils d'IA, Aona capture l'activité en temps réel : quel outil, quel collaborateur, quelle catégorie de données a été partagée et si une politique a été déclenchée.
Contrairement aux solutions au niveau du réseau qui nécessitent une infrastructure d'inspection du trafic et peinent avec les connexions chiffrées, Aona ne requiert aucune modification de votre architecture réseau. Une extension de navigateur légère se déploie en quelques minutes via votre outil MDM ou de gestion des terminaux existant. En moins de 24 heures, vous disposez d'une cartographie complète de l'usage de l'IA dans votre organisation, les outils approuvés, les outils non approuvés et les écarts entre votre politique IA et la réalité.
Une politique d'usage acceptable de l'IA ne vaut que par votre capacité à l'appliquer. La plupart des organisations publient un document de politique, envoient un e-mail général et espèrent que tout ira bien. Aona rend l'application des politiques automatique, en temps réel et auditable, sans compter sur le fait que les collaborateurs se souviennent de ce qu'ils ont lu dans un module de formation il y a six mois.
Le moteur de politiques d'Aona permet aux équipes de sécurité et de conformité de définir précisément quels outils d'IA sont approuvés, lesquels sont bloqués et lesquels sont autorisés sous conditions. Les schémas de prompts à haut risque, les questions susceptibles d'exfiltrer des données clients, des secrets commerciaux ou des informations réglementées, peuvent être interceptés au point d'entrée avant d'atteindre le modèle d'IA. Les politiques sont appliquées au niveau du navigateur, ce qui signifie qu'elles s'appliquent que le collaborateur soit sur un appareil d'entreprise, un réseau domestique ou une machine personnelle gérée par votre MDM.
L'application des politiques dans Aona n'est pas binaire. Plutôt que de simplement bloquer l'accès aux outils non approuvés et de créer des frictions qui enfoncent le Shadow IT plus profondément dans la clandestinité, Aona prend en charge des réponses graduées : avertir le collaborateur en lui expliquant pourquoi un outil ou un prompt est risqué, exiger un accusé de réception avant de poursuivre pour les scénarios à risque moyen, et bloquer fermement uniquement les actions à plus haut risque. Cette approche nuancée réduit les violations de politique sans réduire la productivité.
Le téléversement de fichiers est le schéma d'interaction IA le plus à risque en entreprise. Lorsqu'un collaborateur téléverse un contrat, un tableur, une présentation ou un fichier de code source vers un outil d'IA, il peut partager par inadvertance des données personnelles de clients, de la propriété intellectuelle exclusive, des données financières ou des informations de santé réglementées avec un fournisseur de modèle tiers dont il n'a pas examiné les pratiques de traitement des données.
L'analyseur de fichiers d'Aona intercepte les téléversements de fichiers vers les outils d'IA et classe le contenu en temps réel avant que le téléversement ne se termine. À l'aide d'une combinaison de correspondance de motifs et de classification sémantique, l'analyseur identifie les données personnelles (noms, e-mails, numéros de téléphone, identifiants nationaux), les données financières (numéros de compte, données de trading, chiffres de revenus), la propriété intellectuelle (code source, feuilles de route produit, documents de fusion-acquisition) et les catégories de données réglementées, notamment HIPAA, PCI-DSS et le contenu pertinent au regard du RGPD.
Lorsqu'un fichier sensible est détecté, Aona peut avertir le collaborateur avec une explication précise de ce qui a été trouvé et pourquoi cela compte, exiger l'approbation d'un responsable avant que le téléversement ne se poursuive, ou bloquer entièrement le téléversement selon votre configuration de politique. Chaque résultat d'analyse est journalisé avec l'empreinte du fichier, les catégories de données détectées, l'outil d'IA auquel il était destiné et le résultat de la politique, créant une piste d'audit complète pour les revues de conformité.
La sensibilisation à la sécurité souffre d'un problème de rétention bien documenté. Les collaborateurs suivent la formation annuelle, réussissent le quiz, puis commettent exactement les mêmes erreurs dans le monde réel parce qu'une formation générique ne se traduit pas en situations spécifiques. Le moment le plus efficace pour enseigner à quelqu'un les risques de l'IA est celui où il s'apprête à prendre une décision IA risquée, et non six mois plus tard dans une salle de classe.
Le système d'accompagnement en temps réel d'Aona intercepte les interactions IA risquées et délivre une éducation contextuelle et précise au point d'action. Lorsqu'un collaborateur s'apprête à téléverser un fichier contenant des données personnelles de clients vers un outil d'IA non approuvé, Aona ne se contente pas de bloquer l'action, il explique quelles données personnelles ont été détectées, pourquoi les téléverser vers cet outil précis constitue un risque de conformité, quelle est l'alternative approuvée et ce que dit la politique sur ce scénario. Le collaborateur apprend quelque chose de vrai et d'actionnable, immédiatement, quand cela compte.
Les messages d'accompagnement sont conçus pour réduire les violations de politique au fil du temps, et pas seulement prévenir des incidents isolés. Aona suit quels collaborateurs déclenchent des événements d'accompagnement répétés, permettant aux équipes de sécurité d'identifier les personnes qui ont besoin d'un soutien supplémentaire et démontrant aux auditeurs de conformité que votre organisation dispose d'un programme de gestion des risques IA proactif, et pas seulement réactif.
La gouvernance de l'IA n'est pas qu'une case de conformité à cocher, c'est un investissement de gestion des risques au retour mesurable.
Le coût moyen d'une violation de données impliquant un partage de données par les collaborateurs est de 4,88 M$ (IBM, 2024). Aona prévient les interactions IA les plus à risque, téléversements de fichiers sensibles, schémas de prompts à haut risque et partage de données avec des outils non approuvés, avant qu'ils ne deviennent des incidents. En interceptant le risque à la source plutôt qu'en réagissant après l'exfiltration, les organisations réduisent considérablement leur surface de violation liée à l'IA.
Les équipes de conformité consacrent un temps considérable à reconstituer les preuves du respect des politiques IA pour les audits SOC 2, ISO 27001 et réglementaires. Aona génère automatiquement des rapports prêts pour l'audit : journaux complets de l'usage des outils d'IA, actions d'application des politiques, événements d'accompagnement et résultats de classification des données. Ce qui nécessitait auparavant des semaines de collecte manuelle de preuves se réduit à l'export d'un rapport.
Le véritable coût d'une mauvaise gouvernance de l'IA n'est pas seulement le risque de violation, c'est la valeur de productivité perdue lorsque les organisations répondent au risque IA en restreignant l'accès plutôt qu'en le gouvernant. Aona permet aux organisations d'étendre en toute confiance l'accès aux outils d'IA approuvés, sachant que des garde-fous sont en place. Les collaborateurs obtiennent davantage d'accès aux outils d'IA qui les rendent productifs ; l'organisation obtient la supervision dont elle a besoin pour le faire en toute sécurité.
Déployez Aona via votre MDM existant. Visualisez votre premier inventaire de Shadow AI en quelques heures. Commencez à appliquer les politiques IA le jour même.