Demandez une démo

Comment moderniser votre programme de gestion des risques liés aux tiers à l'ère de la réglementation mondiale en matière d'IA ?

PrevalentAlastair Parr, SVP of Global Products & Services, partage 5 bonnes pratiques pour atténuer les risques liés à l'IA tout au long du cycle de vie des tiers.
02 avril 2024
Logo Communauté mondiale du risque

Note de l'éditeur : cet article a été publié à l'origine dans globalriskcommunity.com.

Alors que l'intelligence artificielle progresse à pas de géant, les gouvernements du monde entier s'efforcent de mettre en place des garde-fous pour garantir un déploiement sûr et responsable. D'un autre côté, les entreprises déploient l'IA comme elles le peuvent et partout où elles le peuvent, car les gains de productivité et d'efficacité qu'elle promet peuvent avoir un impact profond sur leurs résultats.

Toutefois, les entreprises doivent déployer cette technologie qui change la donne de manière à ne pas enfreindre la loi. De plus en plus, cela signifie qu'elles doivent non seulement utiliser l'IA de manière sûre et responsable, mais aussi veiller à ce que les nombreux tiers avec lesquels elles effectuent des transactions - y compris tous les fournisseurs et prestataires de services - fassent de même.

Naviguer dans ce paysage complexe ne sera pas simple, en particulier si votre entreprise est basée dans l'une des régions les plus avancées dans l'élaboration de nouvelles réglementations - les États-Unis, le Royaume-Uni, l'Union européenne ou le Canada. Chacune de ces régions disposera de son propre cadre pour la réglementation de l'IA, avec différentes dispositions fortes et, très probablement, des échappatoires.

Cependant, la gestion des risques liés aux tiers sera une constante pour les entreprises dans ce monde de variables. Où que vous soyez, une approche prudente et un engagement proactif des fournisseurs seront à l'ordre du jour.

Chaque entreprise a des objectifs et des défis différents, et la quantité et la qualité des relations avec les partenaires commerciaux tiers varient considérablement. Néanmoins, voici cinq mesures que toute entreprise peut prendre pour atténuer les risques à un moment où l'atténuation est plus importante que jamais :

1. Sachez qui, parmi vos vendeurs et fournisseurs tiers, exploite l'intelligence artificielle - et comment. Comprendre qui, dans votre univers de fournisseurs, utilise l'IA est la première étape cruciale pour comprendre les risques inhérents à leur utilisation. Il s'agit d'abord de faire l'inventaire et de poser les bonnes questions. Chaque entreprise doit créer son propre mécanisme de découverte pour comprendre les différentes instances d'IA utilisées dans son écosystème tiers.

2. Concevoir un moyen d'évaluer et de hiérarchiser leur utilisation de l'IA. Votre entreprise dispose probablement déjà d'un système de hiérarchisation des partenaires tiers basé sur l'importance de leur travail pour votre organisation. Maintenant, mettez à jour ce système de classement en fonction de la manière dont ils utilisent l'IA et des risques que cette utilisation pourrait entraîner. Utilisent-ils l'IA pour traiter les informations relatives aux clients ? L'utilisent-ils dans des applications en contact avec les clients ? Ce ne sont là que quelques questions qui peuvent aider une entreprise à classer ses partenaires et fournisseurs en fonction des risques liés à l'IA.

3. Effectuer une évaluation plus détaillée des risques. La troisième étape consiste à aller au-delà des informations superficielles et à inspecter les contrôles internes des tiers sur l'utilisation de l'IA dans leur organisation. Il s'agit de poser des questions sur la gouvernance, par exemple

  • Que fait ce partenaire pour éviter les hallucinations ou les biais cognitifs ?
  • Quels sont leurs protocoles de sécurité des données ?
  • L'utilisation de l'IA est-elle transparente ?
  • Des êtres humains participent-ils à l'évaluation des résultats de l'IA ?

Les différents cadres de conformité élaborés par les agences gouvernementales et les industries peuvent servir de guide pour poser ces questions et d'autres au cours de la diligence raisonnable.

4. Recommander des mesures correctives. Une fois que vous avez effectué une évaluation détaillée et que vous disposez d'un système de classement de vos fournisseurs en termes de risque, vous pouvez recommander des actions visant à rendre votre partenariat avec eux moins risqué. Par exemple, supposons qu'un tiers utilise ChatGPT pour analyser les données des clients en interne. Dans ce cas, vous pourriez recommander de migrer vers une autre IA avec des protocoles de sécurité plus robustes ou une instance plus propriétaire où les données ne quittent pas leur environnement et où vos données ne sont pas utilisées pour former des modèles extérieurs. Notamment, à ce stade, vous devriez insérer dans vos contrats des clauses et des mesures réelles qui garantissent que toute réduction des risques des opérations commerciales que vous entreprenez est assortie de mécanismes d'application fondamentaux. Cette étape nécessite une connaissance détaillée des programmes d'IA disponibles et de ceux qu'il convient d'éviter. Cette étape devrait également déboucher sur un contrat légal avec des dents.

5. Assurer un suivi permanent. La réduction du risque pour les tiers n'est pas une proposition ponctuelle. Il s'agit d'un processus d'évaluation continue. Les entreprises doivent surveiller les politiques internes des tiers afin de détecter tout changement dans les contrôles au fil du temps et toute utilisation d'outils d'IA qui pourrait indiquer des problèmes potentiels - il est important de savoir si vous devez intervenir et remédier à ces problèmes. Le risque lié à l'IA sera une cible mouvante, il est donc essentiel d'évoluer avec elle grâce à une surveillance continue des fournisseurs et des partenaires.

Les gouvernements réagiront avec de nouveaux cadres juridiques alors que les entreprises continuent d'intégrer l'IA dans leurs opérations. Adopter l'IA avec prudence - et poser des questions aux vendeurs et aux fournisseurs - est devenu impératif pour les gestionnaires de risques.

La mise en œuvre des cinq étapes ci-dessus nécessite une expertise en matière d'IA, pour laquelle la demande est aujourd'hui bien supérieure à l'offre. C'est pourquoi les entreprises qui n'ont pas les moyens d'engager une équipe dédiée à la gestion des risques liés à l'IA confient cette tâche à des entreprises qui se concentrent sur cette question.

Que votre entreprise engage une équipe ou recherche une aide extérieure pour ce type d'atténuation des risques, une chose est sûre : la compréhension et la prise en compte de ces risques ne font que gagner en importance au fil du temps.