En réponse à l'utilisation croissante des systèmes d'intelligence artificielle (IA) par les entreprises - et au manque correspondant de conseils sur la manière de gérer leurs risques - l'Institut national américain des normes et de la technologie (NIST) a introduit le cadre de gestion des risques de l'IA (AI RMF) en janvier 2023. Selon le NIST, l'objectif de l'AI RMF est "d'offrir une ressource aux organisations qui conçoivent, développent, déploient ou utilisent des systèmes d'IA pour aider à gérer les nombreux risques de l'IA et promouvoir un développement et une utilisation fiables et responsables des systèmes d'IA". Le cadre de référence de l'IA est volontaire et peut être appliqué à toute entreprise, industrie ou zone géographique.
Le RMF est divisé en deux parties. La première partie présente une vue d'ensemble des risques et des caractéristiques de ce que le NIST appelle les "systèmes d'IA dignes de confiance". La partie 2 décrit quatre fonctions destinées à aider les organisations à gérer les risques liés aux systèmes d'IA : Gouverner, Cartographier, Mesurer et Gérer. L'illustration ci-dessous passe en revue les quatre fonctions.
Les fonctions du cadre de gestion des risques liés à l'IA. Avec l'aimable autorisation du NIST
Il est important que les organisations prennent en compte les principes de gestion des risques afin de minimiser les effets négatifs potentiels des systèmes d'IA, tels que les hallucinations, la confidentialité des données et les menaces pour les droits civils. Cette considération s'étend également à l'utilisation de systèmes d'IA de tiers ou à l'utilisation de systèmes d'IA par des tiers. Les risques potentiels d'une mauvaise utilisation de l'IA par des tiers sont les suivants :
Selon le NIST, le RMF aidera les organisations à surmonter ces risques potentiels.
Le RMF du NIST décompose ses quatre fonctions principales en 19 catégories et 72 sous-catégories qui définissent des actions et des résultats spécifiques. Le NIST propose un guidepratique qui explique plus en détail les actions.
Le tableau ci-dessous passe en revue les quatre fonctions et les catégories sélectionnées dans le cadre et suggère des considérations pour faire face aux risques potentiels liés à l'IA des tiers.
NOTE : Il s'agit d'un tableau récapitulatif. Pour un examen complet du cadre de gestion des risques liés à l'IA du NIST, téléchargez la version complète et faites participer les équipes d'audit interne, juridiques, informatiques, de sécurité et de gestion des fournisseurs de votre organisation.
Catégorie NIST AI RMF | Considérations relatives au MEPT |
---|---|
La gouvernance est la fonction fondamentale du CGR qui établit une culture de la gestion des risques, définit les processus et structure le programme. |
|
GOUVERNEMENT 1 : Les politiques, processus, procédures et pratiques de l'organisation relatifs à la cartographie, à la mesure et à la gestion des risques liés à l'IA sont en place, transparents et mis en œuvre de manière efficace. GOUVERNEMENT 2 : Des structures de responsabilité sont en place afin que les équipes et les personnes appropriées soient habilitées, responsables et formées à la cartographie, à l'évaluation et à la gestion des risques liés à l'IA. GOUVERNEMENT 3 : Les processus de diversité, d'équité, d'inclusion et d'accessibilité du personnel sont prioritaires dans la cartographie, la mesure et la gestion des risques liés à l'IA tout au long du cycle de vie. GOUVERNEMENT 4 : Les équipes organisationnelles sont engagées dans une culture qui prend en compte et communique les risques liés à l'IA. GOUVERNEMENT 5 : Des processus sont en place pour un engagement solide avec les acteurs pertinents de l'IA. GOUVERNANCE 6 : Des politiques et des procédures sont en place pour gérer les risques et les avantages de l'IA découlant des logiciels et des données de tiers ainsi que d'autres problèmes liés à la chaîne d'approvisionnement. |
Élaborer des politiques et des procédures en matière d'IA dans le cadre de votre programme global de gestion des risques des tiers (TPRM), conformément à vos cadres plus larges de sécurité de l'information et de gouvernance, de risque et de conformité. Recherchez des experts pour collaborer avec votre équipe sur la définition et la mise en œuvre de processus et de solutions en matière d'IA et de TPRM, la sélection de questionnaires et de cadres d'évaluation des risques et l'optimisation de votre programme pour traiter les risques liés à l'IA tout au long du cycle de vie des tiers - du sourcing et de la diligence raisonnable, à la résiliation et à l'abandon - en fonction de l'appétence de votre organisation pour le risque. Dans le cadre de ce processus, vous devez définir :
|
La carte est la fonction qui établit le contexte permettant d'encadrer les risques liés à un système d'IA. |
|
MAP 1 : Le contexte est établi et compris. MAP 2 : La catégorisation du système d'IA est effectuée. PAM 3 : les capacités de l'IA, l'utilisation ciblée, les objectifs, ainsi que les avantages et les coûts escomptés par rapport à des critères de référence appropriés sont compris. MAP 4 : Les risques et les avantages sont cartographiés pour tous les composants du système d'IA, y compris les logiciels et les données de tiers. MAP 5 : Les impacts sur les individus, les groupes, les communautés, les organisations et la société sont caractérisés. |
L'élaboration d'un processus de gestion des risques solide et la compréhension du contexte de l'utilisation de l'IA commencent par le profilage et la hiérarchisation des tiers, ce qui implique de quantifier les [risques inhérents] (/use-cases/vendor-inherent-risk-scoring/) pour tous les tiers - en l'occurrence, les risques inhérents à l'IA. Les critères utilisés pour calculer le risque inhérent en vue de la classification et de la catégorisation des tiers sont les suivants :
La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données et de considérations réglementaires. |
La mesure est la fonction qui analyse, évalue, compare et surveille les risques liés à l'IA et les incidences connexes. |
|
MESURE 1 : Des méthodes et des paramètres appropriés sont identifiés et appliqués. MESURE 2 : les systèmes d'IA sont évalués en fonction de leur fiabilité. MESURE 3 : Des mécanismes de suivi des risques identifiés en matière d'IA sont en place. MESURE 4 : Le retour d'information sur l'efficacité de la mesure est recueilli et évalué. |
Il convient de rechercher des solutions qui proposent une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les pratiques d'IA des fournisseurs tiers doivent être évaluées au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants. Les évaluations doivent être gérées de manière centralisée et s'appuyer sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que les tiers traitent les risques en temps voulu et de manière satisfaisante, tout en fournissant les preuves appropriées aux auditeurs. Pour compléter les évaluations de l'IA des fournisseurs, il convient de suivre et d'analyser en permanence les menaces externes qui pèsent sur les tiers. Dans ce cadre, surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur le site cyber . Toutes les données de surveillance devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, le reporting, les initiatives de remédiation et de réponse. Les sources de surveillance sont généralement les suivantes
Enfin, mesurez en permanence les KPI et KRI des tiers par rapport à vos exigences afin d'aider votre équipe à découvrir les tendances en matière de risques, à déterminer le statut des risques des tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie. |
La fonction Gérer consiste à allouer des ressources aux risques cartographiés et mesurés sur une base régulière et comme défini par la fonction GOUVERNER. Cela inclut des plans de réponse, de récupération et de communication en cas d'incidents ou d'événements. |
|
GÉRER 1 : Les risques liés à l'IA, fondés sur les évaluations et autres résultats analytiques des fonctions MAP et MEASURE, sont classés par ordre de priorité, font l'objet d'une réponse et sont gérés. GÉRER 2 : Les stratégies visant à maximiser les bénéfices de l'IA et à minimiser les impacts négatifs sont planifiées, préparées, mises en œuvre, documentées et informées par les acteurs concernés de l'IA. GÉRER 3 : Les risques et les avantages de l'IA provenant d'entités tierces sont gérés. GÉRER 4 : Les traitements des risques, y compris la réponse et la récupération, et les plans de communication pour les risques d'IA identifiés et mesurés sont documentés et contrôlés régulièrement. |
Dans le cadre de votre stratégie globale de gestion des incidents, veillez à ce que votre programme de réponse aux incidents tiers permette à votre équipe d'identifier rapidement les incidents de sécurité liés à l'IA des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact. Les capacités clés d'un service de réponse aux incidents d'une tierce partie sont les suivantes :
Forte de ces informations, votre équipe peut mieux gérer et trier les entités tierces, comprendre la portée et l'impact de l'incident, les données concernées, si les opérations du tiers ont été affectées et quand les mesures correctives sont terminées. |
Prevalent peut aider votre organisation à améliorer non seulement sa propre gouvernance de l'IA, mais aussi la façon dont elle régit les risques liés à l'IA des tiers. Plus précisément, nous pouvons vous aider à :
L'utilisation du cadre de gestion des risques liés à l'IA du NIST dans votre programme TPRM aidera votre organisation à établir les contrôles et la responsabilité concernant l'utilisation de l'IA par des tiers. Pour en savoir plus sur la façon dont Prevalent peut contribuer à simplifier ce processus, demandez une démonstration dès aujourd'hui.
Prevalent continue de donner le ton en matière de gestion des risques de tiers grâce à des améliorations axées sur le client qui simplifient la...
06/12/2024
L’Union européenne a approuvé aujourd’hui une réglementation radicale en matière d’IA, qui devrait entrer en vigueur en 2026. Ici...
03/13/2024
Les gouvernements et les organismes de normalisation du monde entier ont commencé à réagir aux technologies de l'IA en adoptant de nouvelles règles de conformité...
01/04/2024