Le cadre de gestion des risques liés à l'IA du NIST et la gestion des risques liés aux tiers

Tirez parti de ces conseils pour aligner votre programme TPRM sur le RMF AI du NIST afin de mieux gérer les risques liés à l'IA des tiers au sein de votre organisation.
Par :
Scott Lang
,
VP, Marketing produit
30 août 2023
Partager :
Blog nist ai rmf 0823

Qu'est-ce que le cadre de gestion des risques liés à l'IA du NIST ?

En réponse à l'utilisation croissante des systèmes d'intelligence artificielle (IA) par les entreprises - et au manque correspondant de conseils sur la manière de gérer leurs risques - l'Institut national américain des normes et de la technologie (NIST) a introduit le cadre de gestion des risques de l'IA (AI RMF) en janvier 2023. Selon le NIST, l'objectif de l'AI RMF est "d'offrir une ressource aux organisations qui conçoivent, développent, déploient ou utilisent des systèmes d'IA pour aider à gérer les nombreux risques de l'IA et promouvoir un développement et une utilisation fiables et responsables des systèmes d'IA". Le cadre de référence de l'IA est volontaire et peut être appliqué à toute entreprise, industrie ou zone géographique.

Le RMF est divisé en deux parties. La première partie présente une vue d'ensemble des risques et des caractéristiques de ce que le NIST appelle les "systèmes d'IA dignes de confiance". La partie 2 décrit quatre fonctions destinées à aider les organisations à gérer les risques liés aux systèmes d'IA : Gouverner, Cartographier, Mesurer et Gérer. L'illustration ci-dessous passe en revue les quatre fonctions.


Le cadre de gestion des risques liés à l'IA du NIST

Les fonctions du cadre de gestion des risques liés à l'IA. Avec l'aimable autorisation du NIST

Comment le cadre de gestion des risques liés à l'IA du NIST s'applique-t-il à la gestion des risques liés aux tiers ?

Il est important que les organisations prennent en compte les principes de gestion des risques afin de minimiser les effets négatifs potentiels des systèmes d'IA, tels que les hallucinations, la confidentialité des données et les menaces pour les droits civils. Cette considération s'étend également à l'utilisation de systèmes d'IA de tiers ou à l'utilisation de systèmes d'IA par des tiers. Les risques potentiels d'une mauvaise utilisation de l'IA par des tiers sont les suivants :

  • Vulnérabilités de sécurité dans l'application d'IA elle-même. En l'absence d'une gouvernance et de mesures de protection appropriées, votre organisation pourrait être exposée à une compromission du système ou des données.
  • Manque de transparence dans les méthodologies ou les mesures des risques liés à l'IA. Les lacunes en matière de mesure et d'établissement de rapports pourraient entraîner une sous-estimation de l'impact des risques potentiels liés à l'IA.
  • Les politiques de sécurité de l'IA ne sont pas cohérentes avec les autres procédures existantes de gestion des risques. Cette incohérence entraîne des audits compliqués et fastidieux qui pourraient avoir des conséquences négatives sur le plan juridique ou de la conformité.

Selon le NIST, le RMF aidera les organisations à surmonter ces risques potentiels.

Principales considérations relatives à la gestion des risques liés aux tiers dans le cadre de gestion des risques liés à l'IA du NIST

Le RMF du NIST décompose ses quatre fonctions principales en 19 catégories et 72 sous-catégories qui définissent des actions et des résultats spécifiques. Le NIST propose un guidepratique qui explique plus en détail les actions.

Le tableau ci-dessous passe en revue les quatre fonctions et les catégories sélectionnées dans le cadre et suggère des considérations pour faire face aux risques potentiels liés à l'IA des tiers.

NOTE : Il s'agit d'un tableau récapitulatif. Pour un examen complet du cadre de gestion des risques liés à l'IA du NIST, téléchargez la version complète et faites participer les équipes d'audit interne, juridiques, informatiques, de sécurité et de gestion des fournisseurs de votre organisation.

Catégorie NIST AI RMF Considérations relatives au MEPT

La gouvernance est la fonction fondamentale du CGR qui établit une culture de la gestion des risques, définit les processus et structure le programme.

GOUVERNEMENT 1 : Les politiques, processus, procédures et pratiques de l'organisation relatifs à la cartographie, à la mesure et à la gestion des risques liés à l'IA sont en place, transparents et mis en œuvre de manière efficace.

GOUVERNEMENT 2 : Des structures de responsabilité sont en place afin que les équipes et les personnes appropriées soient habilitées, responsables et formées à la cartographie, à l'évaluation et à la gestion des risques liés à l'IA.

GOUVERNEMENT 3 : Les processus de diversité, d'équité, d'inclusion et d'accessibilité du personnel sont prioritaires dans la cartographie, la mesure et la gestion des risques liés à l'IA tout au long du cycle de vie.

GOUVERNEMENT 4 : Les équipes organisationnelles sont engagées dans une culture qui prend en compte et communique les risques liés à l'IA.

GOUVERNEMENT 5 : Des processus sont en place pour un engagement solide avec les acteurs pertinents de l'IA.

GOUVERNANCE 6 : Des politiques et des procédures sont en place pour gérer les risques et les avantages de l'IA découlant des logiciels et des données de tiers ainsi que d'autres problèmes liés à la chaîne d'approvisionnement.

Élaborer des politiques et des procédures en matière d'IA dans le cadre de votre programme global de gestion des risques des tiers (TPRM), conformément à vos cadres plus larges de sécurité de l'information et de gouvernance, de risque et de conformité.

Recherchez des experts pour collaborer avec votre équipe sur la définition et la mise en œuvre de processus et de solutions en matière d'IA et de TPRM, la sélection de questionnaires et de cadres d'évaluation des risques et l'optimisation de votre programme pour traiter les risques liés à l'IA tout au long du cycle de vie des tiers - du sourcing et de la diligence raisonnable, à la résiliation et à l'abandon - en fonction de l'appétence de votre organisation pour le risque.

Dans le cadre de ce processus, vous devez définir :

  • Politiques, normes, systèmes et processus de gouvernance visant à protéger les données contre les risques liés à l'IA
  • les exigences légales et réglementaires, en veillant à ce que les tiers soient évalués en conséquence
  • Rôles et responsabilités clairs (par exemple, RACI) pour la responsabilisation de l'équipe
  • Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
  • Méthodes d'évaluation et de suivi fondées sur la criticité des tiers et révisées en permanence
  • Inventaires d'IA de tiers
  • Cartographie quadripartite pour comprendre l'exposition aux risques liés à l'utilisation de l'IA dans votre écosystème étendu.
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) pour les parties prenantes internes
  • Exigences contractuelles et droit d'audit
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

La carte est la fonction qui établit le contexte permettant d'encadrer les risques liés à un système d'IA.

MAP 1 : Le contexte est établi et compris.

MAP 2 : La catégorisation du système d'IA est effectuée.

PAM 3 : les capacités de l'IA, l'utilisation ciblée, les objectifs, ainsi que les avantages et les coûts escomptés par rapport à des critères de référence appropriés sont compris.

MAP 4 : Les risques et les avantages sont cartographiés pour tous les composants du système d'IA, y compris les logiciels et les données de tiers.

MAP 5 : Les impacts sur les individus, les groupes, les communautés, les organisations et la société sont caractérisés.

L'élaboration d'un processus de gestion des risques solide et la compréhension du contexte de l'utilisation de l'IA commencent par le profilage et la hiérarchisation des tiers, ce qui implique de quantifier les [risques inhérents] (/use-cases/vendor-inherent-risk-scoring/) pour tous les tiers - en l'occurrence, les risques inhérents à l'IA. Les critères utilisés pour calculer le risque inhérent en vue de la classification et de la catégorisation des tiers sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
  • Exposition aux processus opérationnels ou de contact avec les clients
  • Interaction avec des données protégées
    À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs en fonction de leur exposition au risque d'IA, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données et de considérations réglementaires.

La mesure est la fonction qui analyse, évalue, compare et surveille les risques liés à l'IA et les incidences connexes.

MESURE 1 : Des méthodes et des paramètres appropriés sont identifiés et appliqués.

MESURE 2 : les systèmes d'IA sont évalués en fonction de leur fiabilité.

MESURE 3 : Des mécanismes de suivi des risques identifiés en matière d'IA sont en place.

MESURE 4 : Le retour d'information sur l'efficacité de la mesure est recueilli et évalué.

Il convient de rechercher des solutions qui proposent une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les pratiques d'IA des fournisseurs tiers doivent être évaluées au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants.

Les évaluations doivent être gérées de manière centralisée et s'appuyer sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que les tiers traitent les risques en temps voulu et de manière satisfaisante, tout en fournissant les preuves appropriées aux auditeurs.

Pour compléter les évaluations de l'IA des fournisseurs, il convient de suivre et d'analyser en permanence les menaces externes qui pèsent sur les tiers. Dans ce cadre, surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur le site cyber . Toutes les données de surveillance devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, le reporting, les initiatives de remédiation et de réponse.

Les sources de surveillance sont généralement les suivantes

  • Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
  • Bases de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Enfin, mesurez en permanence les KPI et KRI des tiers par rapport à vos exigences afin d'aider votre équipe à découvrir les tendances en matière de risques, à déterminer le statut des risques des tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie.

La fonction Gérer consiste à allouer des ressources aux risques cartographiés et mesurés sur une base régulière et comme défini par la fonction GOUVERNER. Cela inclut des plans de réponse, de récupération et de communication en cas d'incidents ou d'événements.

GÉRER 1 : Les risques liés à l'IA, fondés sur les évaluations et autres résultats analytiques des fonctions MAP et MEASURE, sont classés par ordre de priorité, font l'objet d'une réponse et sont gérés.

GÉRER 2 : Les stratégies visant à maximiser les bénéfices de l'IA et à minimiser les impacts négatifs sont planifiées, préparées, mises en œuvre, documentées et informées par les acteurs concernés de l'IA.

GÉRER 3 : Les risques et les avantages de l'IA provenant d'entités tierces sont gérés.

GÉRER 4 : Les traitements des risques, y compris la réponse et la récupération, et les plans de communication pour les risques d'IA identifiés et mesurés sont documentés et contrôlés régulièrement.

Dans le cadre de votre stratégie globale de gestion des incidents, veillez à ce que votre programme de réponse aux incidents tiers permette à votre équipe d'identifier rapidement les incidents de sécurité liés à l'IA des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact.

Les capacités clés d'un service de réponse aux incidents d'une tierce partie sont les suivantes :

  • Évaluations de la gestion des événements et des incidents mises à jour en permanence et personnalisables
  • Suivi en temps réel de la progression du remplissage du questionnaire
  • Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
  • Rapports proactifs sur les fournisseurs
  • Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Des règles de flux de travail pour déclencher des playbooks automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'activité.
  • Modèles de rapports intégrés pour les parties prenantes internes et externes.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes et Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Forte de ces informations, votre équipe peut mieux gérer et trier les entités tierces, comprendre la portée et l'impact de l'incident, les données concernées, si les opérations du tiers ont été affectées et quand les mesures correctives sont terminées.

Prochaines étapes : Aligner les contrôles de l'IA par des tiers sur votre programme TPRM

Prevalent peut aider votre organisation à améliorer non seulement sa propre gouvernance de l'IA, mais aussi la façon dont elle régit les risques liés à l'IA des tiers. Plus précisément, nous pouvons vous aider à :

  • Établir des politiques, des normes, des systèmes et des processus pour protéger les données et les systèmes contre les risques liés à l'IA dans le cadre de votre programme global de gestion des risques technologiques. (Aligné sur la catégorie GOUVERN 6.)
  • Établir le profil des tiers et les classer, tout en quantifiant les risques inhérents associés à l'utilisation de l'IA par des tiers afin de garantir que tous les risques sont cartographiés. (Aligné sur la catégorie MAP 4.)
  • Procéder à des évaluations complètes des risques émanant de tiers et surveiller et mesurer en permanence les risques spécifiques à l'IA dans le cadre de votre programme de gestion des risques technologiques. (S'aligne sur la catégorie MESURER).
  • Garantir une réponse complète aux incidents liés aux risques spécifiques à l'IA provenant d'entités tierces. (Aligné sur GÉRER 3.)

L'utilisation du cadre de gestion des risques liés à l'IA du NIST dans votre programme TPRM aidera votre organisation à établir les contrôles et la responsabilité concernant l'utilisation de l'IA par des tiers. Pour en savoir plus sur la façon dont Prevalent peut contribuer à simplifier ce processus, demandez une démonstration dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo