Plans & Composants

Pour chaque composant : contrôles, recommandations et références, par palier de maturité.

Identité & Politique

Identity Provider (IdP)

Source d’autorité des identités humaines : il authentifie les personnes et fédère l’accès aux systèmes d’IA (OIDC, SAML, MFA).

Token Service (TSS)

Émission et échange de jetons à courte durée pour les charges de travail et les agents (mTLS, DPoP).

Agent Identity & Governance

Identité non-humaine (NHI) propre à chaque agent et sa gouvernance : émission, rotation, révocation, moindre agentivité.

Policy Information Point (PIP)

Fournit au PDP le contexte de décision : attributs, posture, score de risque, sensibilité des données.

Policy Administration Point (PAP)

Là où les politiques d’autorisation sont écrites, versionnées, revues et gouvernées.

Policy Decision Point (PDP)

Le cœur du Zero-Trust : il rend la décision d’autorisation (autoriser / refuser / autoriser sous conditions) que les PEP distribués exécutent.

Edge & Ingress

WAF / CDN

Première ligne de défense réseau : pare-feu applicatif (WAF) et CDN qui filtrent le trafic et absorbent les pics avant qu’ils n’atteignent les services d’IA.

API Gateway

Point d’entrée unique des API : authentification, quotas et routage. Un point d’application des politiques (PEP) au bord du système.

Edge AI Guardrail

Inspection de sécurité IA en ligne, dès le bord : DLP, PII et détection d’abus avant l’entrée dans le système.

Gateway & Protection

AI Gateway

Point d’entrée unique vers les modèles : routage multi-fournisseurs, cache, quotas — et point d’application des politiques.

Input Guardrail

Sécurité du prompt et détection d’intention : valider et assainir l’entrée avant l’orchestration et le modèle.

Output Guardrail

Caviardage, vérification d’ancrage (grounding) et filtrage de la réponse avant restitution à l’utilisateur ou à un système aval.

Orchestration

Orchestrator

Le cerveau de l’agent : il planifie, décompose et enchaîne les appels au modèle et aux outils.

Agent Guardrail

Le garde-fou de l’agent : il contraint en temps réel les actions et les appels d’outils décidés par l’orchestrateur.

HITL Approval

Validation humaine dans la boucle : un humain approuve les actions sensibles avant leur exécution.

Agent Memory

Mémoire de l’agent (court et long terme) : stockage du contexte, des faits et de l’historique entre les étapes et les sessions.

Exécution & Outils

Runtime Guardrail

Bac à sable d’exécution : il isole et contraint l’exécution effective des outils et du code décidés par l’agent.

Model (LLM)

Le modèle de langage : le moteur d’inférence, qu’il soit hébergé, en API ou auto-hébergé.

Retriever

Le récupérateur (RAG) : il sélectionne et rapporte les documents pertinents pour augmenter le contexte du modèle.

Vector DB

Base vectorielle : stockage des embeddings interrogés par le récupérateur.

Tools / MCP

Outils et serveurs MCP : les capacités externes (API, fonctions, systèmes) que l’agent peut appeler.

Données & Stockage

RAG Security & PBAC

Sécurité du RAG et contrôle d’accès par permissions (PBAC) : garantir qu’une récupération respecte les droits de l’appelant.

Data Sources

Gouvernance des sources de données : provenance, qualité et intégrité des données qui alimentent l’IA.

Encryption & Tokenization

Chiffrement et tokenisation : protéger les données au repos, en transit et à l’usage.

DLP / Egress

Prévention des fuites (DLP) et contrôle de l’egress : empêcher les données sensibles de sortir du périmètre.

Plateforme

Secrets & KMS

Secrets et gestion des clés (KMS) : stockage, distribution et rotation des secrets et clés cryptographiques.

Supply Chain Governance

Gouvernance de la chaîne d’approvisionnement : maîtriser modèles, dépendances et composants tiers de la pile IA.

Network Segmentation

Segmentation réseau : cloisonner les composants pour limiter les déplacements latéraux.

Secure CI/CD

CI/CD sécurisé : protéger la chaîne de construction et de déploiement des applications et modèles d’IA.

mTLS

mTLS : authentification mutuelle et chiffrement de toutes les communications entre services.