guide ia : le trésor américain sécurise le secteur financier

Guide de Gestion des Risques d'IA pour le Secteur Financier

Publication de Documents par le Trésor Américain pour la Gestion des Risques de l'IA

Le Trésor américain a publié plusieurs documents destinés au secteur des services financiers américains. Ces documents proposent une approche structurée pour la gestion des risques liés à l'IA dans les opérations et les politiques. Le Cadre de Gestion des Risques de l'IA pour les Services Financiers (FS AI RMF) est accompagné d'un guide [.docx] détaillant ce cadre, développé en collaboration avec plus de 100 institutions financières et organisations sectorielles, avec des contributions de régulateurs et d'organismes techniques.

L'objectif du FS AI RMF est d'aider les institutions financières à identifier, évaluer, gérer et gouverner les risques associés aux systèmes d'intelligence artificielle, tout en leur permettant de continuer à adopter ces technologies de manière responsable.

Un Cadre Spécifique au Secteur

Les systèmes d'IA introduisent des risques que les cadres de gouvernance technologique existants ne prennent pas en compte. Ces risques incluent les biais algorithmiques, la transparence limitée des processus décisionnels, les vulnérabilités cybernétiques et les dépendances complexes entre systèmes et données. Les LLM créent des préoccupations car leur comportement peut être difficile à interpréter ou à prédire. Contrairement aux logiciels traditionnels qui sont déterministes, la sortie d'une IA varie selon le contexte.

Alors que les institutions financières fonctionnent déjà sous une réglementation extensive et qu’il existe des directives générales comme le cadre de gestion des risques de l'IA du NIST, l'application de cadres généraux pertinents aux opérations des institutions financières manque de détails qui reflètent les pratiques sectorielles et les attentes réglementaires. Le FS AI RMF est positionné comme une extension du cadre du NIST, avec des contrôles spécifiques au secteur et des lignes directrices pratiques pour leur mise en œuvre.

Le Guide explique comment les entreprises peuvent évaluer leur maturité actuelle en matière d'IA et mettre en œuvre des contrôles pour limiter leur risque. Son but est de promouvoir des pratiques d'IA cohérentes et responsables et de soutenir l'innovation dans le secteur.

Structure de Base

Le FS AI RMF connecte la gouvernance de l'IA avec des processus plus larges de gouvernance, de risque et de conformité qui affectent déjà les institutions financières.

Le cadre comprend quatre composants principaux. Le premier est un questionnaire sur le stade d'adoption de l'IA qui permet aux organisations de déterminer la maturité de leur utilisation de l'IA. Le second est une matrice de risque et de contrôle, qui contient un ensemble de déclarations de risque et d'objectifs de contrôle en alignement avec les stades d'adoption. Le Guide explique comment appliquer le cadre, tandis qu'un guide de référence des objectifs de contrôle distinct fournit des exemples de contrôles et de preuves à l'appui.

Le cadre définit un total de 230 objectifs de contrôle organisés selon quatre fonctions adaptées du cadre de gestion des risques de l'IA du NIST : gouverner, cartographier, mesurer et gérer. Chaque fonction contient des catégories et sous-catégories décrivant les éléments d'une gestion et d'une gouvernance efficaces des risques liés à l'IA.

Évaluation de la Maturité de l'IA

Le questionnaire sur le stade d'adoption détermine à quel point une organisation utilise l'IA. Certaines entreprises se fient à des modèles prédictifs traditionnels en applications limitées, tandis que d'autres déploient l'IA dans les processus centraux de l'entreprise ; d'autres encore utilisent l'IA uniquement dans des rôles destinés aux clients.

Le questionnaire aide les organisations à déterminer leur position actuelle dans le spectre de l'utilisation de l'IA, en évaluant des facteurs tels que l'impact commercial de l'IA, les arrangements de gouvernance, les modèles de déploiement, l'utilisation de prestataires d'IA tiers, les objectifs organisationnels et la sensibilité des données.

Sur la base de cette évaluation, les organisations sont classées en quatre stades d'adoption de l'IA :

• Stade initial : organisations ayant peu ou pas de déploiement opérationnel d'IA. L'IA peut être envisagée mais n'est pas encore intégrée.
• Stade minimal : utilisation limitée de l'IA dans les zones à faible risque ou les systèmes isolés.
• Stade en évolution : organisations gérant des systèmes d'IA plus complexes, y compris des applications utilisant des données sensibles ou des services externes.
• Stade intégré : où l'IA joue un rôle significatif dans les opérations commerciales et la prise de décision.

Ces stades aident les institutions à concentrer leurs efforts sur des contrôles adaptés à leur niveau de maturité. Une entreprise en début de stade n'a pas besoin de mettre en œuvre immédiatement chaque contrôle, mais à mesure que l'IA devient plus intégrée, le cadre introduit des contrôles supplémentaires pour faire face à des niveaux de risque croissant.

Risque et Contrôle

Les objectifs de contrôle pour chaque stade d'adoption de l'IA traitent de sujets de gouvernance et d'exploitation tels que la gestion de la qualité des données, la surveillance de l'équité et des biais, les contrôles de cybersécurité, la transparence des processus décisionnels de l'IA et la résilience opérationnelle.

Le Guide fournit des exemples de contrôles possibles et de types de preuves que les institutions peuvent utiliser pour démontrer leur conformité. Chaque entreprise doit déterminer les contrôles qui lui conviennent le mieux.

Le cadre recommande de maintenir des procédures de réponse aux incidents spécifiques aux systèmes d'IA et de créer un dépôt central pour suivre les incidents liés à l'IA, des processus qui aideront les organisations à détecter les échecs et à améliorer la gouvernance au fil du temps.

IA Fiable

Le cadre intègre des principes pour une IA digne de confiance définis comme validité et fiabilité, sécurité, résilience, responsabilité, transparence, explicabilité, protection de la vie privée et équité. Ces principes fournissent une base pour évaluer les systèmes d'IA tout au long de leur cycle de vie. En termes simples, les institutions financières doivent s'assurer que les sorties de l'IA sont fiables, que les systèmes sont protégés contre les menaces cybernétiques, et que les décisions peuvent être expliquées lorsqu'elles affectent les clients ou ont une pertinence réglementaire.

Implications Stratégiques

Pour les dirigeants seniors des institutions financières de tout pays, le FS AI RMF offre un guide pour intégrer l'IA dans les cadres de gestion des risques existants. Il souligne la nécessité de coordination entre les différentes fonctions commerciales de l'organisation. Les équipes technologiques, les responsables des risques, les spécialistes en conformité et les unités commerciales doivent tous participer au processus de gouvernance de l'IA.

Adopter l'IA sans renforcer les structures de gouvernance peut exposer les institutions à des échecs opérationnels, à un contrôle réglementaire ou à des dommages réputationnels. Au contraire, les entreprises qui construisent des processus de gouvernance clairs seront plus confiantes dans le déploiement des systèmes d'IA.

Le Guide encadre la gestion des risques liés à l'IA comme une entité en évolution. Au fur et à mesure que les technologies de l'IA se développent et que les attentes réglementaires changent, les institutions devront mettre à jour leurs pratiques de gouvernance et leurs évaluations des risques en conséquence.

Pour les décideurs du secteur financier, le message est que l'adoption de l'IA doit progresser en accord avec la gouvernance des risques. Un cadre structuré tel que le FS AI RMF fournit un langage commun et une méthode pour gérer l'évolution.

(Source de l'image : “Law Books” par seychelles88 sous licence CC BY-NC-SA 2.0.)