Le cadre de gestion des risques liés à l'IA du NIST et la gestion des risques liés aux tiers

La gouvernance est la fonction fondamentale du CGR qui établit une culture de la gestion des risques, définit les processus et structure le programme.

GOUVERNEMENT 1 : Les politiques, processus, procédures et pratiques de l'organisation relatifs à la cartographie, à la mesure et à la gestion des risques liés à l'IA sont en place, transparents et mis en œuvre de manière efficace.

GOUVERNEMENT 2 : Des structures de responsabilité sont en place afin que les équipes et les personnes appropriées soient habilitées, responsables et formées à la cartographie, à l'évaluation et à la gestion des risques liés à l'IA.

GOUVERNEMENT 3 : Les processus de diversité, d'équité, d'inclusion et d'accessibilité du personnel sont prioritaires dans la cartographie, la mesure et la gestion des risques liés à l'IA tout au long du cycle de vie.

GOUVERNEMENT 4 : Les équipes organisationnelles sont engagées dans une culture qui prend en compte et communique les risques liés à l'IA.

GOUVERNEMENT 5 : Des processus sont en place pour un engagement solide avec les acteurs pertinents de l'IA.

GOUVERNANCE 6 : Des politiques et des procédures sont en place pour gérer les risques et les avantages de l'IA découlant des logiciels et des données de tiers ainsi que d'autres problèmes liés à la chaîne d'approvisionnement.

Élaborer des politiques et des procédures en matière d'IA dans le cadre de votre programme global de gestion des risques des tiers (TPRM), conformément à vos cadres plus larges de sécurité de l'information et de gouvernance, de risque et de conformité.

Recherchez des experts pour collaborer avec votre équipe sur la définition et la mise en œuvre de processus et de solutions en matière d'IA et de TPRM, la sélection de questionnaires et de cadres d'évaluation des risques et l'optimisation de votre programme pour traiter les risques liés à l'IA tout au long du cycle de vie des tiers - du sourcing et de la diligence raisonnable, à la résiliation et à l'abandon - en fonction de l'appétence de votre organisation pour le risque.

Dans le cadre de ce processus, vous devez définir :

• Politiques, normes, systèmes et processus de gouvernance visant à protéger les données contre les risques liés à l'IA
• les exigences légales et réglementaires, en veillant à ce que les tiers soient évalués en conséquence
• Rôles et responsabilités clairs (par exemple, RACI) pour la responsabilisation de l'équipe
• Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
• Méthodes d'évaluation et de suivi fondées sur la criticité des tiers et révisées en permanence
• Inventaires d'IA de tiers
• Cartographie quadripartite pour comprendre l'exposition aux risques liés à l'utilisation de l'IA dans votre écosystème étendu.
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) pour les parties prenantes internes
• Exigences contractuelles et droit d'audit
• Exigences en matière de réponse aux incidents
• Rapports sur les risques et les parties prenantes internes
• Stratégies d'atténuation des risques et de remédiation

La carte est la fonction qui établit le contexte permettant d'encadrer les risques liés à un système d'IA.

MAP 1 : Le contexte est établi et compris.

MAP 2 : La catégorisation du système d'IA est effectuée.

PAM 3 : les capacités de l'IA, l'utilisation ciblée, les objectifs, ainsi que les avantages et les coûts escomptés par rapport à des critères de référence appropriés sont compris.

MAP 4 : Les risques et les avantages sont cartographiés pour tous les composants du système d'IA, y compris les logiciels et les données de tiers.

MAP 5 : Les impacts sur les individus, les groupes, les communautés, les organisations et la société sont caractérisés.

L'élaboration d'un processus de gestion des risques solide et la compréhension du contexte de l'utilisation de l'IA commencent par le profilage et la hiérarchisation des tiers, ce qui implique de quantifier les [risques inhérents] (/use-cases/vendor-inherent-risk-scoring/) pour tous les tiers - en l'occurrence, les risques inhérents à l'IA. Les critères utilisés pour calculer le risque inhérent en vue de la classification et de la catégorisation des tiers sont les suivants :

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec des données protégées
  À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs en fonction de leur exposition au risque d'IA, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données et de considérations réglementaires.

La mesure est la fonction qui analyse, évalue, compare et surveille les risques liés à l'IA et les incidences connexes.

MESURE 1 : Des méthodes et des paramètres appropriés sont identifiés et appliqués.

MESURE 2 : les systèmes d'IA sont évalués en fonction de leur fiabilité.

MESURE 3 : Des mécanismes de suivi des risques identifiés en matière d'IA sont en place.

MESURE 4 : Le retour d'information sur l'efficacité de la mesure est recueilli et évalué.

Il convient de rechercher des solutions qui proposent une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les pratiques d'IA des fournisseurs tiers doivent être évaluées au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants.

Les évaluations doivent être gérées de manière centralisée et s'appuyer sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que les tiers traitent les risques en temps voulu et de manière satisfaisante, tout en fournissant les preuves appropriées aux auditeurs.

Pour compléter les évaluations de l'IA des fournisseurs, il convient de suivre et d'analyser en permanence les menaces externes qui pèsent sur les tiers. Dans ce cadre, surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur le site cyber . Toutes les données de surveillance devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, le reporting, les initiatives de remédiation et de réponse.

Les sources de surveillance sont généralement les suivantes

• Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
• Bases de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Enfin, mesurez en permanence les KPI et KRI des tiers par rapport à vos exigences afin d'aider votre équipe à découvrir les tendances en matière de risques, à déterminer le statut des risques des tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie.

La fonction Gérer consiste à allouer des ressources aux risques cartographiés et mesurés sur une base régulière et comme défini par la fonction GOUVERNER. Cela inclut des plans de réponse, de récupération et de communication en cas d'incidents ou d'événements.

GÉRER 1 : Les risques liés à l'IA, fondés sur les évaluations et autres résultats analytiques des fonctions MAP et MEASURE, sont classés par ordre de priorité, font l'objet d'une réponse et sont gérés.

GÉRER 2 : Les stratégies visant à maximiser les bénéfices de l'IA et à minimiser les impacts négatifs sont planifiées, préparées, mises en œuvre, documentées et informées par les acteurs concernés de l'IA.

GÉRER 3 : Les risques et les avantages de l'IA provenant d'entités tierces sont gérés.

GÉRER 4 : Les traitements des risques, y compris la réponse et la récupération, et les plans de communication pour les risques d'IA identifiés et mesurés sont documentés et contrôlés régulièrement.

Dans le cadre de votre stratégie globale de gestion des incidents, veillez à ce que votre programme de réponse aux incidents tiers permette à votre équipe d'identifier rapidement les incidents de sécurité liés à l'IA des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact.

Les capacités clés d'un service de réponse aux incidents d'une tierce partie sont les suivantes :

• Évaluations de la gestion des événements et des incidents mises à jour en permanence et personnalisables
• Suivi en temps réel de la progression du remplissage du questionnaire
• Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
• Rapports proactifs sur les fournisseurs
• Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
• Des règles de flux de travail pour déclencher des playbooks automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'activité.
• Modèles de rapports intégrés pour les parties prenantes internes et externes.
• Recommandations de remédiation intégrées pour réduire les risques
• Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes et Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Forte de ces informations, votre équipe peut mieux gérer et trier les entités tierces, comprendre la portée et l'impact de l'incident, les données concernées, si les opérations du tiers ont été affectées et quand les mesures correctives sont terminées.