Risque lié aux tiers
Exposition résultant du recours à des fournisseurs de données externes, à des fournisseurs de modèles ou à des plateformes de services susceptibles d'introduire des failles de conformité ou de sécurité.
Définition
Implique une due diligence sur les pratiques de protection des données, les contrôles de sécurité et la maturité de la gouvernance des fournisseurs. Les mesures contractuelles comprennent des contrats de niveau de service, des droits d'audit et des clauses d'indemnisation. Les équipes de gouvernance tiennent un registre tiers, procèdent à des évaluations périodiques des risques (par exemple, des rapports SOC-2) et surveillent les performances des fournisseurs. Les fournisseurs à haut risque entraînent une surveillance accrue : tests d'intrusion, audits de conformité et plans d'urgence en cas de défaillance des fournisseurs.
Exemple concret
L'équipe d'IA d'une banque évalue une API tierce de détection des fraudes en examinant son rapport SOC-2 de type II, en réalisant un questionnaire de sécurité et en effectuant un audit éthique de son modèle basé sur l'IA. Le fournisseur est classé dans la catégorie « à haut risque », ce qui nécessite de nouveaux audits trimestriels et un plan de repli pour passer à une solution interne en cas de non-respect des normes.
.svg)
