Aller au contenu principal

Politique de gestion IA

info

Ce document décrit les systèmes IA de GitGuardian et la gouvernance, les mesures de sécurité et les standards éthiques que nous mettons en œuvre pour assurer leur usage sûr et responsable.

Vue d'ensemble

  • Les valeurs de secret sont expurgées : nous utilisons le moteur de détection de pointe de GitGuardian pour identifier et expurger les secrets avant qu'aucune donnée ne soit envoyée à des modèles IA externes.
  • Exposition contextuelle minimale : lorsqu'un contexte est requis pour certaines fonctionnalités IA, seul un extrait autour de la localisation de la détection est envoyé, avec les secrets expurgés par le moteur de détection de GitGuardian.
  • Transmission de données sécurisée et régionale : toutes les données sont transmises de manière sécurisée via des connexions chiffrées et restent dans votre région (UE ou US) : les fournisseurs IA externes traitent les requêtes dans la même région géographique que votre instance GitGuardian.
  • Métadonnées limitées : lorsque des métadonnées sont requises, nous envoyons des caractéristiques d'incident comme le type de détecteur, la sévérité, le statut de validité et autres attributs non sensibles : aucune valeur de secret.
  • Pas d'entraînement, pas de rétention par les fournisseurs IA : vos données ne sont pas utilisées pour entraîner des modèles et ne sont pas retenues par aucun fournisseur IA externe au-delà du minimum nécessaire pour répondre à la requête.
  • Sous-processeurs déclarés : tous les fournisseurs IA (AWS Bedrock, Google Cloud Vertex AI, OpenAI) sont formellement déclarés comme sous-processeurs. Liste complète : gitguardian.com/legal/subprocessors
  • Vous êtes maître : vous pouvez router les appels LLM via votre propre cloud (BYOC), ou désactiver entièrement les appels LLM externes.

Principes IA fondamentaux de GitGuardian

Principes éthiques IA

GitGuardian se conforme à toutes les lois et réglementations IA applicables et adhère aux principes éthiques suivants :

  • Protection des données et vie privée : les systèmes IA respectent la vie privée des utilisateurs et se conforment aux réglementations de protection des données.
  • Responsabilité et imputabilité : ownership clair sur les résultats IA avec validations human-in-the-loop et traçabilité.
  • Fiabilité et intégrité : systèmes fiables avec amélioration continue.

GitGuardian respecte également toutes les politiques de sécurité standard de GitGuardian, disponibles sur notre Trust Center.

Protection de vos données

La sécurité des secrets est une mission centrale de GitGuardian. Chaque modèle et fonctionnalité IA est conçu, entraîné, évalué et maintenu sur des benchmarks internes avant déploiement, puis soumis à validation manuelle.

GitGuardian utilise un mélange de modèles propriétaires self-hosted et, dans certains cas, des grands modèles de langage tiers validés.

Nos systèmes sont résilients à l'injection de prompts par conception. La plupart des fonctionnalités IA implémentent un ou plusieurs des garde-fous suivants :

  • Séparation entrée/sortie : les producteurs d'entrées et les récepteurs de sorties sont séparés. Un attaquant ne peut pas confirmer si son entrée malveillante a produit un effet, ni influencer les réponses d'autres utilisateurs.
  • Entrées et sorties contraintes et validées : les modèles ne répondent que dans un périmètre prédéfini (par exemple, classification Yes/No), évitant les actions involontaires ou le contenu non contrôlé.
  • Contexte libre limité au périmètre autorisé du demandeur : RBAC et least-privilege par conception garantissent une isolation stricte des tenants.
  • Garde-fous et monitoring : des défenses bloquent les tentatives d'injection avant qu'elles n'atteignent le modèle et capturent les comportements non sûrs après génération.

Ces garde-fous sont complétés par l'expurgation des données sensibles, des filtres de safety (modération sur les entrées/sorties) et des validateurs entrée/sortie (vérifications de schéma et de policy).

Conformité avec l'EU AI Act

GitGuardian ne développe pas d'IA généraliste, et toutes les implémentations IA sont construites spécialement pour améliorer la détection, la classification, la priorisation et la remédiation des secrets et des Non-Human Identities — toujours avec des garde-fous stricts pour protéger les données client.

Ces implémentations relèvent d'un système IA à risque minimal selon la nomenclature de l'EU AI Act. En pratique, cela signifie qu'elles présentent un risque très limité ou nul pour la vie privée fondamentale, les droits ou la sécurité, et sont donc autorisées sans obligation de conformité supplémentaire au-delà de la transparence. GitGuardian fournit des garanties concernant la conformité de ses services aux lois et réglementations applicables via une protection contractuelle.

Usage et protection des données

Pour améliorer continuellement la détection, la priorisation et la remédiation des secrets, GitGuardian peut utiliser les Customer data uniquement pour l'amélioration du service et les Performance data pour l'entraînement de modèles et d'algorithmes.

  • Périmètre : les données sont utilisées exclusivement pour l'amélioration interne des modèles GitGuardian. Elles ne sont jamais utilisées pour entraîner des modèles tiers. La plupart des types de données peuvent exister sous deux formes :
    • Public : déjà accessible à n'importe qui sur internet (par exemple, fichiers publics GitHub ou DockerHub)
    • Internal : accessible uniquement via un accès accordé par le client.
  • Transformation des données : avant inclusion dans les jeux d'entraînement, les données subissent une expurgation du contenu sensible (secrets, credentials, informations personnelles).
  • Pratiques de sécurité : le traitement des données suit tous les standards de sécurité GitGuardian, y compris les contrôles d'accès et les politiques de rétention. Les données d'un client ne peuvent pas être exposées à un autre client via les sorties du modèle.

(*) « Performance Data » signifie, le cas échéant, les données d'usage et informations compilées par GitGuardian sur l'usage des Services par le Client, incluant Service Data, et les informations statistiques et de performance liées à la fourniture et à l'opération des Services. Performance Data inclut les informations concernant l'usage par les Clients et Utilisateurs des diverses fonctionnalités des Services et les analytics et données statistiques qui en dérivent, ainsi que les données agrégées et anonymisées dérivées des Customer Data (lorsque ces données sont traitées en lien avec les Services) de telle sorte que ces données n'identifient pas une personne.

Usage et propriété des entrées et sorties

GitGuardian s'assure que vos entrées ou sorties ne soient pas :

  • Disponibles pour d'autres clients
  • Envoyées hors de votre région de résidence des données (US ou UE) durant leur traitement par le système IA
  • Envoyées à un fournisseur LLM tiers autre que nos LLM Providers standard
  • Stockées par un fournisseur LLM tiers
  • Utilisées pour entraîner ou améliorer un modèle tiers

GitGuardian ne revendique pas la propriété de la sortie générée par IA mais conserve un droit de licence sur les entrées et sorties pour améliorer les fonctionnalités correspondantes. Les clients conservent le plein droit d'utiliser, modifier et distribuer la sortie à leur discrétion.

GitGuardian indemnisera les clients contre les réclamations de propriété intellectuelle de tiers liées à l'usage de la sortie générée par IA, à condition que le Client : (i) ait un droit valide d'utiliser ses entrées ; (ii) ait un abonnement actif et payé pour la fonctionnalité IA pertinente ; (iii) n'ait pas eu connaissance préalable de l'infraction alléguée ; (iv) la sortie n'ait pas été matériellement altérée avant la réclamation.

Modèles IA et stratégies de déploiement

GitGuardian utilise une approche multi-couches pour équilibrer performance et confidentialité :

  • Modèles propriétaires / Self-Hosted : modèles personnalisés pour la détection et la priorisation de secrets, hébergés entièrement dans l'infrastructure GitGuardian.
  • Modèles hybrides : combinant des modèles propriétaires avec des LLMs open-source hébergés dans notre environnement sécurisé.
  • LLMs tiers : pour des fonctionnalités spécifiques (par exemple, chat, explications), nous nous intégrons avec des fournisseurs de confiance comme AWS Bedrock et OpenAI via des APIs sécurisées avec Zero Data Retention.

Détails du système IA de GitGuardian

Finalités du traitement IASécuriser les secrets et NHI et aider à la remédiation.
Système(s) IA propriétaire ou tiersUsage hybride de modèles propriétaires et de LLMs tiers (AWS Bedrock, Gemini, OpenAI).
Entrée IA

Selon les fonctionnalités IA (référez-vous au Catalogue des fonctionnalités IA ci-dessous), l'entrée IA peut être :

  • Limited Secret Context (Public ou Internal) — un extrait ou portion de document centré sur le secret détecté, avec des métadonnées limitées (par exemple, date, nom de fichier).
  • Performance Data — attributs d'incident non sensibles tels que la validité du secret, le nombre de fois où il a fuité, son type/catégorie et sa classification de sévérité (n'inclut pas la valeur du secret, le contenu du dépôt, ni le contexte et feedback issus de l'interaction utilisateur).
  • User Input — uniquement le texte saisi par l'utilisateur dans le chat ou les requêtes.
  • Description et mots-clés de l'entreprise — description haut niveau et mots-clés décrivant l'entreprise (par exemple, nom de société, domaine), typiquement issus de sources OSINT.
  • Source Data (Public ou Internal) — accès complet au contenu actuel du dépôt, projet ou canal (par exemple, dépôts Git) et métadonnées associées (descriptions, utilisateurs anonymisés, interactions).
  • Tableau de bord GitGuardian — informations disponibles dans le tableau de bord pour l'utilisateur authentifié, en respectant le RBAC et les permissions.
Type de sortie IATexte et labels de classification.
Disclaimers/Watermarks de sortie IALes fonctionnalités IA sont libellées comme « powered by AI » dans nos docs mais aussi dans l'affichage lorsque pertinent.

Catalogue des fonctionnalités IA de GitGuardian

Pour un détail complet de chaque capacité IA, voir Fonctionnalités IA.

Amélioration continue et monitoring

À mesure que notre IA évolue, ces principes évolueront également. Nous continuerons à les revoir et les améliorer pour refléter les meilleures pratiques en matière d'IA responsable.

Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API