Architecture IA
Sécurité & Gouvernance IA
La gouvernance IA doit être conçue dès le départ : droits, audit, prompt registry, model registry, conformité et contrôle qualité.
AI ActRGPDRBACGuardrailsAudit
Sécurité
- SSO / MFA pour l’authentification.
- RBAC / ABAC pour contrôler l’accès aux corpus, outils et workflows.
- Secrets management pour clés API, credentials, tokens.
- Chiffrement au repos et en transit.
- Audit logs pour tracer questions, sources, réponses, modèles et coûts.
Gouvernance IA
| Objet | Contrôle |
|---|---|
| Prompt Registry | Versioning, validation, rollback. |
| Model Registry | Modèles autorisés, versions, évaluations. |
| Dataset Registry | Corpus, versions, droits, fraîcheur. |
| Evaluation | Groundedness, faithfulness, hallucination, relevance. |
| Human-in-the-loop | Validation humaine sur cas sensibles. |
Guardrails
Les guardrails ne doivent pas être une couche cosmétique. Ils doivent filtrer les données sensibles, bloquer les usages interdits, contrôler les citations et imposer une réponse d’abstention quand les sources sont insuffisantes.
Schéma de gouvernance
flowchart TB
U[Utilisateur] --> S[SSO / RBAC / ABAC]
S --> G[LLM Gateway]
G --> P[Prompt Registry]
G --> M[Model Registry]
G --> R[Policy Guardrails]
R --> L[LLM]
L --> E[Evaluation]
E --> A[Audit Trail]
A --> D[Dashboard Gouvernance]
AI Act & RGPD
Le RGPD impose une attention forte aux données personnelles, à la finalité et à la minimisation. L’AI Act impose une gouvernance des risques, une documentation et des contrôles adaptés au niveau de risque du système.
En pratique, la meilleure défense est souvent simple : droits d’accès clairs,
sources traçables, logs exploitables, évaluation continue et procédure de
retrait/rollback.