Aligner les principes de gouvernance de l'IA du NIST sur votre programme TPRM
Le National Institute of Standards and Technology (NIST) des États-Unis a présenté le cadre de gestion des risques liés à l'IA (AI RMF) en janvier 2023. Selon le NIST, l'objectif de l'AI RMF est d'"offrir une ressource aux organisations qui conçoivent, développent, déploient ou utilisent des systèmes d'IA pour aider à gérer les nombreux risques de l'IA et promouvoir un développement et une utilisation fiables et responsables des systèmes d'IA".
Le RMF décrit quatre fonctions pour aider les organisations à faire face aux risques des systèmes d'IA : Gouverner, Cartographier, Mesurer et Gérer.
Prevalent peut aider votre organisation à aligner son programme TPRM sur le cadre de gestion des risques liés à l'IA du NIST afin d'établir un meilleur contrôle et une meilleure responsabilité sur l'utilisation de l'IA par des tiers.
Établir des politiques, des normes et des processus pour protéger les données et les systèmes contre les risques liés à l'IA dans le cadre de votre programme global de gestion des risques technologiques.
Profil et classement des tiers, tout en quantifiant les risques inhérents associés à l'utilisation de l'IA par des tiers afin de s'assurer que tous les risques sont cartographiés.
Procéder à des évaluations complètes des risques émanant de tiers et surveiller et mesurer en permanence les risques spécifiques à l'IA dans le cadre de la gestion des risques liés aux technologies de l'information.
Garantir une réponse complète aux incidents liés aux risques spécifiques à l'IA provenant d'entités tierces
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Considérations relatives au TPRM dans le RMF de l'IA du NIST
Le tableau ci-dessous passe en revue les quatre fonctions et les catégories sélectionnées dans le cadre de l'IA du NIST et suggère des considérations pour faire face aux risques potentiels liés à l'IA des tiers.
REMARQUE : Il s'agit d'un tableau récapitulatif. Pour un examen complet du cadre de gestion des risques liés à l'IA du NIST, téléchargez la version complète et mobilisez les équipes d'audit interne, juridiques, informatiques, de sécurité et de gestion des fournisseurs de votre organisation.
Catégorie NIST AI RMF | Quelle aide nous apportons |
---|---|
La gouvernance est la fonction fondamentale du CGR qui établit une culture de la gestion des risques, définit les processus et structure le programme. |
|
GOUVERNEMENT 1 : Les politiques, processus, procédures et pratiques de l'organisation relatifs à la cartographie, à la mesure et à la gestion des risques liés à l'IA sont en place, transparents et mis en œuvre de manière efficace. GOUVERNEMENT 2 : Des structures de responsabilité sont en place afin que les équipes et les personnes appropriées soient habilitées, responsables et formées à la cartographie, à l'évaluation et à la gestion des risques liés à l'IA. GOUVERNEMENT 3 : Les processus de diversité, d'équité, d'inclusion et d'accessibilité du personnel sont prioritaires dans la cartographie, la mesure et la gestion des risques liés à l'IA tout au long du cycle de vie. GOUVERNEMENT 4 : Les équipes organisationnelles sont engagées dans une culture qui prend en compte et communique les risques liés à l'IA. GOUVERNEMENT 5 : Des processus sont en place pour un engagement solide avec les acteurs pertinents de l'IA. GOUVERNANCE 6 : Des politiques et des procédures sont en place pour gérer les risques et les avantages de l'IA découlant des logiciels et des données de tiers ainsi que d'autres problèmes liés à la chaîne d'approvisionnement. |
Prevalent s'associe à vous pour élaborer des politiques et des procédures en matière d'IA dans le cadre de votre programme global de gestion des risques des tiers (TPRM), conformément à vos cadres plus larges de sécurité de l'information et de gouvernance, de risque et de conformité. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions en matière d'IA et de TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter les risques liés à l'IA tout au long du cycle de vie des tiers - du sourcing et de la diligence raisonnable, à la résiliation et à l'exclusion - en fonction de l'appétit pour le risque de votre organisation. Dans le cadre de ce processus, nous définissons
|
La carte est la fonction qui établit le contexte permettant d'encadrer les risques liés à un système d'IA. |
|
MAP 1 : Le contexte est établi et compris. MAP 2 : La catégorisation du système d'IA est effectuée. PAM 3 : les capacités de l'IA, l'utilisation ciblée, les objectifs, ainsi que les avantages et les coûts escomptés par rapport à des critères de référence appropriés sont compris. MAP 4 : Les risques et les avantages sont cartographiés pour tous les composants du système d'IA, y compris les logiciels et les données de tiers. MAP 5 : Les impacts sur les individus, les groupes, les communautés, les organisations et la société sont caractérisés. |
Prevalent peut aider votre organisation à élaborer un processus de gestion des risques solide et à comprendre le contexte de l'utilisation de l'IA en établissant le profil et le classement des tiers et en quantifiant les risques inh érents à tous les tiers - en l'occurrence, les risques inhérents à l'IA. Les critères utilisés pour calculer le risque inhérent pour la classification et la catégorisation des tiers comprennent :
À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs en fonction de leur exposition au risque d'IA, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données et de considérations réglementaires. |
La mesure est la fonction qui analyse, évalue, compare et surveille les risques liés à l'IA et les incidences connexes. |
|
MESURE 1 : Des méthodes et des paramètres appropriés sont identifiés et appliqués. MESURE 2 : les systèmes d'IA sont évalués en fonction de leur fiabilité. MESURE 3 : Des mécanismes de suivi des risques identifiés en matière d'IA sont en place. MESURE 4 : Le retour d'information sur l'efficacité de la mesure est recueilli et évalué. |
La plateforme Prevalent TPRM propose une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les pratiques d'IA des fournisseurs tiers doivent être évaluées au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants. Les évaluations sont gérées de manière centralisée et s'appuient sur des fonctionnalités de flux de travail, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important de noter que le site Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de s'assurer que les tiers traitent les risques de manière opportune et satisfaisante, tout en fournissant les preuves appropriées aux auditeurs. Pour compléter les évaluations de l'intelligence artificielle des fournisseurs, Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La plateforme Prevalent surveille l'Internet et le dark web pour détecter les menaces et les vulnérabilités cyber . Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse. Les sources de surveillance comprennent :
Enfin, Prevalent mesure en permanence les KPI et KRI des tiers par rapport à vos exigences pour aider votre équipe à découvrir les tendances en matière de risques, à déterminer le statut des risques des tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie. |
La fonction Gérer consiste à allouer des ressources aux risques cartographiés et mesurés sur une base régulière et comme défini par la fonction GOUVERNER. Cela inclut des plans de réponse, de récupération et de communication en cas d'incidents ou d'événements. |
|
GÉRER 1 : Les risques liés à l'IA, fondés sur les évaluations et autres résultats analytiques des fonctions MAP et MEASURE, sont classés par ordre de priorité, font l'objet d'une réponse et sont gérés. GÉRER 2 : Les stratégies visant à maximiser les bénéfices de l'IA et à minimiser les impacts négatifs sont planifiées, préparées, mises en œuvre, documentées et informées par les acteurs concernés de l'IA. GÉRER 3 : Les risques et les avantages de l'IA provenant d'entités tierces sont gérés. GÉRER 4 : Les traitements des risques, y compris la réponse et la récupération, et les plans de communication pour les risques d'IA identifiés et mesurés sont documentés et contrôlés régulièrement. |
Dans le cadre de votre stratégie globale de gestion des incidents, Prevalent vous aide à vous assurer que votre programme de réponse aux incidents de tiers peut rapidement identifier, répondre, rendre compte et atténuer l'impact des incidents de sécurité liés à l'IA des fournisseurs tiers. Les capacités clés comprennent :
Forte de ces informations, votre équipe peut mieux gérer et trier les entités tierces, comprendre la portée et l'impact de l'incident, les données concernées, si les opérations du tiers ont été affectées et quand les mesures correctives sont terminées. |
Ce guide permet d'aligner votre programme TPRM sur le RMF AI du NIST afin de mieux gouverner...
Apprenez à structurer une politique de sécurité de l'IA pour votre organisation et demandez à vos...
Utilisez ces conseils pour maximiser les avantages de l'IA dans votre TPRM et votre gestion du risque fournisseur...