Rick Caccia, PDG et cofondateur de WitnessAI – Série d'entretiens

Rick Caccia, PDG et cofondateur de WitnessAI, possède une vaste expérience dans le lancement de produits de sécurité et de conformité. Il a occupé des postes de direction dans le domaine des produits et du marketing chez Palo Alto Networks, Google et Symantec. Caccia a précédemment dirigé le marketing produit chez ArcSight lors de son introduction en bourse et des opérations ultérieures en tant que société publique et a été le premier directeur du marketing chez Exabeam. Il est titulaire de plusieurs diplômes de l'Université de Californie à Berkeley.

TémoinAI développe une plateforme de sécurité visant à garantir une utilisation sûre et sécurisée de l’IA dans les entreprises. À chaque changement technologique majeur, comme le Web, le mobile et le cloud computing, de nouveaux défis de sécurité apparaissent, créant des opportunités pour les leaders du secteur. L’IA représente la prochaine frontière de cette évolution.

L'entreprise a pour objectif de s'imposer comme un leader de la sécurité de l'IA en combinant son expertise en apprentissage automatique, en cybersécurité et en opérations cloud à grande échelle. Son équipe apporte une expérience approfondie du développement de l'IA, de la rétro-ingénierie et du déploiement multi-cloud de Kubernetes, répondant ainsi aux défis critiques de la sécurisation des technologies pilotées par l'IA.

Qu’est-ce qui vous a poussé à cofonder WitnessAI, et quels défis clés en matière de gouvernance et de sécurité de l’IA cherchiez-vous à résoudre ? 

Lorsque nous avons démarré l’entreprise, nous pensions que les équipes de sécurité seraient préoccupées par les attaques sur leurs modèles d’IA internes. Au lieu de cela, les 15 premiers RSSI avec lesquels nous avons discuté ont dit le contraire : le déploiement généralisé de LLM dans les entreprises était encore loin, mais le problème urgent était de protéger l’utilisation par leurs employés des applications d’IA d’autres personnes. Nous avons pris du recul et avons constaté que le problème n’était pas de repousser les cyberattaques effrayantes, mais de permettre aux entreprises d’utiliser l’IA de manière productive en toute sécurité. Si la gouvernance est peut-être moins attrayante que les cyberattaques, c’est ce dont les équipes de sécurité et de confidentialité avaient réellement besoin. Elles avaient besoin de voir ce que leurs employés faisaient avec l’IA tierce, d’un moyen de mettre en œuvre des politiques d’utilisation acceptables et d’un moyen de protéger les données sans bloquer l’utilisation de ces données. C’est donc ce que nous avons mis en place.

Compte tenu de votre vaste expérience chez Google Cloud, Palo Alto Networks et d’autres sociétés de cybersécurité, comment ces rôles ont-ils influencé votre approche de la création de WitnessAI ? 

J’ai discuté avec de nombreux RSSI au fil des ans. L’une des choses que j’entends le plus souvent de la part des RSSI aujourd’hui est : « Je ne veux pas être le « Docteur No » en matière d’IA ; je veux aider nos employés à l’utiliser pour être meilleurs. » Ayant travaillé longtemps avec des fournisseurs de cybersécurité, c’est une déclaration très différente. Cela rappelle davantage l’ère des dotcom, à l’époque où le Web était une technologie nouvelle et transformatrice. Lorsque nous avons créé WitnessAI, nous avons spécifiquement commencé par des fonctionnalités de produit qui aidaient les clients à adopter l’IA en toute sécurité ; notre message était que ce truc, c’est comme de la magie et bien sûr, tout le monde veut en faire l’expérience. Je pense que les entreprises de sécurité sont trop promptes à jouer la carte de la peur, et nous voulions faire la différence.

Qu'est-ce qui distingue WitnessAI des autres plateformes de gouvernance et de sécurité de l'IA sur le marché actuel ? 

D’une part, la plupart des autres fournisseurs du secteur se concentrent principalement sur la sécurité et non sur la gouvernance. Pour moi, la gouvernance est comme les freins d’une voiture. Si vous voulez vraiment vous rendre quelque part rapidement, vous avez besoin de freins efficaces en plus d’un moteur puissant. Personne ne conduira très vite une Ferrari si elle n’a pas de freins. Dans ce cas, votre entreprise qui utilise l’IA est la Ferrari, et WitnessAI est les freins et le volant.

En revanche, la plupart de nos concurrents se concentrent sur des attaques théoriques effrayantes contre le modèle d’IA d’une organisation. C’est un vrai problème, mais c’est un problème différent de celui d’obtenir une visibilité et un contrôle sur la façon dont mes employés utilisent l’une des 5,000 XNUMX applications d’IA déjà présentes sur Internet. Il est beaucoup plus facile pour nous d’ajouter un pare-feu d’IA (et nous l’avons fait) que pour les fournisseurs de pare-feu d’IA d’ajouter une gouvernance et une gestion des risques efficaces.

Comment WitnessAI équilibre-t-il le besoin d’innovation en matière d’IA avec la sécurité et la conformité de l’entreprise ? 

Comme je l’ai écrit plus tôt, nous pensons que l’IA doit être comme de la magie : elle peut vous aider à faire des choses incroyables. Dans cette optique, nous pensons que l’innovation et la sécurité de l’IA sont liées. Si vos employés peuvent utiliser l’IA en toute sécurité, ils l’utiliseront souvent et vous prendrez de l’avance. Si vous appliquez l’état d’esprit de sécurité typique et verrouillez l’IA, votre concurrent ne le fera pas et il prendra de l’avance. Tout ce que nous faisons vise à permettre une adoption sûre de l’IA. Comme me l’a dit un client : « C’est de la magie, mais la plupart des fournisseurs la traitent comme si c’était de la magie noire, effrayante et quelque chose à craindre. » Chez WitnessAI, nous contribuons à rendre possible cette magie.

Pouvez-vous parler de la philosophie fondamentale de l’entreprise concernant la gouvernance de l’IA : considérez-vous la sécurité de l’IA comme un facilitateur plutôt qu’une restriction ? 

Nous recevons régulièrement des RSSI qui nous contactent lors d’événements où nous faisons des présentations et nous disent : « Vos concurrents nous disent tous à quel point l’IA est effrayante, et vous êtes le seul fournisseur à nous dire comment l’utiliser efficacement. » Sundar Pichai, de Google, a déclaré que « l’IA pourrait être plus profonde que le feu », et c’est une métaphore intéressante. Le feu peut être incroyablement destructeur, comme nous l’avons vu récemment. Mais un feu contrôlé peut produire de l’acier, ce qui accélère l’innovation. Parfois, chez WitnessAI, nous parlons de créer l’innovation qui permet à nos clients de diriger en toute sécurité le « feu » de l’IA pour créer l’équivalent de l’acier. Sinon, si vous pensez que l’IA s’apparente à la magie, alors peut-être que notre objectif est de vous donner une baguette magique, pour la diriger et la contrôler.

Dans les deux cas, nous sommes convaincus que l’objectif est de permettre à l’IA de fonctionner en toute sécurité. Pour vous donner un exemple, il existe de nombreux outils de prévention des pertes de données (DLP), une technologie qui existe depuis toujours. Les gens essaient d’appliquer la DLP à l’utilisation de l’IA, et peut-être que le plug-in de navigateur DLP voit que vous avez saisi une longue invite demandant de l’aide pour votre travail, et que cette invite contient volontairement un numéro d’identification client. Que se passe-t-il ? Le produit DLP bloque l’envoi de l’invite, et vous n’obtenez jamais de réponse. C’est ce qu’on appelle une restriction. Au lieu de cela, avec WItnessAI, nous pouvons identifier le même numéro, le supprimer silencieusement et chirurgicalement à la volée, puis le supprimer dans la réponse de l’IA, afin que vous obteniez une réponse utile tout en préservant la sécurité de vos données. C’est ce qu’on appelle une activation.

Quels sont les plus grands risques auxquels les entreprises sont confrontées lors du déploiement de l’IA générative, et comment WitnessAI les atténue-t-elle ?

La première étape est la visibilité. De nombreuses personnes sont surprises d’apprendre que l’univers des applications d’IA ne se limite pas à ChatGPT et désormais à DeepSeek. Il existe littéralement des milliers d’applications d’IA sur Internet et les entreprises assument les risques liés à l’utilisation de ces applications par leurs employés. La première étape consiste donc à obtenir une visibilité : quelles applications d’IA mes employés utilisent-ils, que font-ils avec ces applications et est-ce risqué ?

Le deuxième point concerne le contrôle. Votre équipe juridique a élaboré une politique d’utilisation acceptable complète pour l’IA, qui garantit la sécurité des données des clients, des données des citoyens, de la propriété intellectuelle, ainsi que de la sécurité des employés. Comment allez-vous mettre en œuvre cette politique ? Est-elle intégrée à votre produit de sécurité des terminaux ? À votre pare-feu ? À votre VPN ? À votre cloud ? Et s’ils proviennent tous de fournisseurs différents ? Vous avez donc besoin d’un moyen de définir et d’appliquer une politique d’utilisation acceptable qui soit cohérente entre les modèles d’IA, les applications, les clouds et les produits de sécurité.

Troisièmement, la protection de vos propres applications. En 2025, nous assisterons à une adoption beaucoup plus rapide des LLM au sein des entreprises, puis à un déploiement plus rapide des applications de chat alimentées par ces LLM. Les entreprises doivent donc s'assurer non seulement que les applications sont protégées, mais également qu'elles ne disent pas de choses « stupides », comme recommander un concurrent.

Nous répondons à ces trois problématiques. Nous offrons une visibilité sur les applications auxquelles les utilisateurs accèdent, sur la manière dont ils les utilisent, sur une politique basée sur qui vous êtes et ce que vous essayez de faire, et sur des outils très efficaces pour prévenir les attaques telles que les jailbreaks ou les comportements indésirables de vos robots.

Comment la fonction d'observabilité de l'IA de WitnessAI aide-t-elle les entreprises à suivre l'utilisation de l'IA par les employés et à prévenir les risques liés à « l'IA fantôme » ?

WitnessAI se connecte facilement à votre réseau et crée silencieusement un catalogue de toutes les applications d'IA (et il en existe des milliers sur Internet) auxquelles vos employés ont accès. Nous vous indiquons où se trouvent ces applications, où elles hébergent leurs données, etc., afin que vous compreniez leur niveau de risque. Vous pouvez activer la visibilité des conversations : nous utilisons une inspection approfondie des paquets pour observer les invites et les réponses. Nous pouvons classer les invites par risque et par intention. L'intention peut être « écrire du code » ou « rédiger un contrat d'entreprise ». C'est important, car nous vous permettons ensuite de définir des contrôles de politique basés sur l'intention.

Quel rôle joue l’application des politiques d’IA pour garantir la conformité de l’IA dans l’entreprise, et comment WitnessAI rationalise-t-il ce processus ?

La conformité consiste à s'assurer que votre entreprise respecte les réglementations et les politiques. Cette conformité comporte deux volets. Premièrement, il est nécessaire de pouvoir identifier toute activité problématique. Par exemple, je dois savoir si un employé utilise les données clients d'une manière susceptible d'enfreindre la loi sur la protection des données. Notre plateforme d'observabilité nous permet d'y parvenir. Deuxièmement, il faut décrire et appliquer une politique contre cette activité. Il ne s'agit pas simplement de savoir qu'une fuite de données client a lieu, mais de l'empêcher. C'est pourquoi nous avons développé un moteur de politiques unique, basé sur l'IA, Witness/CONTROL, qui vous permet de créer facilement des politiques basées sur l'identité et les intentions pour protéger les données, prévenir les réponses nuisibles ou illégales, etc. Par exemple, vous pouvez créer une politique stipulant : « Seul notre service juridique peut utiliser ChatGPT pour rédiger des contrats d'entreprise et, le cas échéant, supprimer automatiquement toute information personnelle identifiable. » Facile à dire, et avec WitnessAI, facile à mettre en œuvre.

Comment WitnessAI répond-il aux préoccupations concernant les jailbreaks LLM et les attaques par injection rapide ?

Nous disposons d'une équipe de recherche en IA très pointue. Très tôt, ils ont mis au point un système permettant de créer des données d'attaque synthétiques, en plus d'extraire des ensembles de données d'entraînement largement disponibles. En conséquence, nous avons comparé notre injection rapide à tout ce qui existe, nous sommes efficaces à plus de 99 % et détectons régulièrement des attaques que les modèles eux-mêmes oublient.

En pratique, la plupart des entreprises avec lesquelles nous échangeons souhaitent commencer par une gouvernance des applications pour les employés, puis un peu plus tard, elles déploient une application client IA basée sur leurs données internes. Elles utilisent donc Witness pour protéger leurs employés, puis elles activent le pare-feu à injection rapide. Un système unique, une manière cohérente de créer des politiques, facile à mettre à l'échelle.

Quels sont vos objectifs à long terme pour WitnessAI et où voyez-vous évoluer la gouvernance de l’IA dans les cinq prochaines années ? 

Jusqu'à présent, nous n'avons parlé que d'un modèle d'application de chat entre personnes. Notre prochaine phase consistera à gérer l'application à l'application, c'est-à-dire l'IA agentique. Nous avons conçu les API de notre plateforme pour qu'elles fonctionnent aussi bien avec les agents qu'avec les humains. Au-delà de cela, nous pensons avoir créé une nouvelle façon d'obtenir une visibilité au niveau du réseau et un contrôle des politiques à l'ère de l'IA, et nous allons développer l'entreprise dans cet esprit.

Merci pour cette excellente interview, les lecteurs qui souhaitent en savoir plus devraient visiter TémoinAI.