Management

L'indispensable cadre de gouvernance et de gestion des risques spécifique à l'IA

L'indispensable cadre de gouvernance et de gestion des risques spécifique à l'IA
L'IA induit de nouveaux risques et enjeux de conformité qui nécessitent un cadre spécifiques de gouvernance. (Photo G.Altmann/Pixabay)

Pour tirer le meilleur parti de l'intelligence artificielle sans être la proie des risques qui lui sont propres, les entreprises doivent mettre en place un cadre de gouvernance, de risque et de conformité (GRC) spécifique à l'IA.

PublicitéL'utilisation de l'intelligence artificielle par les entreprises entraine un large éventail de risques dans des domaines aussi divers que la cybersécurité, la confidentialité des données, les biais, la discrimination, l'éthique et la conformité réglementaire. Les organisations qui créent un cadre de gouvernance, de risque et de conformité (GRC) spécifique pour l'IA sont les mieux placées pour en tirer le meilleur parti tout en minimisant ces risques et en garantissant une utilisation responsable et éthique.

Pourtant, en la matière, la plupart des entreprises ont encore beaucoup de travail. Une récente enquête menée par Lenovo et le cabinet d'études IDC auprès de 2 920 décideurs informatiques et business du monde entier révèle que seuls 24 % des organisations appliquent pleinement leur politique de GRC IA.

Informer et former les équipes

Pour Jim Hundemer, CISO de la plateforme américaine de gestion de discount de médicaments Kalderos, cela devrait pourtant être une priorité. L'IA générative « est aujourd'hui une ressource omniprésente à la disposition des employés de toutes les entreprises, insiste-t-il. Elles doivent absolument donner des conseils et une formation à leurs équipes pour se protéger contre des risques, tels que la fuite de données, l'exposition d'informations confidentielles ou sensibles à des modèles d'apprentissage publics de l'IA ou les hallucinations lorsque la réponse rapide d'un modèle est inexacte ou incorrecte. » Plusieurs études récentes ont montré qu'un employé sur 12 inclut des données sensibles de l'entreprise dans ses requêtes, et ce, même si elles proposent aux employés des options d'IA validées.

« Les organisations doivent intégrer l'IA - et les politiques et normes associées - ans un cadre de GRC et les données sont au coeur de tout », estime de son côté Kristina Podnar, senior policy director à la Data and Trust Alliance, un consortium de dirigeants d'entreprises et de responsables informatiques de grandes entreprises visant à promouvoir l'utilisation responsable des données et de l'IA. « À mesure que les systèmes d'IA deviennent plus omniprésents et plus puissants, précise-t-elle, il devient impératif pour les organisations d'identifier ces risques et d'y répondre. Les cadres GRC traditionnels ne couvrent pas tous les risques liés à l'IA, tels que les biais algorithmiques ou le manque de transparence et de responsabilité pour les décisions fondées sur l'IA. C'est donc bien un cadre spécifique que les entreprises doivent mettre en place pour identifier, évaluer et atténuer ces risques de manière proactive, pour Heather Haughian, cofondatrice de CM Law, cabinet juridique qui se concentre sur la technologie de l'IA, la confidentialité des données et la cybersécurité. « Un cadre de GRC IA va qui plus est contribuer à atténuer les vulnérabilités, telles la manipulation de données, l'exposition de brèches data dans l'IA, ou encore les défaillances opérationnelles liées à des erreurs d'IA entraînant des interruptions d'activité coûteuses ou une atteinte à la réputation, poursuit-elle. Cela permet aux entreprises d'aborder de manière proactive la conformité plutôt que ne réagir qu'à l'application de la loi ». C'est aussi un moyen de lutter contre la shadow AI contre laquelle les DSI luttent sans relâche depuis l'arrivée de l'IA générative.

PublicitéLes dirigeants IT et business doivent cependant comprendre que la création et la maintenance de ce cadre ne seront pas faciles. « Un cadre trop strict risque, par exemple, d'étouffer l'innovation, explique Heather Haughian. Et il est inévitable également que des groupes d'employés trouvent tout simplement des moyens de contourner ces politiques - ou les ignorent carrément ». Il existe des moyens de créer et maintenir un plan de GRC IA en évitant les risques autant que possible. Voici quelques-uns des éléments qu'il devrait contenir

Définir les niveaux de responsabilisation

« La plupart des organisations ne parviennent pas à établir une structure de gouvernance bien définie pour l'IA, les données et la confiance ». En l'absence de rôles et de responsabilités clairs, par exemple - qui sera responsable de quelles décisions - les risques organisationnels ne seront pas alignés avec les déploiements de l'IA et « il en résultera des risques de marque ou de réputation, des violations de la réglementation et l'incapacité à tirer parti des opportunités offertes par l'IA », insiste Kristina Podnar.

L'endroit où les entreprises choisissent de placer la responsabilité et le pouvoir délégué dépend de leur organisation et de leur culture. Il n'y a pas de bonne ou de mauvaise réponse dans l'absolu, mais il y en a une au niveau de chaque organisation. Il s'agit donc de définir les rôles et les responsabilités dans le cadre GRC, mais aussi des mécanismes d'application des règles et de responsabilisation, garantissant ainsi que les projets d'IA sont clairement pris en charge et supervisés, et que les individus sont tenus pour responsables de leurs actions. « Le plan GRC IA peut aussi aider à garantir que les systèmes soient explicables et compréhensibles, ce qui est essentiel pour la confiance et l'adoption, d'autant que cela commence à devenir un obstacle majeur dans de nombreuses organisations, » ajoute Heather Haughian.

Faire de la gouvernance de l'IA un travail d'équipe

L'IA traverse pratiquement toutes les couches de l'entreprise. Il est donc important qu'un large éventail de personnes contribuent au cadre GRC. « Nous commençons généralement par l'identification et l'inclusion des parties prenantes en faisant appel à un groupe varié de sponsors, de dirigeants, d'utilisateurs et d'experts, explique Ricardo Madan, vice-président senior et responsable des services monde de la SSII TEKsystems. Cela inclut l'informatique, le juridique, les ressources humaines, la conformité et les métiers. Cela garantit une approche holistique et unifiée pour hiérarchiser les questions de gouvernance et fixer les objectifs de la création d'un cadre ».

La SSII élabore et ratifie également lors de cette étape les valeurs et les normes éthiques en matière d'IA. À partir de là, elle établit le plan et le rythme du feedback, une démarche d'amélioration itérative et un suivi des progrès par rapport aux priorités fixées. Ce processus tient compte de l'évolution de la réglementation, des progrès techniques de l'IA, des insights data, etc.

Définir son profil de risque IA

Les entreprises doivent définir leur profil de risque à la mesure de leur appétence pour le risque, de la sensibilité de leurs informations et des conséquences de l'exposition des données sensibles aux modèles d'apprentissage public. « C'est une démarche importante parce qu'elle aide à garder une longueur d'avance sur ses responsabilités juridiques et financières potentielles et à garantir son alignement avec les réglementations pertinentes », explique précise Heather Haughian.

Intégrer des principes et des lignes directrices éthiques

Soumis aux pressions pour tirer rapidement parti de l'IA, les DSI se penchent aussi de plus en plus sur l'éthique de son déploiement. Or, les principes d'éthique ont une place toute désignée dans la GRC. Cette section du plan doit « couvrir des domaines tels que l'équité, la transparence, la responsabilité, la confidentialité et le contrôle par des humains », explique Heather Haughian. Les systèmes doivent par exemple être conçus pour éviter de perpétuer ou d'amplifier des biais existants, avec des audits réguliers pour en assurer l'équité. Autre exemple, des décisions prises par l'IA avec un impact fort sur la vie des personnes doivent être explicables.

Intégrer également la gouvernance des modèles

Autre élément à intégrer dans le plan GRC, la gouvernance des modèles. « Sur l'ensemble de leur cycle de vie, c'est-à-dire depuis l'acquisition des données et le développement du modèle jusqu'à leur déploiement, leur pilotage et leur retrait », insiste Heather Haughian. Cela permet de s'assurer que les modèles sont fiables, précis et fonctionnent constamment comme prévu, ce qui atténue les risques de dérive ou d'erreur. Il est ainsi intéressant d'établir des procédures claires de validation des données, de définir des tests des modèles et des méthodes de surveillance des performances. On peut également envisager un système de contrôle de version et l'enregistrement de toutes les modifications aux modèles et système de réentraînement périodique afin de s'assurer que le modèle reste pertinent.

Rendre les politiques d'IA claires et applicables

Les règles efficaces de gouvernance équilibrent les risques et les opportunités qu'offrent l'IA et d'autres technologies émergentes nécessitant des données massives. « La plupart des organisations ne documentent pas les limites qu'elles se fixent avec des règles précises, indique Kristina Podnar. Or, dans ce cas, de nombreux employés peuvent mettre l'organisation en danger en fixant leurs propres règles. Ou bien, cela peut es empêcher d'innover et de créer de nouveaux produits et services, car ils ont l'impression de toujours devoir demander la permission au service informatique ». Les organisations doivent définir des politiques claires couvrant la responsabilité, l'explicabilité, l'obligation de rendre des comptes, les pratiques de gestion des données liées à la confidentialité et à la sécurité et d'autres aspects des risques et des opportunités opérationnels. Et les mécanismes d'application des règles doivent être compréhensibles par tous les utilisateurs.

Recueillir et exploiter les commentaires des équipes

Enfin, il est essentiel de solliciter les commentaires des équipes sur la gouvernance IA, afin de l'améliorer de manière continue. C'est ce que fait Teksystems par exemple, qui documente et rend compte en permanence de son utilisation et des performances de l'IA, et teste le cadre de gouvernance en fonction des commentaires des utilisateurs. « Cela fait partie de notre engagement continu en matière de perfectionnement, de préparation aux audits et de la mise en confiance », insiste Ricardo Madan.

« Les modèles d'IA changent en permanence et nécessitent une surveillance continue, rappelle Heather Podnar. Un processus de gouvernance solide doit donc être mis en place pour garantir que l'IA reste efficace et conforme tout au long de son cycle de vie. Cela peut impliquer d'évaluer et d'utiliser des protocoles de validation et de surveillance de modèles, et de créer des règles automatisées avec des alertes lorsque quelque chose sort de la trajectoire prévue. »

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis