Le Trésor américain a publié plusieurs documents conçus pour le secteur des services financiers américain qui suggèrent une approche structurée de la gestion des risques liés à l’IA dans les opérations et les politiques (voir la sous-rubrique « Ressources et téléchargements » au bas du lien). Le cadre de gestion des risques AI des services financiers CRI (FS AI RMF) est accompagné d’un guide (.docx) qui donne des détails sur le cadre, développé par une collaboration entre plus de 100 institutions financières et organisations industrielles, avec la contribution des régulateurs et des organismes techniques.
L’objectif du FS AI RMF est d’aider les institutions financières à identifier, évaluer, gérer et gouverner les risques associés aux systèmes d’IA et de permettre aux entreprises de continuer à adopter les technologies d’IA de manière responsable.
Cadre sectoriel
Les systèmes d’IA introduisent des risques que les cadres de gouvernance technologique existants ne prennent pas en compte. Les risques incluent les biais algorithmiques, la transparence limitée des processus de décision, les cyber-vulnérabilités et les dépendances complexes entre les systèmes et les données. Les LLM suscitent des inquiétudes car leur comportement peut être difficile à interpréter ou à prévoir. Contrairement aux logiciels traditionnels, qui sont déterministes, le résultat d’une IA varie en fonction du contexte.
Les institutions financières fonctionnent déjà dans le cadre d’une réglementation approfondie et il existe une série de directives générales telles que le cadre de gestion des risques de l’IA du NIST. Cependant, l’application de cadres généraux aux opérations des institutions financières manque de détails qui reflètent les pratiques du secteur et les attentes réglementaires. Le FS AI RMF se positionne comme une extension du cadre NIST, avec des contrôles supplémentaires spécifiques au secteur et des directives de mise en œuvre pratiques dans ses pages.
Le guide explique comment les entreprises peuvent évaluer leur maturité actuelle en matière d’IA et mettre en œuvre des contrôles pour limiter leurs risques. Son objectif est de promouvoir des pratiques d’IA cohérentes et responsables et de soutenir l’innovation dans le secteur.
Structure de base
Le FS AI RMF relie la gouvernance de l’IA à des processus plus larges de gouvernance, de risque et de conformité affectant déjà les institutions financières.
Le cadre contient quatre composants principaux. Le premier est un questionnaire sur l’étape d’adoption de l’IA qui permet aux organisations de déterminer la maturité de leur utilisation de l’IA. La seconde est une matrice de risques et de contrôles, qui contient un ensemble d’énoncés de risques et d’objectifs de contrôle alignés sur les étapes d’adoption. Le guide explique comment appliquer le cadre, tandis qu’un guide de référence distinct sur les objectifs de contrôle fournit des exemples de contrôles et des preuves à l’appui.
Le cadre définit un total de 230 objectifs de contrôle organisés selon quatre fonctions adaptées du cadre plus large de gestion des risques de l’IA du NIST : gouverner, cartographier, mesurer et gérer. Chaque fonction contient des catégories et des sous-catégories qui décrivent les éléments d’une gestion et d’une gouvernance efficaces des risques liés à l’IA.
Évaluation de la maturité de l’IA
Le questionnaire sur l’étape d’adoption détermine dans quelle mesure une organisation utilise l’IA. Certaines entreprises s’appuient par exemple sur des modèles prédictifs traditionnels dans des applications limitées, tandis que d’autres déploient l’IA dans des processus métier clés ; d’autres utilisent simplement l’IA dans des rôles en contact avec le client.
Le questionnaire aide les organisations à déterminer où elles se situent actuellement dans le spectre d’utilisation de l’IA, en évaluant des facteurs tels que l’impact commercial de l’IA, les modalités de gouvernance, les modèles de déploiement, le recours à des fournisseurs d’IA tiers, les objectifs organisationnels et la sensibilité des données.
Sur la base de cette évaluation, les organisations sont classées en quatre étapes d’adoption de l’IA :
- étape initiale : organisations qui ont peu ou pas de déploiement opérationnel d’IA. L’IA est peut-être à l’étude mais n’est pas intégrée,
- stade minimal : utilisation limitée de l’IA dans les zones à faible risque ou les systèmes isolés.
- stade d’évolution : organisations exécutant des systèmes d’IA plus complexes, y compris des applications impliquant des données sensibles ou des services externes.
- étape intégrée : où l’IA joue un rôle important dans les opérations commerciales et la prise de décision.
Ces étapes aident les établissements à concentrer leurs efforts sur des contrôles adaptés à leur niveau de maturité. Une entreprise à un stade précoce n’a pas besoin de mettre en œuvre tous les contrôles immédiatement, mais à mesure que l’IA devient plus intégrée, le cadre introduit des contrôles supplémentaires pour faire face aux niveaux de risque croissants.
Risque et contrôle
Les objectifs de contrôle pour chaque étape d’adoption de l’IA abordent des sujets de gouvernance et opérationnels, notamment la gestion de la qualité des données, la surveillance de l’équité et des préjugés, les contrôles de cybersécurité, la transparence des processus décisionnels de l’IA et la résilience opérationnelle.
Le guide fournit des exemples de contrôles possibles et de types de preuves que les institutions peuvent utiliser pour démontrer leur conformité. Chaque entreprise doit déterminer les contrôles qui lui conviennent le mieux.
Le cadre recommande de maintenir des procédures de réponse aux incidents spécifiques aux systèmes d’IA et de créer un référentiel central pour le suivi des incidents d’IA, des processus qui aideront les organisations à détecter les pannes et à améliorer la gouvernance au fil du temps.
Une IA digne de confiance
Le cadre intègre les principes d’une IA fiable définis comme la validité et la fiabilité, la sûreté, la sécurité et la résilience, la responsabilité, la transparence, l’explicabilité, la protection de la vie privée et l’équité. Ceux-ci constituent une base pour évaluer les systèmes d’IA tout au long de leur cycle de vie. En termes simples, les institutions financières doivent garantir que les résultats de l’IA sont fiables, que les systèmes sont protégés contre les cybermenaces et que les décisions peuvent être expliquées lorsqu’elles affectent les clients ou ont une pertinence réglementaire.
Implications stratégiques
Pour les hauts dirigeants des institutions financières de n’importe quel pays, le FS AI RMF propose un guide pour intégrer l’IA dans les cadres de gestion des risques existants. Il énonce la nécessité d’une coordination des différentes fonctions commerciales de l’organisation. Les équipes technologiques, les responsables des risques, les spécialistes de la conformité et les unités commerciales doivent tous participer au processus de gouvernance de l’IA.
Adopter l’IA sans renforcer les structures de gouvernance peut exposer les institutions à des défaillances opérationnelles, à un contrôle réglementaire ou à des atteintes à leur réputation. À l’inverse, les entreprises qui mettent en place des processus de gouvernance clairs seront plus confiantes dans le déploiement de systèmes d’IA.
Le guide présente la gestion des risques liés à l’IA comme une entité évolutive. À mesure que les technologies d’IA se développent et que les attentes réglementaires changent, les institutions devront mettre à jour leurs pratiques de gouvernance et leurs évaluations des risques en conséquence.
Pour les décideurs du secteur financier, le message est que l’adoption de l’IA doit progresser au rythme de la gouvernance des risques. Un cadre structuré tel que FS AI RMF fournit un langage et une méthode communs pour gérer l’évolution.
(Source de l’image : « Law Books » de seychelles88 est sous licence CC BY-NC-SA 2.0.)
