Accélérer l'innovation

du machine learning
par la sécurité
Les fonctionnalités de sécurité offertes par
Amazon SageMaker et le Cloud AWS peuvent
vous aider à passer plus rapidement d'une idée
à la phase de production.
INTRODUCTION

Introduction – Quand la sécurité contribue

aux résultats du machine learning
Bien souvent, votre entreprise a besoin d'ensembles de données qui lui sont
propres afin de développer des modèles de machine learning efficaces.
Ces ensembles de données constituent des ressources inestimables, qui
doivent être sécurisées à chaque étape du processus de machine learning :
préparation des données, entraînement, validation et inférence.

Dans le cadre d'un projet de machine learning classique, il faut parfois des
mois pour développer un flux de travail sécurisé avant de pouvoir travailler
sur l'un de vos modèles. L'adhésion continue des dirigeants permet d'obtenir
des résultats rapidement. Ainsi, tout ce qui réduit les retards liés à la sécurité
contribue à mobiliser l'organisation dans son ensemble pour votre projet et
vos initiatives de machine learning de plus grande envergure.

Amazon SageMaker est un service entièrement géré qui offre à chaque

développeur et à chaque scientifique des données la possibilité de créer,
d'entraîner et de déployer des modèles de machine learning de façon rapide
et sécurisée. Dans les pages suivantes, nous présentons les fonctionnalités de
sécurité d'Amazon SageMaker qui peuvent aider votre organisation à répondre
aux strictes exigences de sécurité des charges de travail de machine learning
qui, à terme, vous aideront à concrétiser vos idées plus rapidement, de façon
plus sécurisée, et avec un meilleur taux de réussite.

2
SYNTHÈSE

Synthèse
En tant que service AWS géré, Amazon SageMaker
hérite automatiquement de l'infrastructure AWS
globale et de ses fonctionnalités de sécurité réseau.
AWS est taillé pour le cloud, avec des centres de
données et un réseau conçus pour vous aider à Sécurité de l'infrastructure Authentification et Protection des données
protéger les informations, les identités, les applications et du réseau autorisation
Profitez du chiffrement
et les appareils. Le réseau et l'infrastructure AWS Contrôlez le trafic de Définissez, imposez et
automatique des données
sont surveillés 24 h sur 24, 7 j sur 7 afin de garantir données sur les composants auditez ce qui peut être
au repos et en transit avec
la confidentialité, l'intégrité et la disponibilité de Amazon SageMaker d'un réseau authentifié et autorisé
la flexibilité d'utiliser vos
vos données. En outre, Amazon SageMaker offre privé. Contrôlez les entrées/ à utiliser les ressources
propres clés.
un ensemble complet de fonctionnalités pour vous sorties avec un environnement Amazon SageMaker.
permettre d'exécuter vos charges de travail de dédié afin que vos données et
machine learning avec l'environnement dédié le plus ressources soient sécurisées.
flexible et le plus sécurisé disponible à ce jour.

Les clients nous ont rapporté que les éléments

suivants étaient les principaux critères de sécurité
qu'ils examinaient pour évaluer les solutions de
machine learning. Combinées, les fonctionnalités de
Surveillance et auditabilité Certifications de conformité
sécurité du Cloud AWS et d'Amazon SageMaker vous
Suivez, localisez et auditez tous Héritez des contrôles de
permettent de remplir ces critères facilement, afin que
les appels d'API, événements, conformité les plus complets
vous puissiez mettre en œuvre le machine learning en
accès aux données et toutes et remplissez facilement
toute sécurité dans les applications de production.
les interactions aux niveaux les exigences de sécurité de
utilisateur et IP. votre secteur.

3
 SÉCURITÉ DE L'INFRASTRUCTURE ET DU RÉSEAU

Sécurité de l'infrastructure et du réseau

La sécurité du machine learning commence par l'infrastructure de base, y compris les ressources
sous-jacentes liées au calcul, au stockage et au réseau. Lorsque vous évaluez l'infrastructure et
la sécurité réseau des solutions de machine learning, assurez-vous que celles-ci disposent des 3M innove tout en
fonctionnalités critiques suivantes : 1) la possibilité d'isoler le réseau et de restreindre le trafic de gardant le cap
données des divers composants du flux de travail aux connexions réseau privées et sécurisées ;
2) la possibilité de contrôler l'accès, et plus spécifiquement de bloquer le trafic entrant et sortant Grâce à la recherche et au développement,
de données et de code en provenance et à destination d'Internet ; 3) un modèle d'hébergement 3M lance plus de 1 200 nouveaux
qui garantit l'isolement entre les environnements utilisateur. produits chaque année. La société utilise
Amazon SageMaker pour améliorer l'efficacité
Amazon SageMaker utilise Amazon Virtual Private Cloud (VPC), un service qui fournit des sections
des processus liés au contrôle de la qualité
du Cloud AWS isolées de manière logique, pour lancer ses ressources dans un réseau virtuel qui
et en finir avec les inspections manuelles
lui est propre. Tout le trafic de données entre les divers composants Amazon SageMaker circule
chronophages. 3M a développé des modèles
au sein de ce réseau, et est étroitement contrôlé par les autorisations de groupes de sécurité.
de machine learning afin d'améliorer la
Vous avez également la possibilité de déployer Amazon SageMaker au sein de votre propre VPC
recherche, l'analyse et la détection de défauts.
afin de fournir un accès sécurisé à vos ressources privées.

En outre, Amazon SageMaker permet d'isoler le réseau d'Internet en vous donnant la possibilité de
Nos nouveaux processus basés sur
désactiver le trafic de données sortant vers Internet sur son réseau. Cette option contribue à limiter
le machine learning sont bien plus
les comportements à risque des utilisateurs, tels que l'installation de logiciels non autorisés.
efficaces que nos précédentes approches.
Vous pouvez également contrôler le trafic réseau d'Amazon SageMaker avec AWS PrivateLink,
(Amazon) SageMaker nous a permis
un service qui fournit une connectivité privée entre les VPC, les services AWS et les applications
d'accéder de façon économique à une
sur site. De plus, les instances Amazon SageMaker sont déployées sur des instances Amazon EC2
puissante infrastructure à la demande,
dédiées afin de garantir que vos environnements de machine learning sont isolés des autres
ainsi qu'à des fonctionnalités de sécurité
clients. Enfin, Amazon SageMaker vous permet de restreindre l'accès racine aux utilisateurs de
complètes. Nous pouvons ainsi nous
manière programmatique, de sorte que vous puissiez choisir quand donner à vos scientifiques des
concentrer sur la recherche plutôt que
données la flexibilité requise pour exploiter des bibliothèques externes.
sur les mécanismes de mise à l'échelle
En savoir plus sur la sécurité de l'infrastructure et Amazon SageMaker » sécurisée des capacités de calcul.
David Frazee, directeur technique, 3M Corporate
Research Systems Lab

4
 AUTHENTIFICATION ET AUTORISATION

Authentification et autorisation
Une des capacités fondamentales dont vous avez besoin afin de sécuriser votre environnement de
machine learning est un mécanisme fort pour définir, imposer et auditer quels utilisateurs peuvent se
connecter (authentification) et à quelles ressources et fonctions ils sont autorisés à accéder (autorisation).

Amazon SageMaker est régi par AWS Identity and Access Management (IAM), un service qui vous permet
de gérer l'accès aux services et ressources AWS de façon sécurisée. Avec AWS IAM, vous avez la possibilité
d'implémenter des contrôles d'accès précis. AWS IAM vous permet de spécifier qui peut effectuer quelles
actions, sur quelles ressources et dans quelles circonstances, au niveau des fonctionnalités spécifiques, des
utilisateurs, des groupes et des rôles. Vous pouvez facilement importer les identités d'utilisateurs existants
depuis AWS Directory Service, un répertoire d'utilisateurs d'entreprise comme Active Directory (AD),
Lightweight Directory Access Protocol (LDAP) ou un fournisseur d'identités web.

Afin de faciliter la mise en œuvre des contrôles d'accès, SageMaker offre :

1
L'authentification multifacteur (MFA), qui demande aux utilisateurs
leur identifiant et leur mot de passe (premier facteur), ainsi qu'un code
d'authentification provenant de leur appareil MFA AWS (second facteur).

Un contrôle d'accès reposant sur des balises pour catégoriser les

2 ressources en fonction de l'usage, du propriétaire, de l'environnement et

d'autres critères, ce qui vous permet de gérer, de rechercher et de filtrer
les ressources plus facilement.

Des contrôles de détection qui identifient les menaces ou incidents de

3 sécurité potentiels en se basant sur le comportement des utilisateurs

dans Amazon SageMaker.

4 Des contrôles préventifs qui peuvent empêcher une action

potentiellement dangereuse de se produire.

En savoir plus sur AWS IAM et Amazon SageMaker »

5
 PROTECTION DES DONNÉES

Protection des données

Un autre aspect de sécurité important à prendre en compte pour les solutions de machine learning
est la protection des données via le chiffrement automatique des données au repos et en transit, ainsi
que pendant l'entraînement sur tous les clusters distribués. Les solutions de machine learning doivent
également offrir la possibilité d'utiliser vos propres clés de chiffrement.
Amazon SageMaker intègre par défaut des fonctionnalités de chiffrement afin de garantir que les
ensembles de données d'entraînement, les données entrantes pour l'inférence, ainsi que les autres
artefacts de modèles et de systèmes de machine learning sont chiffrés aussi bien en transit qu'au repos.
Amazon SageMaker vous offre également des options flexibles pour le chiffrement des données avec les
clés gérées par Amazon SageMaker, les clés gérées par AWS et les clés gérées par le client.

En savoir plus sur la protection des données dans Amazon SageMaker »

La NFL s'attaque à la sécurité des joueurs

Ensemble, la NFL et AWS utilisent le machine learning pour créer Digital Athlete (« l'athlète
numérique »), une plateforme visant à améliorer la prévention et le traitement des blessures,
et à terme, prédire les blessures. Le programme utilisera des données de joueurs anonymisées et
agrégées pour créer un composite qui simulera des scénarios infinis de l'environnement de jeu.
La NFL et AWS espèrent que le programme aura, à terme, des répercussions positives au-delà de la
sphère du football. Il pourrait, par exemple, devenir un outil utile dans le secteur de la santé.

« Puisque les données utilisées pour la modélisation sont hautement sensibles, nous
avions besoin d'une solution de machine learning comme Amazon SageMaker, qui
intègre des fonctionnalités de sécurité et de conformité afin de protéger les données
tout au long du processus de machine learning. »
Jennifer Langton, vice-présidente senior Santé et sécurité, NFL

6
SURVEILLANCE ET AUDITABILITÉ

Surveillance et auditabilité

L'auditabilité consiste à suivre, à localiser et « Nous avons choisi le service

à surveiller les appels d'API, les événements, (Amazon) CloudWatch, car il simplifie
les accès aux données et les interactions aux l'agrégation des divers flux de journaux issus
niveaux utilisateur et IP afin de garantir la mise des différents services AWS, et réduit les frais
en œuvre rapide d'actions correctives (le cas généraux ainsi que la complexité généralement
échéant). Il est essentiel de pouvoir capturer associée à la gestion des journaux.
les traces d'audit avec précision au niveau des (Amazon) CloudWatch offre également la
utilisateurs, des fichiers et des objets. possibilité d'exporter certains journaux via
des flux de journaux, ce qui nous a permis de
Amazon SageMaker intègre mettre en place un pipeline externe d'analyse
Amazon CloudWatch Logs et AWS CloudTrail automatisée des journaux… il s'est donc
pour la journalisation des événements et des clairement démarqué de ses concurrents. »
appels d'API. Vous pouvez également définir
Moe Abbas, ingénieur senior Logiciels de sécurité, Canva
des alarmes pour surveiller certains seuils,
et envoyer des notifications ou prendre des
mesures lorsque ces seuils sont atteints. Vous
pouvez en outre identifier quels utilisateurs
et quels comptes ont appelé AWS, l'adresse
IP source à partir de laquelle les appels ont
été effectués, et quand les appels ont eu
lieu. Étant donné qu'Amazon SageMaker
utilise les données d'Amazon S3, toutes les
activités d'accès aux données sont consignées
automatiquement à des fins de surveillance.

En savoir plus sur la journalisation et la

surveillance dans Amazon SageMaker »

7
 CERTIFICATIONS DE CONFORMITÉ

Conformité réglementaire
Dans de nombreux cas, les solutions de machine learning doivent être conformes aux normes réglementaires et
obtenir des certifications de conformité qui varient sensiblement en fonction des pays et des secteurs d'activité.

AWS prend en charge plus de normes de sécurité et de certifications de conformité que n'importe
quel autre fournisseur de cloud. En tant que service AWS, Amazon SageMaker est conforme à un
grand nombre de programmes de conformité, notamment PCI, HIPAA, SOC 1/2/3, FedRAMP, et ISO
9001/27001/27017/27018. En outre, afin d'accompagner vos efforts en matière de conformité, AWS fait
régulièrement valider par des tiers des milliers d'exigences de conformité à l'échelle mondiale, dans des
secteurs comme la finance, la vente au détail, la santé et le secteur public. Pour connaître les dernières
certifications de SageMaker, visitez le site web du programme de conformité AWS.

Thomson Reuters innove plus rapidement grâce à la sécurité

Thomson Reuters est une source majeure d'informations fiables et intelligentes pour les entreprises et les
professionnels. Grâce à Amazon SageMaker, Thomson Reuters a accéléré le développement des modèles
de machine learning pour un certain nombre de solutions innovantes, telles que la classification de textes
et le processus de réponse aux questions en langage naturel, et ce, avec flexibilité et en réalisant des
économies. Afin de compléter les fonctionnalités de sécurité d'Amazon SageMaker, la société a développé
une solution personnalisée appelée « Secure Content Workspaces » (SCW).

« Amazon SageMaker a fait économiser à notre équipe d'innombrables heures de

programmation, qui auraient été nécessaires sur une infrastructure ML autogérée. Combinés,
Amazon SageMaker et SCW permettent aux chercheurs et aux scientifiques des données de
travailler dans le cloud tout en respectant nos standards, sans être experts en cloud. »
John Duprey, directeur senior de l'ingénierie, centre pour l'IA et l'informatique cognitive, Thomson Reuters

8
Essayez Amazon SageMaker pendant deux
mois, gratuitement
Amazon SageMaker peut aider votre organisation à sécuriser votre environnement
de machine learning en peu de temps, afin que vous puissiez évoluer et innover
plus rapidement. Dans le cadre de l'offre gratuite AWS, vous pouvez démarrer
gratuitement avec Amazon SageMaker.

Commencez votre essai gratuit »