Un aperçu du cadre de gestion de l'IA du NIST et des étapes nécessaires pour garantir la conformité à la gouvernance de l'IA.
•
•
9 minutes de lecture
Sujets
Alors que l'intelligence artificielle devient omniprésente dans tous les secteurs, les risques associés aux systèmes d'IA se multiplient également. Des algorithmes biaisés aux préoccupations concernant la protection des données, les entreprises doivent gérer de manière proactive les risques liés à l'IA pour maintenir la confiance des parties prenantes et réaliser le plein potentiel de cette technologie transformative. Heureusement, il existe des meilleures pratiques établies pour aider - l'une des plus importantes étant le Cadre de gestion des risques liés à l'IA (le « AI RMF ») de l'Institut National des Standards et de la Technologie (NIST). Le NIST, qui est une agence du Département du Commerce des États-Unis, a publié l'AI RMF en janvier 2023, et il est rapidement devenu l'un des principaux cadres de référence pour garantir que l'IA est responsable et digne de confiance.
Bien que l'adhésion soit volontaire, nous avons constaté qu'un nombre croissant d'organisations (en particulier aux États-Unis) ont adopté l'AI RMF lors de la mise en place de leur programme d'IA. Dans ce blog, nous : (1) présentons un aperçu de l'AI RMF ; (2) fournissons des conseils pour savoir si vous devriez adopter l'AI RMF ; et (3) si vous devriez l'adopter, donnons quelques conseils pratiques pour y parvenir.
Un aperçu de l'AI RMF
L'AI RMF s'applique aux « Acteurs de l'IA », qui sont définis comme étant soit des entreprises, soit des individus jouant un rôle actif dans la conception, le développement et/ou l'utilisation des systèmes d'IA. Par conséquent, si votre entreprise utilise l'IA ou si vous êtes personnellement impliqué dans des flux de travail d'IA, vous devriez respecter les exigences du cadre pour assurer la conformité.
L'AI RMF peut être divisé en deux grandes sections, « Informations Fondamentales » et « Noyau et Profils ». Les exigences de chacune sont définies ci-dessous.
Informations Fondamentales
Les Informations Fondamentales traitent des risques potentiels et des dommages liés à l'utilisation de l'IA. Les entreprises qui respectent les directives doivent mettre en place des processus pour suivre et mesurer les risques au fur et à mesure qu'ils émergent, les prioriser et évaluer le niveau de tolérance au risque global de l'organisation. L'objectif est de garantir une utilisation responsable de l'IA en mettant en place un processus de gestion des risques robuste et proactif.
Noyau et Profils
Le Noyau et Profils, la deuxième partie du cadre du NIST, se concentre sur la manière de mettre en pratique un tel système. Ici, le NIST présente les quatre fonctions principales d'un système de gestion des risques développé. Ce sont :
Gouverner - créer une culture de gestion des risques au sein d'une entreprise ;
Cartographier - construire les processus pour identifier les risques et les risques potentiels liés à l'utilisation de l'IA ;
Mesurer - évaluer l'impact potentiel de ces risques sur les parties prenantes concernées ; et
Gérer - adopter des activités de traitement et de réduction des risques.
Enfin, l'AI RMF expose la méthode des « Profils » pour établir et évaluer le risque dans un cas d'utilisation spécifique, dans le contexte du programme de gestion des risques global. Par exemple, un système d'IA qui aide les équipes des ressources humaines à trier les CV des candidats constituerait un Profil que vous devriez gouverner, cartographier, mesurer et gérer au sein de votre programme de gestion des risques d'IA plus large.
Devriez-vous adopter le NIST AI RMF ?
Bien que le cadre du NIST soit une norme volontaire, contrairement à des réglementations juridiquement contraignantes comme le règlement européen sur l'IA, il y a des avantages clairs à faire l'effort nécessaire pour se conformer :
Comprendre les risques liés à votre IA : Presque toutes les entreprises utilisent désormais l'IA dans au moins certaines de leurs fonctions. Cependant, de nombreux responsables des risques au sein de ces entreprises restent inconscients des vrais risques qui sont créés. La conformité au RMF les mettra en lumière et permettra aux équipes de les atténuer.
Construire la confiance dans votre IA : L'un des principes fondamentaux du cadre est la nécessité pour les entreprises de construire la confiance parmi leurs parties prenantes, ce qui manque souvent en ce qui concerne l'IA. Le respect de cette norme est un sceau d'approbation tiers d'une organisation prestigieuse indiquant que votre utilisation de l'IA est responsable et digne de confiance.
Augmenter l'utilisation de l'IA pour accroître la productivité et le profit : De nombreuses entreprises voient les avantages impressionnants que l'IA peut apporter mais hésitent à maximiser l'utilisation en raison des risques non clairs et des soucis de responsabilité. L'adhésion au cadre du NIST peut apaiser ces craintes, augmenter l'utilisation de l'IA et conduire à une productivité et un profit accrus au sein d'une entreprise.
Malgré ces fortes raisons en faveur de l'adhésion au cadre du NIST, il existe des situations où il pourrait ne pas être judicieux pour les entreprises de chercher à se conformer :
D'autres cadres sont plus prescriptifs : l'AI RMF du NIST est un guide utile pour la gestion des risques liés à l'IA, mais il laisse aux organisations beaucoup de travail pour interpréter les exigences et les appliquer à leur propre entreprise. Cet espace évolue rapidement et, depuis la publication de l'AI RMF, de nombreuses autres normes et réglementations ont émergé. Certaines d'entre elles, telles que l'ISO 42001, sont de nature plus prescriptive et (de notre expérience) plus faciles à adopter. De plus, l'AI RMF du NIST à lui seul n'assurera pas la conformité avec le paysage réglementaire émergent en matière d'IA (comme le règlement de l'UE sur l'IA), ni avec les lignes directrices spécifiques à l'industrie (comme le SR 11-7 et les règles PRA du Royaume-Uni sur la gestion des risques des modèles).
Entreprises qui n'utilisent pas l'IA : Si l'unique utilisation de l'IA au sein de votre organisation se résume à l'occasionnel employé utilisant un LLM public, tel que Chat GPT ou Claude, pour améliorer un e-mail, il pourrait ne pas être judicieux de respecter le cadre. Ici, il pourrait être plus sensé d'adopter un cadre de gouvernance léger en établissant une politique d'IA pour gérer comment les personnes au sein de votre organisation interagissent avec ces outils.
Aller de l'avant
Bien que les lignes directrices du NIST restent toujours volontaires, nous prévoyons que leur adoption par les entreprises continuera de s'étendre au-delà du niveau significatif déjà atteint. En effet, pour les grandes entreprises qui utilisent de manière exhaustive les solutions d'IA, il est probable que la conformité au NIST (ou à d'autres normes similaires/plus robustes telles que l'ISO 42001), deviendra presque une exigence des parties prenantes, y compris les employés, les clients et les actionnaires.
Nous avons énoncé ci-dessous quelques conseils pratiques que vous pouvez utiliser pour avancer avec l'AI RMF du NIST.
Sécuriser l'adhésion des cadres dirigeants : assurez-vous que les dirigeants principaux comprennent l'importance de la gestion des risques liés à l'IA et soutiennent l'adoption de l'AI RMF du NIST. Leur soutien sera crucial pour allouer des ressources et favoriser l'adhésion à l'échelle de l'organisation.
Établir une structure de gouvernance de l'IA : former un comité de gouvernance de l'IA interfonctionnel ou assigner des rôles et des responsabilités pour superviser la mise en œuvre du cadre. Cela peut inclure des représentants de l'informatique, du juridique, de la gestion des risques, de l'éthique et des départements commerciaux concernés.
Créer un inventaire de l'IA : cataloguer tous les systèmes et projets d'IA de votre organisation, y compris ceux en cours de développement, pour obtenir une vue d'ensemble de votre paysage IA. Cela vous aidera à prioriser les efforts d'évaluation des risques.
Évaluer les risques pour chaque système d'IA : pour chaque système d'IA ou cas d'utilisation, réaliser une évaluation approfondie des risques couvrant la confidentialité des données, la sécurité, l'équité, la transparence, et d'autres domaines clés décrits dans l'AI RMF du NIST. Utilisez la méthodologie des « Profils » pour adapter l'évaluation à chaque contexte spécifique.
Développer des plans d'atténuation des risques : basé sur les résultats de l'évaluation des risques, créer des plans d'action concrètes pour atténuer les risques identifiés pour chaque système d'IA. Cela peut inclure des mesures techniques (par exemple, test de biais, contrôles de sécurité) ainsi que des mesures organisationnelles (par exemple, politiques, formations).
Intégrer aux processus de gestion des risques existants : alignez la gestion des risques liés à l'IA avec le cadre et les processus générales de gestion des risques de votre organisation. Cela aidera à assurer une approche cohérente, intégrée et à éviter les silos.
Engager les parties prenantes : impliquer les parties prenantes concernées, telles que les utilisateurs finaux, les clients, et les régulateurs, dans le processus d'évaluation et de mitigation des risques selon le besoin. Recueillez leurs retours et communiquez de manière transparente sur vos efforts de gestion des risques liés à l'IA pour construire la confiance.
Surveiller et réévaluer en continu : la gestion des risques liés à l'IA est un processus continu. Surveillez constamment les systèmes d'IA pour les risques émergents et réévaluez régulièrement les profils de risques à mesure que la technologie, les cas d'utilisation et le panorama réglementaire évoluent.
Fournir une formation sur l'éthique de l'IA : éduquez les employés impliqués dans le développement et le déploiement de l'IA sur les principes éthiques de l'IA et les exigences de l'AI RMF du NIST. Cela aidera à intégrer des pratiques d'IA responsables dans la culture de votre organisation.
Tirer parti des outils de gouvernance de l'IA : envisagez d'utiliser des plateformes de gouvernance de l'IA, comme Enzai, pour simplifier et automatiser certains aspects de la gestion des risques liés à l'IA. Ces outils peuvent vous aider à évaluer efficacement les systèmes par rapport à l'AI RMF du NIST et à d'autres normes, à suivre les actions de prévention des risques, et à générer des pistes d'audit.
Rappelez-vous, l'adoption du NIST AI RMF est un voyage. Commencez par vos systèmes d'IA les plus prioritaires et élargissez progressivement la portée de vos efforts de gestion des risques au fil du temps. Révisez régulièrement et affinez votre approche basée sur les leçons apprises et les meilleures pratiques qui évoluent.
Cliquez ici pour réserver une démo et découvrir comment votre entreprise peut se conformer au Cadre de Gestion des Risques d'IA du NIST en utilisant les technologies de gouvernance de l'IA d’Enzai.
Donnez à votre organisation les moyens d'adopter, de gérer et de surveiller l'IA avec une confiance de niveau entreprise. Conçu pour les organisations réglementées opérant à grande échelle.