À mesure que l’intelligence artificielle devient omniprésente dans tous les secteurs, les risques associés aux systèmes d’IA augmentent eux aussi. Des algorithmes biaisés aux préoccupations liées à la confidentialité des données, les entreprises doivent gérer de manière proactive les risques liés à l’IA afin de préserver la confiance des parties prenantes et de réaliser tout le potentiel de cette technologie transformatrice. Heureusement, il existe des bonnes pratiques établies pour vous aider — l’une des plus importantes étant le Cadre de gestion des risques liés à l’IA du National Institute of Standards and Technology (NIST) (le « AI RMF »). Le NIST, qui est une agence du département du Commerce des États-Unis, a publié l’AI RMF en janvier 2023, et celui-ci est rapidement devenu l’un des principaux cadres de référence pour garantir que l’IA soit responsable et digne de confiance.

Bien que l’adhésion soit volontaire, nous avons constaté qu’un nombre croissant d’organisations, en particulier aux États-Unis, ont adopté l’AI RMF dans le cadre du développement de leur programme d’IA. Dans cet article de blog, nous : (1) présentons une vue d’ensemble de l’AI RMF ; (2) fournissons des indications sur l’opportunité d’adopter l’AI RMF ; et (3) si vous choisissez de l’adopter, vous donnons des conseils pratiques pour y parvenir.

‍

Vue d’ensemble de l’AI RMF

L’AI RMF s’applique aux « AI Actors », définis comme les entreprises ou les personnes qui jouent un rôle actif dans la conception, le développement et/ou l’utilisation de systèmes d’IA. Par conséquent, si votre entreprise utilise l’IA, ou si vous participez personnellement à des travaux liés à l’IA, vous devriez respecter les exigences du cadre afin de garantir la conformité.

L’AI RMF peut être divisé en deux grandes sections : « Foundational Information » et « Core and Profiles ». Les exigences de chacune d’elles sont présentées ci-dessous.

Foundational Information

Foundational Information traite des risques et des préjudices potentiels liés à l’utilisation de l’IA. Les entreprises qui se conforment aux lignes directrices doivent mettre en place des processus permettant de suivre et de mesurer les risques au fur et à mesure de leur apparition, de les hiérarchiser, et d’évaluer le niveau global de tolérance au risque de l’organisation. L’objectif est de garantir une utilisation responsable de l’IA en mettant en place un processus de gestion des risques robuste et proactif.

Core and Profiles

Core and Profiles, la deuxième partie du cadre de NIST, se concentre sur la manière de mettre un tel système en pratique. Ici, NIST définit les quatre fonctions essentielles d’un système de gestion des risques abouti. Il s’agit de :

• Gouverner - instaurer une culture de gestion des risques au sein d’une entreprise ;

• Cartographier - mettre en place les processus permettant d’identifier les risques et les risques potentiels liés à l’utilisation de l’IA ;

• Mesurer - évaluer l’impact potentiel de ces risques sur les parties prenantes concernées ; et 

• Gérer - adopter des activités de traitement et d’atténuation des risques. 

Enfin, l’AI RMF présente la méthode des « Profiles » pour établir et évaluer le risque dans un cas d’usage spécifique, dans le contexte du programme global de gestion des risques. Par exemple, un système d’IA qui aide les équipes des ressources humaines à trier les CV des candidats constituerait un profil que vous devriez gouverner, cartographier, mesurer et gérer dans le cadre de votre programme plus large de gestion des risques liés à l’IA. 

‍

Devriez-vous adopter le NIST AI RMF ?

Bien que le cadre de NIST soit une norme volontaire, contrairement à des réglementations juridiquement contraignantes telles que l’EU AI Act, il existe des avantages évidents à consentir les efforts nécessaires pour s’y conformer :

1. Comprendre les risques liés à votre IA : presque toutes les entreprises utilisent désormais l’IA dans au moins certaines de leurs fonctions. Cependant, de nombreux responsables des risques au sein de ces entreprises restent ignorants des véritables risques qui se créent. La conformité au RMF mettra ces risques en lumière et permettra aux équipes de les atténuer.

1. Instaurer la confiance dans votre IA : l’un des principes fondamentaux du cadre est la nécessité, pour les entreprises, de créer un climat de confiance parmi leurs parties prenantes, ce qui fait souvent défaut lorsqu’il s’agit d’IA. La conformité à cette norme constitue un sceau d’approbation tiers, délivré par une organisation prestigieuse, attestant que votre utilisation de l’IA est responsable et digne de confiance.

1. Accroître l’utilisation de l’IA pour stimuler la productivité et la rentabilité : de nombreuses entreprises constatent les avantages remarquables que l’IA peut offrir, mais hésitent à en maximiser l’usage en raison de risques peu clairs et de préoccupations liées à la responsabilité. Le respect du cadre de NIST peut dissiper ces craintes, accroître l’utilisation de l’IA et conduire à une productivité et à une rentabilité accrues au sein de l’entreprise.

Malgré ces raisons solides en faveur de l’adhésion au cadre de NIST, il existe des situations dans lesquelles il peut ne pas être pertinent, pour les entreprises, de chercher à s’y conformer :

1. Certains autres cadres sont plus prescriptifs : l’AI RMF de NIST constitue un guide utile pour la gestion des risques liés à l’IA, mais il laisse tout de même aux organisations un travail considérable d’interprétation des exigences et d’application à leur propre entreprise. Ce domaine évolue rapidement et, depuis la publication de l’AI RMF, de nombreuses autres normes et réglementations ont vu le jour. Certaines d’entre elles, comme ISO 42001, sont plus prescriptives par nature et, selon notre expérience, plus faciles à adopter. En outre, l’AI RMF de NIST, à lui seul, ne garantira pas la conformité au paysage réglementaire émergent de l’IA (tel que l’EU AI Act), ni aux lignes directrices propres à certains secteurs (telles que SR 11-7 et les règles du PRA britannique relatives à la gestion du risque de modèle).

1. Les entreprises qui n’utilisent pas l’IA : si la seule utilisation de l’IA au sein de votre organisation consiste pour un employé, de temps à autre, à utiliser un LLM public, tel que ChatGPT ou Claude, pour peaufiner un e-mail, il ne vaut peut-être pas la peine de se conformer au cadre. Dans ce cas, il peut être plus pertinent d’adopter un cadre de gouvernance allégé en mettant en place une politique en matière d’IA afin d’encadrer la manière dont les collaborateurs de votre organisation interagissent avec ces outils. 

‍

Aller de l’avant

Bien que les lignes directrices de NIST demeurent volontaires, nous prévoyons que leur adoption par les entreprises continuera de croître à partir du niveau déjà significatif atteint. En effet, pour les grandes entreprises qui utilisent l’IA de manière étendue, il est probable que la conformité à NIST — ou à d’autres normes similaires, voire plus robustes, telles qu’ISO 42001 — devienne presque une exigence de la part des parties prenantes, notamment les employés, les clients et les actionnaires. 

Nous avons présenté ci-dessous quelques conseils pratiques que vous pouvez utiliser pour démarrer avec l’AI RMF de NIST.

1. Obtenir l’adhésion de la direction : veillez à ce que les dirigeants comprennent l’importance de la gestion des risques liés à l’IA et soutiennent l’adoption de l’AI RMF de NIST. Leur soutien sera essentiel pour allouer les ressources nécessaires et impulser le respect du cadre à l’échelle de l’organisation.

1. Mettre en place une structure de gouvernance de l’IA : constituez un comité transversal de gouvernance de l’IA ou définissez des rôles et responsabilités pour superviser la mise en œuvre du cadre. Cela peut inclure des représentants de l’informatique, du service juridique, de la gestion des risques, de l’éthique et des unités opérationnelles concernées.

1. Créer un inventaire de l’IA : répertoriez tous les systèmes et projets d’IA de votre organisation, y compris ceux en développement, afin d’obtenir une vue d’ensemble complète de votre paysage de l’IA. Cela vous aidera à hiérarchiser les efforts d’évaluation des risques.

1. Évaluer les risques pour chaque système d’IA : pour chaque système d’IA ou cas d’usage, réalisez une évaluation approfondie des risques couvrant la confidentialité des données, la sécurité, l’équité, la transparence et d’autres domaines clés définis dans l’AI RMF de NIST. Utilisez la méthodologie « Profiles » afin d’adapter l’évaluation à chaque contexte spécifique.

1. Élaborer des plans d’atténuation des risques : sur la base des résultats de l’évaluation des risques, créez des plans concrets pour atténuer les risques identifiés pour chaque système d’IA. Cela peut inclure des mesures techniques (par exemple, tests de biais, contrôles de sécurité), ainsi que des mesures organisationnelles (par exemple, politiques, formation).

1. Intégrer aux processus existants de gestion des risques : alignez la gestion des risques liés à l’IA avec le cadre et les processus globaux de gestion des risques de votre organisation. Cela contribuera à garantir une approche cohérente et intégrée, et à éviter les cloisonnements.

1. Impliquer les parties prenantes : associez, le cas échéant, les parties prenantes concernées, telles que les utilisateurs finaux, les clients et les régulateurs, au processus d’évaluation et d’atténuation des risques. Sollicitez leurs retours et communiquez de manière transparente sur vos efforts de gestion des risques liés à l’IA afin de renforcer la confiance.

1. Surveiller et réévaluer en continu : la gestion des risques liés à l’IA est un processus continu. Surveillez en permanence les systèmes d’IA afin de détecter les risques émergents, et réévaluez régulièrement les profils de risque à mesure que la technologie, les cas d’usage et le paysage réglementaire évoluent.

1. Proposer une formation à l’éthique de l’IA : formez les employés impliqués dans le développement et le déploiement de l’IA aux principes de l’éthique de l’IA et aux exigences de l’AI RMF de NIST. Cela contribuera à ancrer les pratiques responsables de l’IA dans la culture de votre organisation.

1. Tirez parti d’outils de gouvernance de l’IA : envisagez d’utiliser des plateformes de gouvernance de l’IA, comme Enzai, pour rationaliser et automatiser certains aspects de la gestion des risques liés à l’IA. Ces outils peuvent vous aider à évaluer efficacement les systèmes par rapport à l’AI RMF de NIST et à d’autres normes, à suivre les actions d’atténuation des risques et à générer des pistes d’audit.

Rappelez-vous : l’adoption de l’AI RMF de NIST est un parcours. Commencez par vos systèmes d’IA les plus prioritaires, puis élargissez progressivement la portée de vos efforts de gestion des risques au fil du temps. Réexaminez régulièrement votre approche et affinez-la à partir des enseignements tirés et de l’évolution des meilleures pratiques.

‍

‍Cliquez ici pour réserver une démonstration et en savoir plus sur la manière dont votre entreprise peut se conformer au cadre de gestion des risques liés à l’IA de NIST grâce aux technologies de gouvernance de l’IA d’Enzai.

‍

Enzai est la principale plateforme de gouvernance de l’IA pour les entreprises, conçue spécifiquement pour aider les organisations à passer d’une politique abstraite à une supervision opérationnelle. Notre plateforme de gestion des risques liés à l’IA fournit l’infrastructure spécialisée nécessaire pour gérer la gouvernance de l’IA agentique, maintenir un inventaire de l’IA complet et garantir la conformité à l’AI Act de l’UE. En automatisant des flux de travail complexes, Enzai permet aux entreprises d’accélérer l’adoption de l’IA en toute confiance, tout en restant alignées sur des normes mondiales telles que ISO 42001 et NIST.