Architecture IA

Sécurité & Gouvernance IA

La gouvernance IA doit être conçue dès le départ : droits, audit, prompt registry, model registry, conformité et contrôle qualité.

AI ActRGPDRBACGuardrailsAudit

Sécurité

  • SSO / MFA pour l’authentification.
  • RBAC / ABAC pour contrôler l’accès aux corpus, outils et workflows.
  • Secrets management pour clés API, credentials, tokens.
  • Chiffrement au repos et en transit.
  • Audit logs pour tracer questions, sources, réponses, modèles et coûts.

Gouvernance IA

ObjetContrôle
Prompt RegistryVersioning, validation, rollback.
Model RegistryModèles autorisés, versions, évaluations.
Dataset RegistryCorpus, versions, droits, fraîcheur.
EvaluationGroundedness, faithfulness, hallucination, relevance.
Human-in-the-loopValidation humaine sur cas sensibles.

Guardrails

Les guardrails ne doivent pas être une couche cosmétique. Ils doivent filtrer les données sensibles, bloquer les usages interdits, contrôler les citations et imposer une réponse d’abstention quand les sources sont insuffisantes.

Schéma de gouvernance

flowchart TB U[Utilisateur] --> S[SSO / RBAC / ABAC] S --> G[LLM Gateway] G --> P[Prompt Registry] G --> M[Model Registry] G --> R[Policy Guardrails] R --> L[LLM] L --> E[Evaluation] E --> A[Audit Trail] A --> D[Dashboard Gouvernance]

AI Act & RGPD

Le RGPD impose une attention forte aux données personnelles, à la finalité et à la minimisation. L’AI Act impose une gouvernance des risques, une documentation et des contrôles adaptés au niveau de risque du système.

En pratique, la meilleure défense est souvent simple : droits d’accès clairs, sources traçables, logs exploitables, évaluation continue et procédure de retrait/rollback.