Présentation
Trusted Access for Cyber est le modèle de gouvernance d’OpenAI Daybreak. Il aide les clients entreprises qualifiés et les praticiens de la cybersécurité à utiliser les modèles OpenAI plus efficacement pour des travaux de cybersécurité autorisés, et est conçu pour soutenir les workflows de sécurité légitimes en réduisant les frictions inutiles grâce à des mesures de protection plus précises. Les politiques d’utilisation d’OpenAI, les autres mesures de protection et les contrôles d’accès continuent de s’appliquer.
Trusted Access est destiné aux travaux de cybersécurité défensive autorisés sur des systèmes, applications, comptes, réseaux ou données que vous possédez, exploitez ou êtes explicitement autorisé à tester ou à analyser.
Les workflows client relèvent généralement de trois catégories :
Secure SDLC / AppSec : analyse continue du code, analyse des environnements de test, validation des constats de sécurité, automatisation des correctifs de sécurité, revue de code sécurisée et application de correctifs.
Opérations défensives : blue teaming, modélisation des menaces, renseignement sur les menaces, chasse aux menaces, analyse de logiciels malveillants, ingénierie de détection, triage des vulnérabilités et validation des correctifs.
Tests offensifs autorisés : tests d’intrusion, red teaming, validation ou développement d’exploits, analyse de logiciels malveillants, rétro-ingénierie et validation contrôlée dans des environnements autorisés.
Le tableau ci-dessous décrit les niveaux d’accès de confiance actuels :
| Accès | Ce qui change | Cas d’utilisation prévus |
|---|---|---|
| GPT-5.5 (par défaut) | Mesures de protection standard pour un usage général | Workflows Secure SDLC et de sécurité applicative, y compris la modélisation des menaces, les revues de code sécurisées et l’application de correctifs, ainsi que le blue teaming généralisé |
| GPT-5.5 avec Trusted Access for Cyber | Mesures de protection plus précises pour les travaux défensifs vérifiés dans des environnements autorisés | Triage et validation des vulnérabilités, analyse de logiciels malveillants, ingénierie de détection et validation des correctifs |
| GPT-5.5-Cyber | Conçu spécialement pour des workflows autorisés spécialisés, avec une vérification plus stricte et des contrôles au niveau du compte | Tests offensifs autorisés, notamment red teaming, développement d’exploits, tests d’intrusion et chasse aux menaces |
GPT-5.5 est un modèle exceptionnel pour les tâches cyber courantes, notamment les revues de code sécurisées, l’application de correctifs, la modélisation des menaces et le blue teaming généralisé. Pour la plupart des défenseurs, GPT-5.5 avec Trusted Access for Cyber offre le bon niveau de capacité lorsque les workflows approuvés nécessitent des mesures de protection plus précises pour des travaux défensifs autorisés. Ce niveau d’accès peut traiter la grande majorité des workflows défensifs légitimes tout en préservant les vastes forces du modèle et sa posture de sécurité.
Un accès plus spécialisé ne devient pertinent que lorsque les workflows autorisés exigent des capacités cyber offensives. C’est le cas pour des workflows à risque plus élevé, comme le red teaming, le développement d’exploits, l’analyse de logiciels malveillants et la rétro-ingénierie, où les défenseurs peuvent devoir aller au-delà de l’analyse et valider l’exploitabilité dans un environnement contrôlé. GPT-5.5-Cyber est conçu pour faciliter ces workflows à double usage plus spécialisés.
En savoir plus dans Faire évoluer Trusted Access for Cyber avec GPT-5.5 et GPT-5.5-Cyber
Limitations
Trusted Access for Cyber ne permet pas de :
Supprimer toutes les mesures de protection ni tous les refus.
Garantir l’accès à chaque modèle spécialisé dans le cyber.
Accorder par défaut la politique de non-conservation des données.
Autoriser la revente, l’utilisation comme proxy, l’intégration ou l’accès en aval pour des clients tiers ou des utilisateurs externes.
Autoriser des activités sur des systèmes que vous ne possédez pas ou que vous n’êtes pas explicitement autorisé à tester.
L’accès est destiné uniquement aux utilisateurs internes approuvés et aux workflows internes approuvés. L’organisation ou l’espace de travail utilisé pour Trusted Access doit être réservé aux travaux de sécurité internes et ne doit pas également alimenter des applications destinées aux clients, du trafic produit en aval ni un accès tiers.
Demander Trusted Access for Cyber
Pour demander Trusted Access for Cyber :
Dans le cadre de l’examen, il pourra vous être demandé de fournir des informations sur :
Votre organisation et vos capacités en cybersécurité.
Les workflows de cybersécurité défensive que vous souhaitez prendre en charge.
L’organisation OpenAI ou l’espace de travail que vous prévoyez d’utiliser.
Les informations de vérification ou de confiance nécessaires pour évaluer l’éligibilité.
OpenAI examine les demandes avant d’activer l’accès. L’approbation n’est pas automatique.
Les avantages disponibles via Trusted Access for Cyber dépendent de l’accès approuvé pour votre demande, qu’OpenAI évalue selon des facteurs tels que la vérification de l’identité et de la confiance, les considérations de risque, le cas d’utilisation prévu et la capacité du demandeur à renforcer l’écosystème de cybersécurité au sens large.
Utiliser Trusted Access de manière responsable
Il vous incombe de veiller à ce que votre utilisation reste dans le périmètre approuvé et respecte les conditions d’OpenAI ainsi que ses politiques d’utilisation.
Si votre demande est approuvée, utilisez Trusted Access uniquement pour des travaux de cybersécurité légaux et autorisés, et vous devez accepter notre Politique contre les abus cyber : nous interdisons l’utilisation de nos services pour faciliter des abus cyber, c’est-à-dire compromettre l’intégrité, la confidentialité ou la disponibilité d’un système d’information, y compris les activités cyber à « double usage » menées avec une intention malveillante, sans autorisation appropriée ou au-delà de l’autorisation accordée.
Vous devez également vous assurer que l’organisation ou l’espace de travail utilisé pour Trusted Access est adapté aux travaux de sécurité internes. Si la même organisation alimente du trafic destiné aux clients ou des workflows produit en aval, consultez votre contact OpenAI avant de faire une demande. Trusted Access for Cyber ne peut pas être étendu à des clients tiers, des utilisateurs externes, des workflows destinés aux clients ni du trafic produit en aval.
Dépannage
Lire : Trusted Access for Cyber - Problèmes courants et dépannage
FAQ
Qu’est-ce qui change après l’approbation ?
Les clients approuvés sont autorisés à utiliser GPT-5.5 pour les workflows de cybersécurité éligibles, selon le niveau d’accès. Trusted Access for Cyber peut réduire les frictions inutiles pour les travaux défensifs approuvés dans les workflows Secure SDLC / AppSec, les opérations défensives et les tests offensifs autorisés. Les autres mesures de protection et contrôles des politiques d’utilisation continuent de s’appliquer.
L’approbation inclut-elle GPT-5.5-Cyber ?
Pas automatiquement. Trusted Access for Cyber peut prendre en charge de nombreux workflows de cybersécurité défensive avec GPT-5.5. GPT-5.5-Cyber est destiné à un ensemble plus restreint de workflows autorisés spécialisés, comme le red teaming et la validation ou le développement d’exploits, et peut nécessiter une approbation et des contrôles supplémentaires.
Puis-je utiliser Trusted Access pour mes clients ou des utilisateurs externes ?
Non. Trusted Access est destiné uniquement à un usage interne approuvé. Il ne peut pas être étendu à des clients tiers, des utilisateurs externes, des workflows destinés aux clients ni du trafic produit en aval.
Trusted Access inclut-il la politique de non-conservation des données ?
Non. Trusted Access et la politique de non-conservation des données sont distincts. Si vous avez besoin de conseils sur la conservation des données ou la configuration de l’organisation, veuillez contacter votre interlocuteur OpenAI.
Puis-je utiliser Trusted Access pour des systèmes qui ne m’appartiennent pas ?
Uniquement si vous êtes explicitement autorisé à les tester ou à les analyser. Vous n’êtes pas autorisé à partager ou à vendre l’accès TAC à des tiers, ni à utiliser TAC pour tester des systèmes que vous ne possédez pas ou que vous n’êtes pas explicitement autorisé à tester ou à analyser.
GPT-5.5 avec Trusted Access for Cyber peut-il être utilisé en dehors de Codex ?
Oui. Trusted Access n’est pas limité à Codex. Si votre parcours d’accès approuvé le prend en charge, vous pouvez utiliser GPT-5.5 avec Trusted Access for Cyber dans des pipelines CI/CD et d’autres outils de sécurité internes, tant que l’utilisation reste dans votre périmètre défensif approuvé et autorisé.
Comment configurer Trusted Access si notre organisation OpenAI actuelle traite du trafic API destiné aux clients ?
Utilisez une organisation ou un espace de travail réservé aux travaux de sécurité internes approuvés. Trusted Access ne doit pas être activé sur une organisation qui alimente des applications destinées aux clients, un accès tiers ou du trafic produit en aval. Collaborez avec votre contact OpenAI pour définir la configuration appropriée avant de demander ou d’activer l’accès.
Un contrat ou un achat peut-il garantir l’accès à GPT-5.5-Cyber ?
Non. L’accès à GPT-5.5-Cyber est limité et soumis à approbation. Un accord commercial ou un achat seul ne garantit pas l’accès. Si votre demande est approuvée, OpenAI confirmera le parcours d’accès disponible et les conditions applicables.
Que dois-je vérifier si je vois encore un message de sécurité cyber après approbation ?
Confirmez que vous utilisez l’organisation ou l’espace de travail approuvé, le modèle ou le parcours d’accès approuvé, et la surface produit prévue. Certaines mesures de protection peuvent continuer de s’appliquer après l’approbation. Si une demande clairement défensive semble être bloquée de manière inattendue, contactez l’assistance avec le message exact, le modèle, la surface produit, l’horodatage, l’ID de requête s’il est disponible, et une brève description expurgée de la tâche. En savoir plus : Trusted Access for Cyber - Problèmes courants et dépannage
Comment une organisation peut-elle limiter Trusted Access aux bons employés ?
Trusted Access doit être disponible uniquement pour les utilisateurs internes approuvés travaillant sur des tâches de sécurité autorisées. Si vous devez limiter l’accès, collaborez avec votre contact OpenAI pour configurer une organisation ou un espace de travail réservé à un usage interne et provisionner uniquement les utilisateurs appropriés.