Cadre de gestion des risques liés à l'IA du NIST Prevalent

Aligner les principes de gouvernance de l'IA du NIST sur votre programme TPRM

Le National Institute of Standards and Technology (NIST) des États-Unis a présenté le cadre de gestion des risques liés à l'IA (AI RMF) en janvier 2023. Selon le NIST, l'objectif de l'AI RMF est d'"offrir une ressource aux organisations qui conçoivent, développent, déploient ou utilisent des systèmes d'IA pour aider à gérer les nombreux risques de l'IA et promouvoir un développement et une utilisation fiables et responsables des systèmes d'IA".

Le RMF décrit quatre fonctions pour aider les organisations à faire face aux risques des systèmes d'IA : Gouverner, Cartographier, Mesurer et Gérer.

Prevalent peut aider votre organisation à aligner son programme TPRM sur le cadre de gestion des risques liés à l'IA du NIST afin d'établir un meilleur contrôle et une meilleure responsabilité sur l'utilisation de l'IA par des tiers.

Conditions applicables

Établir des politiques, des normes et des processus pour protéger les données et les systèmes contre les risques liés à l'IA dans le cadre de votre programme global de gestion des risques technologiques.
Profil et classement des tiers, tout en quantifiant les risques inhérents associés à l'utilisation de l'IA par des tiers afin de s'assurer que tous les risques sont cartographiés.
Procéder à des évaluations complètes des risques émanant de tiers et surveiller et mesurer en permanence les risques spécifiques à l'IA dans le cadre de la gestion des risques liés aux technologies de l'information.
Garantir une réponse complète aux incidents liés aux risques spécifiques à l'IA provenant d'entités tierces

Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.

Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Ressources en vedette Manuel de conformité Cybersécurité

Considérations relatives au TPRM dans le RMF de l'IA du NIST

Le tableau ci-dessous passe en revue les quatre fonctions et les catégories sélectionnées dans le cadre de l'IA du NIST et suggère des considérations pour faire face aux risques potentiels liés à l'IA des tiers.

REMARQUE : Il s'agit d'un tableau récapitulatif. Pour un examen complet du cadre de gestion des risques liés à l'IA du NIST, téléchargez la version complète et mobilisez les équipes d'audit interne, juridiques, informatiques, de sécurité et de gestion des fournisseurs de votre organisation.

Catégorie NIST AI RMF	Quelle aide nous apportons
La gouvernance est la fonction fondamentale du CGR qui établit une culture de la gestion des risques, définit les processus et structure le programme.
GOUVERNEMENT 1 : Les politiques, processus, procédures et pratiques de l'organisation relatifs à la cartographie, à la mesure et à la gestion des risques liés à l'IA sont en place, transparents et mis en œuvre de manière efficace. GOUVERNEMENT 2 : Des structures de responsabilité sont en place afin que les équipes et les personnes appropriées soient habilitées, responsables et formées à la cartographie, à l'évaluation et à la gestion des risques liés à l'IA. GOUVERNEMENT 3 : Les processus de diversité, d'équité, d'inclusion et d'accessibilité du personnel sont prioritaires dans la cartographie, la mesure et la gestion des risques liés à l'IA tout au long du cycle de vie. GOUVERNEMENT 4 : Les équipes organisationnelles sont engagées dans une culture qui prend en compte et communique les risques liés à l'IA. GOUVERNEMENT 5 : Des processus sont en place pour un engagement solide avec les acteurs pertinents de l'IA. GOUVERNANCE 6 : Des politiques et des procédures sont en place pour gérer les risques et les avantages de l'IA découlant des logiciels et des données de tiers ainsi que d'autres problèmes liés à la chaîne d'approvisionnement.	Prevalent s'associe à vous pour élaborer des politiques et des procédures en matière d'IA dans le cadre de votre programme global de gestion des risques des tiers (TPRM), conformément à vos cadres plus larges de sécurité de l'information et de gouvernance, de risque et de conformité. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions en matière d'IA et de TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter les risques liés à l'IA tout au long du cycle de vie des tiers - du sourcing et de la diligence raisonnable, à la résiliation et à l'exclusion - en fonction de l'appétit pour le risque de votre organisation. Dans le cadre de ce processus, nous définissons Réglementer les politiques, les normes, les systèmes et les processus pour protéger les données contre les risques liés à l'IA les exigences légales et réglementaires, en veillant à ce que les tiers soient évalués en conséquence Rôles et responsabilités clairs (par exemple, RACI) pour la responsabilisation de l'équipe Notation et seuils de risque en fonction de la tolérance au risque de votre organisation. Méthodes d'évaluation et de suivi fondées sur la criticité des tiers et révisées en permanence Inventaires d'IA de tiers Cartographie quadripartite pour comprendre l'exposition aux risques liés à l'utilisation de l'IA dans votre écosystème étendu. Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) pour les parties prenantes internes Exigences contractuelles et droit d'audit Exigences en matière de réponse aux incidents Rapports sur les risques et les parties prenantes internes Stratégies d'atténuation des risques et de remédiation
La carte est la fonction qui établit le contexte permettant d'encadrer les risques liés à un système d'IA.
MAP 1 : Le contexte est établi et compris. MAP 2 : La catégorisation du système d'IA est effectuée. PAM 3 : les capacités de l'IA, l'utilisation ciblée, les objectifs, ainsi que les avantages et les coûts escomptés par rapport à des critères de référence appropriés sont compris. MAP 4 : Les risques et les avantages sont cartographiés pour tous les composants du système d'IA, y compris les logiciels et les données de tiers. MAP 5 : Les impacts sur les individus, les groupes, les communautés, les organisations et la société sont caractérisés.	Prevalent peut aider votre organisation à élaborer un processus de gestion des risques solide et à comprendre le contexte de l'utilisation de l'IA en établissant le profil et le classement des tiers et en quantifiant les risques inh érents à tous les tiers - en l'occurrence, les risques inhérents à l'IA. Les critères utilisés pour calculer le risque inhérent pour la classification et la catégorisation des tiers comprennent : Type de contenu requis pour valider les contrôles Criticité pour les performances et les opérations de l'entreprise Lieu(x) et considérations juridiques ou réglementaires connexes Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration) Exposition aux processus opérationnels ou de contact avec les clients Interaction avec les données protégées À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs en fonction de leur exposition au risque d'IA, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données et de considérations réglementaires.
La mesure est la fonction qui analyse, évalue, compare et surveille les risques liés à l'IA et les incidences connexes.
MESURE 1 : Des méthodes et des paramètres appropriés sont identifiés et appliqués. MESURE 2 : les systèmes d'IA sont évalués en fonction de leur fiabilité. MESURE 3 : Des mécanismes de suivi des risques identifiés en matière d'IA sont en place. MESURE 4 : Le retour d'information sur l'efficacité de la mesure est recueilli et évalué.	La plateforme Prevalent TPRM propose une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les pratiques d'IA des fournisseurs tiers doivent être évaluées au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants. Les évaluations sont gérées de manière centralisée et s'appuient sur des fonctionnalités de flux de travail, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important de noter que le site Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de s'assurer que les tiers traitent les risques de manière opportune et satisfaisante, tout en fournissant les preuves appropriées aux auditeurs. Pour compléter les évaluations de l'intelligence artificielle des fournisseurs, Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La plateforme Prevalent surveille l'Internet et le dark web pour détecter les menaces et les vulnérabilités cyber . Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse. Les sources de surveillance comprennent : Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises. Bases de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier Enfin, Prevalent mesure en permanence les KPI et KRI des tiers par rapport à vos exigences pour aider votre équipe à découvrir les tendances en matière de risques, à déterminer le statut des risques des tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie.
La fonction Gérer consiste à allouer des ressources aux risques cartographiés et mesurés sur une base régulière et comme défini par la fonction GOUVERNER. Cela inclut des plans de réponse, de récupération et de communication en cas d'incidents ou d'événements.
GÉRER 1 : Les risques liés à l'IA, fondés sur les évaluations et autres résultats analytiques des fonctions MAP et MEASURE, sont classés par ordre de priorité, font l'objet d'une réponse et sont gérés. GÉRER 2 : Les stratégies visant à maximiser les bénéfices de l'IA et à minimiser les impacts négatifs sont planifiées, préparées, mises en œuvre, documentées et informées par les acteurs concernés de l'IA. GÉRER 3 : Les risques et les avantages de l'IA provenant d'entités tierces sont gérés. GÉRER 4 : Les traitements des risques, y compris la réponse et la récupération, et les plans de communication pour les risques d'IA identifiés et mesurés sont documentés et contrôlés régulièrement.	Dans le cadre de votre stratégie globale de gestion des incidents, Prevalent vous aide à vous assurer que votre programme de réponse aux incidents de tiers peut rapidement identifier, répondre, rendre compte et atténuer l'impact des incidents de sécurité liés à l'IA des fournisseurs tiers. Les capacités clés comprennent : Évaluations de la gestion des événements et des incidents mises à jour en permanence et personnalisables Suivi en temps réel de la progression du remplissage du questionnaire Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus Rapports proactifs sur les fournisseurs Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur. Des règles de flux de travail pour déclencher des playbooks automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'activité. Modèles de rapports intégrés pour les parties prenantes internes et externes. Recommandations de remédiation intégrées pour réduire les risques Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes et Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque. Forte de ces informations, votre équipe peut mieux gérer et trier les entités tierces, comprendre la portée et l'impact de l'incident, les données concernées, si les opérations du tiers ont été affectées et quand les mesures correctives sont terminées.

Catégorie NIST AI RMF

Quelle aide nous apportons

La gouvernance est la fonction fondamentale du CGR qui établit une culture de la gestion des risques, définit les processus et structure le programme.

GOUVERNEMENT 1 : Les politiques, processus, procédures et pratiques de l'organisation relatifs à la cartographie, à la mesure et à la gestion des risques liés à l'IA sont en place, transparents et mis en œuvre de manière efficace.

GOUVERNEMENT 2 : Des structures de responsabilité sont en place afin que les équipes et les personnes appropriées soient habilitées, responsables et formées à la cartographie, à l'évaluation et à la gestion des risques liés à l'IA.

GOUVERNEMENT 3 : Les processus de diversité, d'équité, d'inclusion et d'accessibilité du personnel sont prioritaires dans la cartographie, la mesure et la gestion des risques liés à l'IA tout au long du cycle de vie.

GOUVERNEMENT 4 : Les équipes organisationnelles sont engagées dans une culture qui prend en compte et communique les risques liés à l'IA.

GOUVERNEMENT 5 : Des processus sont en place pour un engagement solide avec les acteurs pertinents de l'IA.

GOUVERNANCE 6 : Des politiques et des procédures sont en place pour gérer les risques et les avantages de l'IA découlant des logiciels et des données de tiers ainsi que d'autres problèmes liés à la chaîne d'approvisionnement.

Prevalent s'associe à vous pour élaborer des politiques et des procédures en matière d'IA dans le cadre de votre programme global de gestion des risques des tiers (TPRM), conformément à vos cadres plus larges de sécurité de l'information et de gouvernance, de risque et de conformité.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions en matière d'IA et de TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter les risques liés à l'IA tout au long du cycle de vie des tiers - du sourcing et de la diligence raisonnable, à la résiliation et à l'exclusion - en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, nous définissons

Réglementer les politiques, les normes, les systèmes et les processus pour protéger les données contre les risques liés à l'IA
les exigences légales et réglementaires, en veillant à ce que les tiers soient évalués en conséquence
Rôles et responsabilités clairs (par exemple, RACI) pour la responsabilisation de l'équipe
Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
Méthodes d'évaluation et de suivi fondées sur la criticité des tiers et révisées en permanence
Inventaires d'IA de tiers
Cartographie quadripartite pour comprendre l'exposition aux risques liés à l'utilisation de l'IA dans votre écosystème étendu.
Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) pour les parties prenantes internes
Exigences contractuelles et droit d'audit
Exigences en matière de réponse aux incidents
Rapports sur les risques et les parties prenantes internes
Stratégies d'atténuation des risques et de remédiation

La carte est la fonction qui établit le contexte permettant d'encadrer les risques liés à un système d'IA.

MAP 1 : Le contexte est établi et compris.

MAP 2 : La catégorisation du système d'IA est effectuée.

PAM 3 : les capacités de l'IA, l'utilisation ciblée, les objectifs, ainsi que les avantages et les coûts escomptés par rapport à des critères de référence appropriés sont compris.

MAP 4 : Les risques et les avantages sont cartographiés pour tous les composants du système d'IA, y compris les logiciels et les données de tiers.

MAP 5 : Les impacts sur les individus, les groupes, les communautés, les organisations et la société sont caractérisés.

Prevalent peut aider votre organisation à élaborer un processus de gestion des risques solide et à comprendre le contexte de l'utilisation de l'IA en établissant le profil et le classement des tiers et en quantifiant les risques inh érents à tous les tiers - en l'occurrence, les risques inhérents à l'IA. Les critères utilisés pour calculer le risque inhérent pour la classification et la catégorisation des tiers comprennent :

Type de contenu requis pour valider les contrôles
Criticité pour les performances et les opérations de l'entreprise
Lieu(x) et considérations juridiques ou réglementaires connexes
Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
Exposition aux processus opérationnels ou de contact avec les clients
Interaction avec les données protégées

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs en fonction de leur exposition au risque d'IA, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données et de considérations réglementaires.

La mesure est la fonction qui analyse, évalue, compare et surveille les risques liés à l'IA et les incidences connexes.

MESURE 1 : Des méthodes et des paramètres appropriés sont identifiés et appliqués.

MESURE 2 : les systèmes d'IA sont évalués en fonction de leur fiabilité.

MESURE 3 : Des mécanismes de suivi des risques identifiés en matière d'IA sont en place.

MESURE 4 : Le retour d'information sur l'efficacité de la mesure est recueilli et évalué.

La plateforme Prevalent TPRM propose une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les pratiques d'IA des fournisseurs tiers doivent être évaluées au moment de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants.

Les évaluations sont gérées de manière centralisée et s'appuient sur des fonctionnalités de flux de travail, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important de noter que le site Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de s'assurer que les tiers traitent les risques de manière opportune et satisfaisante, tout en fournissant les preuves appropriées aux auditeurs.

Pour compléter les évaluations de l'intelligence artificielle des fournisseurs, Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La plateforme Prevalent surveille l'Internet et le dark web pour détecter les menaces et les vulnérabilités cyber . Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse.

Les sources de surveillance comprennent :

Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
Bases de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Enfin, Prevalent mesure en permanence les KPI et KRI des tiers par rapport à vos exigences pour aider votre équipe à découvrir les tendances en matière de risques, à déterminer le statut des risques des tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie.

La fonction Gérer consiste à allouer des ressources aux risques cartographiés et mesurés sur une base régulière et comme défini par la fonction GOUVERNER. Cela inclut des plans de réponse, de récupération et de communication en cas d'incidents ou d'événements.

GÉRER 1 : Les risques liés à l'IA, fondés sur les évaluations et autres résultats analytiques des fonctions MAP et MEASURE, sont classés par ordre de priorité, font l'objet d'une réponse et sont gérés.

GÉRER 2 : Les stratégies visant à maximiser les bénéfices de l'IA et à minimiser les impacts négatifs sont planifiées, préparées, mises en œuvre, documentées et informées par les acteurs concernés de l'IA.

GÉRER 3 : Les risques et les avantages de l'IA provenant d'entités tierces sont gérés.

GÉRER 4 : Les traitements des risques, y compris la réponse et la récupération, et les plans de communication pour les risques d'IA identifiés et mesurés sont documentés et contrôlés régulièrement.

Dans le cadre de votre stratégie globale de gestion des incidents, Prevalent vous aide à vous assurer que votre programme de réponse aux incidents de tiers peut rapidement identifier, répondre, rendre compte et atténuer l'impact des incidents de sécurité liés à l'IA des fournisseurs tiers.

Les capacités clés comprennent :

Évaluations de la gestion des événements et des incidents mises à jour en permanence et personnalisables
Suivi en temps réel de la progression du remplissage du questionnaire
Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
Rapports proactifs sur les fournisseurs
Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
Des règles de flux de travail pour déclencher des playbooks automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'activité.
Modèles de rapports intégrés pour les parties prenantes internes et externes.
Recommandations de remédiation intégrées pour réduire les risques
Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes et Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Forte de ces informations, votre équipe peut mieux gérer et trier les entités tierces, comprendre la portée et l'impact de l'incident, les données concernées, si les opérations du tiers ont été affectées et quand les mesures correctives sont terminées.

Ressources disponibles

Article de blog
Le cadre de gestion des risques liés à l'IA du NIST et la gestion des risques liés aux tiers

Ce guide permet d'aligner votre programme TPRM sur le RMF AI du NIST afin de mieux gouverner...
Article de blog
Politiques de sécurité de l'IA : Questions à poser aux fournisseurs tiers

Apprenez à structurer une politique de sécurité de l'IA pour votre organisation et demandez à vos...
Article de blog
5 façons de tirer parti de l'IA dans la gestion des risques liés aux tiers

Utilisez ces conseils pour maximiser les avantages de l'IA dans votre TPRM et votre gestion du risque fournisseur...

Prêt pour une démonstration ?
Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
Demander une démo

Cadre de gestion des risques liés à l'IA du NIST

Conditions applicables

Le cadre de gestion des risques liés à l'IA du NIST et la gestion des risques liés aux tiers

Politiques de sécurité de l'IA : Questions à poser aux fournisseurs tiers

5 façons de tirer parti de l'IA dans la gestion des risques liés aux tiers