Sécurité des données pour l\'IA générative - FAQ

Nous avons introduit des fonctionnalités d\'IA générative (GenAI) pour aider nos clients à réaliser des gains de productivité en créant des automatisations à la fois meilleures et plus intelligentes. Nos clients peuvent profiter de la puissance de la GenAI grâce à des fonctionnalités telles que Copilote d\'automatisation pour les utilisateurs professionnels, et Automatisation de documents.

Automation Anywhere prend en charge les paquets de commandes pour les clients qui utilisent leurs propres licences pour les grands modèles de langage (LLM). Certains produits Automation Anywhere contiennent des LLM tiers intégrés. Ce document vise à fournir des réponses aux questions fréquentes concernant les données et les mesures de sécurité que nous avons mises en place pour utiliser en toute sécurité les fonctionnalités intégrant la GenAI. Il est important de comprendre les deux catégories de données auxquelles nous faisons référence dans ce document.

Données client
Il s\'agit des données soumises par les clients par le biais de systèmes hébergés par Automation Anywhere tels que la plateforme pour réussir l\'automatisation. Ces données sont nécessaires au fonctionnement et à la fourniture des services. Par exemple, les invites textuelles des utilisateurs sont traitées comme des données client.
Données d\'utilisation
Il s\'agit des données générées par l\'utilisation des services et des fonctionnalités de la plateforme. Ces données sont anonymisées et agrégées pour les métriques et autres télémétries, telles que les noms de package standard et le séquencement des étapes recueilli par Automation Anywhere afin d\'améliorer les services et les performances du produit.
Comment Automation Anywhere permet-elle aux clients d\'automatiser leur propre abonnement LLM ?
Automation Anywhere soutient les clients qui apportent leur propre licence pour leurs modèles de base privilégiés lorsqu\'ils utilisent les Automation Anywhere de commande fournis par packages, par exemple Copilote d\'automatisation pour les utilisateurs professionnels. Ces modèles de base hébergés sur des plateformes hyperscaler sont accessibles à l\'aide des intégrations natives Automation 360 par le biais de nos packages de commande, qui incluent Microsoft Azure OpenAI, OpenAI et Google Vertex AI.

Pour savoir si vous pouvez intégrer le LLM que vous avez choisi, consultez la documentation produit.

Quels produits utilisent des modèles d\'IA de tiers fournis par Automation Anywhere ?
Nous utilisons des LLM provenant de fournisseurs tiers dans les produits suivants :
  • Automatisation de documents
  • Automator AI
Quelles données seront utilisées pour entraîner les modèles Automation Anywhere fournis ?
Aucune donnée client n\'est utilisée pour entraîner les LLM intégrés dans nos produits. Pour les modèles Automation Anywhere fournis dans les Automation Anywhere environnements contrôlés, seules les données d\'utilisation sont utilisées pour entraîner les Automation Anywhere modèles fournis. Ces données ne contiennent pas de données client.
Quelles sont les mesures mises en place pour garantir que les données client ne sont pas utilisées pour l\'entraînement des bibliothèques de grands modèles de langage (LLM) ?
Aucune donnée client n\'est utilisée pour entraîner les modèles, et aucune donnée client n\'est stockée en dehors des environnements de production de la plateforme pour réussir l\'automatisation.

Nous avons passé en revue les fournisseurs pour nous assurer que les LLM tiers n\'utilisent pas les données client pour entraîner leurs modèles.

Quelles sont les mesures mises en place pour prévenir les accès non autorisés ou les violations de données ?
Nous avons mis en place des mesures de sécurité, notamment en empêchant le stockage externe des données client et en prévoyant des garde-corps, une expurgation ou un masquage dans certains produits. La plateforme pour réussir l\'automatisation s\'assure que les données client sont toujours protégées en utilisant un chiffrement standard pour les données au repos et en transit. Ces systèmes qui stockent les données client sont surveillés 24 h/24 et 7 j/7 et leur accès est contrôlé afin de garantir la sécurité des opérations, conformément aux normes SOC 1, SOC 2, ISO 27001:2022. Systèmes de management de la sécurité de l\'information (SMSI), ISO 27017:2015 : Contrôles de sécurité de l\'information pour les cloud services ), ISO 27018:2019 : Protection des informations personnellement identifiables (PII) dans les cloud environnements et HITRUST. Nous avons mis en œuvre des mesures de sécurité appropriées, telles que le pare-feu des applications Web, le chiffrement (AES 256 au repos, TLS en transit), ainsi que l\'authentification et les autorisations standard pour le contrôle d\'accès en fonction des rôles (RBAC). La conception de nos plateformes a pris en compte la protection contre les menaces telles qu\'elles sont définies ici : OWASP Top10 for LLMs.
Comment Automation Anywhere protège les données client lors de l\'utilisation de la GenAI ?
Nos produits utilisant la GenAI sont sur la même plateforme que nos produits actuels et sont couverts par les mêmes certifications de sécurité (SOC1, SOC2, ISO et COBIT), ainsi que les mêmes normes que nos autres produits. Une équipe dédiée à la sécurité du cloud est chargée d\'assurer la conformité et de faciliter les audits menés par des auditeurs professionnels externes pour nos certifications de sécurité. Nos certifications et rapports relatifs à la sécurité peuvent être consultés sur notre Compliance Portal.
Quelles sont les meilleures pratiques dont les clients peuvent tirer parti pour bénéficier des produits utilisant la GenAI ?
Voici quelques bonnes pratiques à mettre en œuvre lors de l\'utilisation de fonctionnalités de produits intégrant la GenAI :
Sachez où se trouvent vos données et comment elles sont utilisées
Lorsque vous utilisez vos propres fournisseurs de LLM, utilisez uniquement des fournisseurs de modèles qui ont été validés et avec lesquels vous avez un aperçu clair de vos données et de leur utilisation. Assurez-vous qu\'aucune donnée sensible n\'est utilisée pour entraîner des modèles partagés et comprenez si vos données sont stockées, où elles le sont et qui y a accès.
Utilisez des garde-corps pour les données d\'entrée et de sortie du modèle
Les modèles de GenAI sont sensibles aux variations des données qu\'ils reçoivent et peuvent parfois être imprévisibles dans les résultats générés, puisqu\'il s\'agit de texte libre. En concevant des flux de travail qui utilisent les modèles de GenAI pour des tâches approuvées avec des invites et des étapes de validation des résultats préconçues, vous pouvez mieux garantir que le modèle fonctionnera avec un degré élevé de confiance dans les environnements de production. La conception d\'une invite explicite et contrôlée pour une tâche telle que le résumé permet à vos utilisateurs d\'obtenir des résultats de meilleure qualité et plus cohérents à partir des modèles, et qu\'ils peuvent utiliser dans leurs flux de travail. Veillez à ce que les utilisateurs ne soumettent pas d\'informations sensibles dans leurs invites.
Gardez une personne dans la boucle pour le contenu généré
Lorsque vous générez du contenu tel que des e-mails personnalisés pour les clients ou des résumés pour les patients, il est essentiel de s\'assurer qu\'une étape de validation humaine est présente dans votre processus avant de partager quoi que ce soit avec l\'extérieur. Il est important de comprendre que les modèles de GenAI peuvent parfois être imprévisibles dans les résultats générés, en particulier lorsqu\'ils créent de nouveaux contenus. Utilisez les notifications pour faire valider le contenu nécessaire dédié aux utilisateurs en temps réel, et suivez l\'état général du flux de travail.
Utilisez l\'analyse de code
L\'analyse de code Automation Anywhere est une fonctionnalité de sécurité intégrée qui permet d\'identifier les violations des meilleures pratiques. Cette fonctionnalité a été conçue pour promouvoir et appliquer les meilleures pratiques de codage permettant d\'identifier et de corriger les écarts par rapport à ces meilleures pratiques de manière proactive. Cela permet de renforcer la sécurité et la conformité des automatisations grâce à l\'application de pratiques de codage sécurisées, et cela améliore la lisibilité et la qualité du code.