Aperçu
L’Accès de confiance pour la cybersécurité est le modèle de gouvernance d’OpenAI Daybreak. Il aide les entreprises clientes admissibles et les praticiens de la cybersécurité à utiliser les modèles OpenAI plus efficacement pour des travaux de cybersécurité autorisés, et il est conçu pour soutenir les flux de travail de sécurité légitimes en réduisant les frictions inutiles grâce à des mesures de protection plus précises. Les politiques d’utilisation d’OpenAI, les autres mesures de protection et les contrôles d’accès continuent de s’appliquer.
L’Accès de confiance est destiné aux travaux de cybersécurité défensive autorisés sur les systèmes, applications, comptes, réseaux ou données que vous possédez, exploitez ou êtes explicitement autorisé à tester ou à analyser.
Les flux de travail des clients appartiennent généralement à trois catégories :
SDLC sécurisé / AppSec : analyse continue du code, analyse des environnements de test, validation des constats de sécurité, automatisation des correctifs de sécurité, revue de code sécurisée et application de correctifs.
Opérations défensives : blue teaming, modélisation des menaces, renseignement sur les menaces, chasse aux menaces, analyse de logiciels malveillants, ingénierie de détection, triage des vulnérabilités et validation des correctifs.
Tests offensifs autorisés : tests d’intrusion, red teaming, validation ou développement d’exploits, analyse de logiciels malveillants, rétro-ingénierie et validation contrôlée dans des environnements autorisés.
Le tableau ci-dessous décrit les niveaux actuels d’accès de confiance :
| Accès | Ce qui change | Cas d’utilisation prévus |
|---|---|---|
| GPT-5.5 (par défaut) | Mesures de protection standard pour l’utilisation générale | Flux de travail de SDLC sécurisé et de sécurité des applications, notamment la modélisation des menaces, les revues de code sécurisées et l’application de correctifs, ainsi que le blue teaming généralisé |
| GPT-5.5 avec Accès de confiance pour la cybersécurité | Mesures de protection plus précises pour les travaux défensifs vérifiés dans des environnements autorisés | Triage et validation des vulnérabilités, analyse de logiciels malveillants, ingénierie de détection et validation des correctifs |
| GPT-5.5-Cyber | Conçu expressément pour des flux de travail autorisés spécialisés, avec une vérification renforcée et des contrôles au niveau du compte | Tests offensifs autorisés, y compris le red teaming, le développement d’exploits, les tests d’intrusion et la chasse aux menaces |
GPT-5.5 est un modèle exceptionnel pour les tâches cybernétiques courantes, notamment les revues de code sécurisées, l’application de correctifs, la modélisation des menaces et le blue teaming généralisé. Pour la plupart des défenseurs, GPT-5.5 avec Accès de confiance pour la cybersécurité constitue le bon niveau de capacité lorsque les flux de travail approuvés nécessitent des mesures de protection plus précises pour le travail défensif autorisé. Ce niveau d’accès peut prendre en charge la grande majorité des flux de travail défensifs légitimes tout en préservant les grandes forces et la posture de sécurité du modèle.
Un accès plus spécialisé devient pertinent seulement lorsque les flux de travail autorisés exigent des capacités cybernétiques offensives. Cela se produit avec des flux de travail à risque plus élevé, comme le red teaming, le développement d’exploits, l’analyse de logiciels malveillants et la rétro-ingénierie, où les défenseurs peuvent devoir aller au-delà de l’analyse et valider l’exploitabilité dans un environnement contrôlé. GPT-5.5-Cyber est conçu pour faciliter ces flux de travail à double usage plus spécialisés.
Pour en savoir plus, consultez Étendre l’Accès de confiance pour la cybersécurité avec GPT-5.5 et GPT-5.5-Cyber
Limites
L’Accès de confiance pour la cybersécurité ne fait pas ce qui suit :
Supprimer toutes les mesures de protection ou tous les refus.
Garantir l’accès à tous les modèles spécialisés en cybersécurité.
Accorder par défaut l’absence de conservation des données.
Permettre la revente, l’accès par proxy, l’intégration ou l’accès en aval pour des clients tiers ou des utilisateurs externes.
Autoriser des activités hors des systèmes que vous possédez ou que vous êtes explicitement autorisé à tester.
L’accès est destiné uniquement aux utilisateurs internes approuvés et aux flux de travail internes approuvés. L’organisation ou l’espace de travail utilisé pour l’Accès de confiance devrait être réservé au travail de sécurité interne et ne devrait pas aussi alimenter des applications destinées aux clients, du trafic de produits en aval ni l’accès de tiers.
Demander l’Accès de confiance pour la cybersécurité
Pour demander l’Accès de confiance pour la cybersécurité :
Dans le cadre de l’examen, on pourrait vous demander de fournir des renseignements sur :
Votre organisation et vos capacités en cybersécurité.
Les flux de travail de cybersécurité défensive que vous souhaitez soutenir.
L’organisation OpenAI ou l’espace de travail que vous prévoyez utiliser.
Les renseignements de vérification ou de confiance nécessaires pour évaluer l’admissibilité.
OpenAI examine les demandes avant d’activer l’accès. L’approbation n’est pas automatique.
Les avantages offerts par l’Accès de confiance pour la cybersécurité dépendent de l’accès approuvé pour votre demande, qu’OpenAI évalue selon des facteurs comme la vérification de l’identité et de la confiance, les considérations de risque, le cas d’utilisation prévu et la capacité du demandeur à renforcer l’écosystème de cybersécurité au sens large.
Utiliser l’Accès de confiance de manière responsable
Il vous incombe de veiller à ce que votre utilisation demeure dans le cadre approuvé et respecte les conditions d’OpenAI ainsi que ses politiques d’utilisation.
Si vous êtes approuvé, utilisez l’Accès de confiance uniquement pour des travaux de cybersécurité légaux et autorisés, et vous devez accepter notre Politique sur les abus cybernétiques : nous interdisons l’utilisation de nos services pour faciliter les abus cybernétiques, c’est-à-dire la compromission de l’intégrité, de la confidentialité ou de la disponibilité d’un système d’information, y compris les activités cybernétiques « à double usage » menées avec une intention malveillante, sans autorisation appropriée ou au-delà de l’autorisation accordée.
Vous devriez aussi vous assurer que l’organisation ou l’espace de travail utilisé pour l’Accès de confiance convient au travail de sécurité interne. Si la même organisation alimente du trafic destiné aux clients ou des flux de travail de produits en aval, travaillez avec votre contact OpenAI avant de faire une demande. L’Accès de confiance pour la cybersécurité ne peut pas être étendu à des clients tiers, à des utilisateurs externes, à des flux de travail destinés aux clients ni au trafic de produits en aval.
FAQ
Qu’est-ce qui change après l’approbation?
Les clients approuvés peuvent utiliser GPT-5.5 pour les flux de travail de cybersécurité admissibles, selon le niveau d’accès. L’Accès de confiance pour la cybersécurité peut réduire les frictions inutiles pour les travaux défensifs approuvés dans les flux de travail SDLC sécurisé / AppSec, les opérations défensives et les tests offensifs autorisés. Les autres mesures de protection et contrôles des politiques d’utilisation continuent de s’appliquer.
L’approbation inclut-elle GPT-5.5-Cyber?
Pas automatiquement. L’Accès de confiance pour la cybersécurité peut soutenir de nombreux flux de travail de cybersécurité défensive avec GPT-5.5. GPT-5.5-Cyber est destiné à un ensemble plus restreint de flux de travail autorisés spécialisés, comme le red teaming ainsi que la validation ou le développement d’exploits, et peut exiger une approbation et des contrôles supplémentaires.
Puis-je utiliser l’Accès de confiance pour mes clients ou des utilisateurs externes?
Non. L’Accès de confiance est destiné uniquement à une utilisation interne approuvée. Il ne peut pas être étendu à des clients tiers, à des utilisateurs externes, à des flux de travail destinés aux clients ni au trafic de produits en aval.
L’Accès de confiance inclut-il l’absence de conservation des données?
Non. L’Accès de confiance et l’absence de conservation des données sont distincts. Si vous avez besoin de conseils sur la conservation des données ou la configuration de l’organisation, veuillez travailler avec votre contact OpenAI.
Puis-je utiliser l’Accès de confiance pour des systèmes qui ne m’appartiennent pas?
Seulement si vous êtes explicitement autorisé à les tester ou à les analyser. Vous n’êtes pas autorisé à partager ou à vendre l’accès TAC à des tiers, ni à utiliser TAC pour tester des systèmes que vous ne possédez pas ou que vous n’êtes pas explicitement autorisé à tester ou à analyser.
GPT-5.5 avec Accès de confiance pour la cybersécurité peut-il être utilisé en dehors de Codex?
Oui. L’Accès de confiance n’est pas limité à Codex. Si votre chemin d’accès approuvé le prend en charge, vous pouvez utiliser GPT-5.5 avec l’Accès de confiance pour la cybersécurité dans les pipelines CI/CD et d’autres outils de sécurité internes, tant que l’utilisation demeure dans votre cadre défensif approuvé et autorisé.
Comment devrions-nous configurer l’Accès de confiance si notre organisation OpenAI actuelle sert du trafic API destiné aux clients?
Utilisez une organisation ou un espace de travail réservé au travail de sécurité interne approuvé. L’Accès de confiance ne devrait pas être activé dans une organisation qui alimente des applications destinées aux clients, l’accès de tiers ou du trafic de produits en aval. Travaillez avec votre contact OpenAI à la configuration appropriée avant de faire une demande ou d’activer l’accès.
Un contrat ou un achat peut-il garantir l’accès à GPT-5.5-Cyber?
Non. L’accès à GPT-5.5-Cyber est limité et fondé sur l’approbation. Un accord commercial ou un achat à lui seul ne garantit pas l’accès. Si votre demande est approuvée, OpenAI confirmera le chemin d’accès disponible et toutes les conditions applicables.
Que devrais-je vérifier si je vois encore un message de sécurité cybernétique après l’approbation?
Confirmez que vous utilisez l’organisation ou l’espace de travail approuvé, le modèle ou le chemin d’accès approuvé, ainsi que la surface de produit prévue. Certaines mesures de protection peuvent encore s’appliquer après l’approbation. Si une demande clairement défensive semble être bloquée de façon inattendue, communiquez avec le soutien en fournissant le message exact, le modèle, la surface de produit, l’horodatage, l’ID de demande s’il est disponible, ainsi qu’une brève description caviardée de la tâche. En savoir plus : Accès de confiance pour la cybersécurité – Problèmes courants et dépannage
Comment une organisation peut-elle limiter l’Accès de confiance aux bons employés?
L’Accès de confiance devrait être offert uniquement aux utilisateurs internes approuvés qui travaillent à des tâches de sécurité autorisées. Si vous devez limiter l’accès, travaillez avec votre contact OpenAI pour configurer une organisation ou un espace de travail réservé à l’interne et n’approvisionner que les utilisateurs appropriés.