OASF pas un simple document-cadre de plus. Il s'agit d'une architecture de gouvernance structurée et axée sur les domaines, qui définit les limites de contrôle dont votre organisation a besoin — et qui détermine ce Aegis lors de l'exécution. Elle est directement alignée sur AI européenne AI etRMFAI RMF NIST .
Chaque domaine couvre un aspect spécifique de la gouvernance : de la classification et du traitement AI à la validation et à la surveillance des modèles, en passant par la détection des incidents et la gestion des réactions. Cliquez sur n'importe quel domaine pour découvrir ses mesures de contrôle.
Définit la manière dont les données sont classées, traitées, protégées et contrôlées tout au long des interactions avec l'IA. Établit les règles de minimisation des données, de limitation de la finalité et de protection Aegis Guard lors de l'exécution, garantissant ainsi que les données sensibles ne parviennent jamais à des modèles d'IA non approuvés.
Aegis
Les contrôles OASF régissent les règlesGuard Aegis Guard : ils définissent quelles classifications de données déclenchent la caviardage, le blocage ou routing prioritaire routing l'exécution.
Définit les niveaux de sensibilité des données pour AI — allant de « public » à « restreint ». Précise quelles catégories de données peuvent être traitées par quels types AI .
Règles régissant l'utilisation des données à caractère personnel dans AI , l'entraînement et les résultats AI . Garantit le respect des principes de minimisation des données et de limitation de la finalité prévus par le RGPD au moment de AI .
Interdit le traitement des données relevant des catégories particulières visées à l'article 9 du RGPD (santé, données biométriques, origine ethnique) au moyen de AI non agréés. Définit les exceptions et les contrôles autorisés.
Règles régissant les transferts de données vers des prestataires de services d'IA situés en dehors de l'UE/EEE. Définit les mécanismes de transfert autorisés et routing applicables aux différentes catégories de données sensibles.
Définit la manière dont les modèles d'IA sont évalués, approuvés, répertoriés, surveillés et retirés. Met en place le registre des modèles approuvés Aegis Routing pour sélectionner et contrôler l'accès aux modèles, garantissant ainsi que les employés n'interagissent qu'avec des modèles d'IA vérifiés et approuvés.
Aegis
Les contrôles OASF alimentent leRouting Aegis , en définissant quels modèles sont approuvés pour quelles classifications de données et quels contextes métier.
Définit le processus d'évaluation et de validation AI avant leur déploiement en entreprise. Ce processus comprend un examen de la sécurité, une évaluation des biais, une analyse de l'explicabilité et une vérification de la conformité réglementaire.
Gère le registre officiel des AI approuvés, des fournisseurs et des cas d'utilisation autorisés. Définit les règles de mise en correspondance entre les modèles et la classification des données, ainsi que les limites d'accès.
Surveillance continue des AI déployés afin de détecter toute dérive, tout biais, toute dégradation des performances et toute manipulation adversaire. Définition des seuils d'escalade et des procédures d'intervention.
Mesures visant à identifier et à gérer l'utilisation non autorisée d'outils d'IA au sein de l'entreprise. Définit les méthodes de détection, risk et les procédures de correction pour l'IA « fantôme ».
Définit les modalités de vérification de l'identité, d'autorisation d'accès et d'application des rôles dans le cadre des interactions avec l'IA. Chaque interaction avec l'IA doit être associée à une identité, afin de garantir que la audit permette de déterminer qui a accédé à quoi, quand et pourquoi.
Aegis
Les contrôles OASF régissent la liaisonGateway Aegis Gateway : intégration SSO, application de l'authentification multifactorielle (MFA) et accès basé sur les rôles aux modèles d'IA approuvés.
Exige que toutes AI soient associées à une identité d'entreprise vérifiée. Interdit AI depuis des comptes anonymes ou partagés. Impose l'intégration de l'authentification unique (SSO) avec le système de gestion des identités et des accès (IAM) de l'entreprise.
Définit des contrôles d'accès basés sur les rôles pour l'utilisation AI . Les rôles métier déterminent quels modèles, classifications de données et AI sont accessibles ; ces contrôles sont appliqués au niveau de la gouvernance.
Contrôles renforcés pour l'accès privilégié aux systèmes d'IA — administrateurs de modèles, responsables de la gouvernance et audit . Définit les processus de validation et les procédures d'accès « juste à temps ».
Définit les contrôles de sécurité techniques destinés à protéger AI contre les attaques adversaires, la manipulation et les utilisations abusives. Couvre la défense contre l'injection de prompts, la robustesse face aux attaques adversaires et la modélisation des menaces AI — autant de contrôles de sécurité pour lesquels les outils SIEM et les solutions DLP traditionnelles n'ont pas été conçus.
Aegis
Les contrôles OASF permettent à Aegis Guard d'effectuer une inspectionGuard , détectant ainsi les attaques par injection, les tentatives policy et policy avant qu'elles n'atteignent le modèle.
Mesures de contrôle visant à détecter et à bloquer les attaques par injection dans les invites — tentatives visant à contourner Gouvernance IA au moyen d’instructions malveillantes intégrées dans des invites ou des données d’entrée.
Contrôles de surveillance et de détection des entrées adversaires conçues pour manipuler les résultats du modèle, extraire des données d'entraînement ou provoquer un dysfonctionnement du modèle dans les environnements de production.
Modélisation structurée des menaces pour AI — identification des surfaces d'attaque, des acteurs malveillants et des vecteurs d'attaque spécifiques aux AI dans les environnements d'entreprise réglementés.
Mesures de sécurité pour les chaînes d'approvisionnement des modèles d'IA : vérification des fournisseurs de modèles, validation de l'intégrité des modèles et gestion risk liés aux composants d'IA tiers.
Définit les exigences en matière de journalisation, de rapports et de production de preuves qui permettent de Gouvernance IA auprès des autorités de régulation, des conseils d'administration et des auditeurs. Chaque interaction avec l'IA doit pouvoir être reconstituée : qui, quelles données, quel modèle, quelle policy , quel a été le résultat.
Aegis
Les contrôles OASF définissent le schémaAudit Aegis : chaque champ, chaque classification, chaque policy qui doit être enregistrée et conservée.
Obligation d'enregistrer toutes les interactions avec l'IA : horodatage, identité de l'utilisateur, classifications des données détectées, politiques appliquées, modèle utilisé et policy . L'intégrité des journaux, protégée contre toute altération, est requise.
Définit la fréquence des rapports de gouvernance, les formats de ces rapports ainsi que les indicateurs requis pour les rapports destinés au conseil d'administration, à la direction et aux autorités de régulation. Comprend risk lié à l'IA, le taux policy et le résumé des incidents.
Fonctionnalités permettant de générer, de gérer et de produire des éléments justificatifs à des fins réglementaires : registres de traitement au titre du RGPD, documentation relative à la conformité à la loi européenne sur l’IA, justificatifs des mesures NIS2 et exportations audit .
Définit la manière dont les incidents de sécurité AI sont détectés, classés, maîtrisés, examinés et signalés. Les procédures traditionnelles de gestion des incidents n'ont pas été conçues pour faire face AI , à la manipulation des modèles ou aux défaillances de gouvernance ; ce domaine comble cette lacune.
Aegis
Les contrôles OASF définissent les seuils Aegis : c'est-à-dire les cas où policy , des schémas anormaux ou des incidents liés aux identifiants déclenchent une escalade automatisée.
Définit la taxonomie des incidents spécifiques à l'IA : fuite de données, manipulation de modèles, contournement des règles de gouvernance, compromission des identifiants, attaque adversaire et manquement à la conformité. Correspond aux exigences de notification dans les 72 heures prévues par le RGPD et aux obligations NIS2 .
Procédures de réponse structurées pour chaque catégorie AI : mesures de confinement, exigences en matière d'enquête, obligations de notification et voies de remontée hiérarchique.
Processus obligatoire d'analyse a posteriori Sécurité IA liés à Sécurité IA — analyse des causes profondes, identification des lacunes en matière de contrôle, exigences relatives à la mise à jour OASF et documentation relative aux notifications réglementaires.
Chaque OASF correspond aux cadres réglementaires auxquels votre organisation est déjà soumise. OASF pas un nouveau langage à apprendre : il s'agit d'une mise en œuvre concrète des normes que vous connaissez déjà.
La plupart des cadres de gouvernance génèrent des documents. OASF quant à lui des contrôles opérationnels. Chaque domaine, chaque contrôle et chaque policy du cadre devient une règle d'application en temps réel dans Aegis rend la gouvernance mesurable, vérifiable et démontrable.
Identifie les lacunes en matière de risk de gouvernance — définit les points sur lesquels OASF se pencher
Définit l'architecture de contrôle — devient le policy Aegis
Applique OASF lors de l'exécution — génère audit qui alimentent le processus de gouvernance
OASF l'architecture de gouvernance Aegis lors de l'exécution — généralement établie à l'issue d'une OASAT qui identifie vos lacunes en matière de gouvernance ainsi que les contrôles dont votre organisation a besoin.