Pour rester compétitives, les entreprises s’efforcent d’adopter l’IA rapidement et à grande échelle.
Pourtant, peu d’entre elles comprennent réellement la nouvelle complexité des risques introduits par l’IA, ni à quel point leur méthodologie de gestion des risques actuelle est peu adaptée.
Voici donc le challenge : les risques liés à l’IA augmentent de façon exponentielle et ne peuvent pas être correctement gérés sans une gouvernance efficace de l’IA. Cette gouvernance ne peut réussir que si elle est envisagée comme une discipline interfonctionnelle entre sécurité, protection de la vie privée, risque, juridique, ingénierie et entreprise autour d’objectifs communs.
Les entreprises essaient de s’adapter à ce changement radical, et les dirigeants peuvent (et doivent) apprendre de leurs pairs qui établissent déjà des programmes d’IA responsables et évolutifs.
Pourquoi le risque lié à l’IA est différent et la gouvernance essentielle
L’IA introduit de nouveaux types d’incertitude que les processus de sécurité ou de risque tiers traditionnels n’ont pas été conçus pour évaluer. Déterminer les types d’IA présents dans un environnement donné est déjà difficile. Les employés travaillent avec des outils par eux-mêmes, des tiers intègrent des fonctionnalités d’IA dans leurs plateformes sans en parler et les équipes internes commencent à expérimenter des modèles avant même que les processus officiels ne soient mis en place.
Les équipes de sécurité s’adaptent en intégrant la découverte de l’IA dans les outils de visibilité et de gestion des ressources existants. Elles cataloguent les systèmes d’IA de la même manière que toute technologie essentielle et utilisent des mesures de protection contractuelles pour réduire le risque lorsque des outils externes sont utilisés par les employés. Mais cette visibilité n’est qu’une première étape.
Le challenge plus profond réside dans le fait que les systèmes d’IA sont dynamiques, probabilistes et en constante évolution. Les modèles apprennent à partir de nouvelles données, les fournisseurs publient de nouvelles fonctionnalités et le comportement des systèmes peut dériver dans le temps. Il est indispensable d’opérer un changement par rapport aux évaluations statiques et ponctuelles vers une surveillance continue et un contrôle programmatique.
Les organisations doivent aussi avoir une position claire sur leur appétence au risque. Qu’est-ce qu’un usage acceptable ? Quels types de données peuvent circuler dans les systèmes d’IA ? Quelles fonctions doivent être systématiquement revues par des humains ? Sans mesures de protection de gouvernance, chaque équipe évalue ces questions différemment et le risque devient impossible à gérer.
Une base de gouvernance de l’IA solide donne aux équipes de gestion des risques ce dont elles ont besoin pour être efficaces :
- clarté sur la finalité et les cas d’usage
- définition des catégories de risques
- attentes en matière de transparence et de documentation
- processus partagé pour déterminer s’il faut acheter ou développer en interne
- politiques de données, sélection des modèles et utilisation acceptable
Avec ces éléments en place, la gestion des risques liés à l’IA est simplifiée.
Élaborer le modèle d’exploitation : le comité de gouvernance de l’IA
La plupart des entreprises qui adoptent l’IA mettent en place un comité de gouvernance chargé de centraliser la surveillance et la prise de décision. Il fonctionne comme un lien entre l’innovation et le contrôle responsable.
Sa composition doit être interfonctionnelle et inclure les équipes de protection de la vie privée, de sécurité, de risques, de conformité, juridiques, informatique et de stratégie. Les responsables de l’ingénierie, des produits et des données interviennent au besoin. En fonction du modèle d’entreprise, les opérations ou les finances peuvent également intervenir.
Les responsabilités du comité comprennent généralement :
- la définition de la stratégie d’IA de l’entreprise et des mesures de protection associées : inclut les politiques, l’usage acceptable, la sélection des modèles et l’alignement avec les cadres réglementaires tels que le NIST, les normes de l’OCDE et ISO et avec le patchwork mondial émergent des réglementations sur l’IA.
- l’examen des cas d’usage à haut risque : même si 80 % des initiatives d’IA peuvent passer par un processus d’achat et d’évaluation technique standard, les 20 % restants nécessitent une évaluation interfonctionnelle approfondie de la finalité prévue, des dommages potentiels, de l’impact sur les clients et de la tolérance au risque de l’organisation.
- l’orientation des décisions de développement en interne ou d’achat : il s’agit d’évaluer si les fonctionnalités d’IA doivent être développées en interne ou achetées sous licence auprès de fournisseurs, en tenant compte des compétences, des implications en matière de sécurité et des coûts à long terme.
- l’assurance de la transparence pour les clients et les parties prenantes : lorsqu’elles lancent des fonctionnalités basées sur l’IA, les organisations doivent documenter leur finalité, les modèles, le traitement des données et les attentes en termes de revue humaine dans des documents clairs et accessibles tels que des rapports de transparence sur l’IA.
Cette structure protège non seulement l’organisation, mais favorise également une innovation responsable. Les équipes internes sont plus confiantes car les règles sont claires, le processus est cohérent et l’entreprise sait comment faire passer les idées de l’expérimentation à la production.
Ce que cela signifie pour la gestion du risque tiers
Alors que l’IA continue de s’étendre, on constate de plus en plus de points convergents avec la gestion du risque tiers, mais dans une mesure qui n’est pas prévue par les cadres de référence traditionnels. De plus en plus de fournisseurs intègrent l’IA dans leurs solutions sans l’indiquer clairement. Les équipes chargées des risques doivent donc élargir leur vigilance : il ne suffit plus d’évaluer les outils qui se présentent ouvertement comme utilisant l’IA, il faut aussi repérer l’IA là où elle est déjà discrètement intégrée dans les applications existantes.
Les responsables de la sécurité et de la protection de la vie privée soulignent l’importance de mettre à jour les processus de prise en compte et d’évaluation qui permettent de comprendre comment les fournisseurs utilisent l’IA, quelles données alimentent leurs modèles, si les informations client sont utilisées pour l’entraînement et comment les nouvelles fonctionnalités sont introduites au fil du temps.
Les systèmes d’IA évoluant en permanence, on ne peut plus se permettre d’évaluer les fournisseurs une bonne fois pour toutes. Les programmes de gouvernance de l’IA peuvent fournir les mesures de protection dont les programmes de gestion du risque tiers ont besoin : une surveillance claire, des protections contractuelles, des politiques mises à jour et une surveillance continue qui permettent aux organisations de concilier innovation et gestion responsable des risques.
Transformer la gouvernance en croissance, étape par étape
Une fois les structures de gouvernance en place, les organisations peuvent adopter l’IA en toute sécurité. Le cycle de vie reproduit celui de la gestion des risques, mais avec d’importantes modifications.
Prise en compte : cette étape précoce du processus nécessite désormais un contexte beaucoup plus riche. Il faut connaître les entrées, les sorties, la sensibilité des données, la traçabilité du modèle, les résultats attendus et la possibilité de dérive ou de biais algorithmique. L’objectif n’est pas seulement d’évaluer le risque sur la sécurité et sur la confidentialité, mais de cartographier l’alignement de l’IA sur la finalité de l’entreprise et les attentes réglementaires.
Évaluation : cette étape a une portée qui s’étend et s’approfondit. Les équipes juridiques, de protection de la vie privée et de sécurité collaborent pour déterminer si les contrats avec les fournisseurs incluent des protections appropriées, si les données peuvent être utilisées pour l’entraînement des modèles et comment les mises à jour seront communiquées.
Surveillance : elle doit être continue. Les systèmes d’IA évoluent rapidement. Ce qui signifie que l’exposition aux risques est susceptible d’évoluer au même rythme. Les entreprises intègrent de nouvelles questions spécifiques à l’IA dans les réévaluations, mettent à jour les politiques à mesure que les modèles évoluent et maintiennent une visibilité continue sur la façon dont les fournisseurs modifient leurs fonctionnalités d’IA.
Lorsque les organisations la mettent correctement en place, la gouvernance n’est plus un obstacle, mais un véritable moteur de croissance. Pour en savoir plus, regardez ce webinaire à la demande avec Tim Mullen, CISO chez OneTrust, et Brett Tarr, Head of Privacy and AI Gouvernance.
