Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous aide à établir un processus organisationnel pour la gouvernance de l’IA. Vous utilisez ces conseils pour intégrer la gestion des risques ia à vos stratégies de gestion des risques plus larges, en créant une approche unifiée de l’IA, de la cybersécurité et de la gouvernance de la confidentialité. Le processus suit le NIST Artificial Intelligence Risk Management Framework (AI RMF) et le Playbook NIST AI RMF. Les instructions s’alignent sur le cadre dans CAF Govern.
Évaluer les risques organisationnels liés à l’IA
L’évaluation des risques d’IA identifie les risques potentiels que les technologies IA introduisent dans votre organisation. Cette évaluation génère une confiance dans les systèmes IA et réduit les conséquences inattendues. Vous devez effectuer des évaluations approfondies des risques pour garantir que les déploiements d’IA s’alignent sur les valeurs de votre organisation, la tolérance aux risques et les objectifs opérationnels. Voici comment procéder :
Comprendre vos charges de travail en intelligence artificielle. Chaque charge de travail IA présente des risques uniques en fonction de son objectif, de son étendue et de son implémentation. Vous devez clarifier la fonction, les sources de données et les résultats prévus pour chaque charge de travail IA afin de mapper efficacement les risques associés. Documentez toutes les hypothèses et limitations relatives à chaque charge de travail IA afin d’établir des limites claires pour l’évaluation des risques.
Utiliser les principes d’IA responsable pour identifier les risques Les principes de l’IA responsable fournissent un cadre structuré pour l’évaluation complète des risques. Vous devez évaluer chaque charge de travail IA par rapport à ces principes pour identifier les vulnérabilités potentielles et les préoccupations éthiques. Utilisez le tableau suivant pour guider votre processus d’identification des risques :
Principe de l’IA responsable Définition Question d’évaluation des risques Confidentialité et sécurité de l’IA Les charges de travail IA doivent respecter la confidentialité et être sécurisées. Comment les charges de travail IA pourraient-elles gérer des données sensibles ou devenir vulnérables aux failles de sécurité ? Sécurité et fiabilité Les charges de travail IA doivent fonctionner de manière sûre et fiable. Dans quelles situations les charges de travail IA pourraient-elles ne pas fonctionner en toute sécurité ou produire des résultats non fiables ? Équité Les charges de travail IA doivent traiter les personnes de manière équitable. Comment les charges de travail IA pourraient-elles entraîner un traitement inégal ou un biais involontaire dans la prise de décision ? Inclusivité Les charges de travail IA doivent être inclusives et valorisantes. Comment certains groupes pourraient-ils être exclus ou désavantagés lors de la conception ou du déploiement des charges de travail IA ? Transparence Les charges de travail IA doivent être compréhensibles. Quels aspects de la prise de décision de l’IA pourraient être difficiles à comprendre ou à expliquer pour les utilisateurs ? Responsabilité Les personnes doivent être responsables des charges de travail IA. Dans quels cas la responsabilité pourrait-elle être floue ou difficile à établir dans le développement ou l’utilisation de l’IA ? Identifiez des risques spécifiques liés à l’IA. L’identification des risques nécessite une évaluation systématique des vulnérabilités de sécurité, opérationnelles et éthiques. Vous devez évaluer les violations de données potentielles, l’accès non autorisé, la manipulation de modèle et les scénarios d’utilisation abusive pour chaque charge de travail IA. Consultez les parties prenantes de différents services pour découvrir les risques que les équipes techniques peuvent ignorer et évaluer à la fois les impacts quantitatifs (pertes financières, dégradation des performances) et les impacts qualitatifs (dommages de réputation, confiance des utilisateurs) pour déterminer la tolérance aux risques de votre organisation.
Identifiez les risques provenant des dépendances externes. Les dépendances externes introduisent des vecteurs de risque supplémentaires qui nécessitent une évaluation minutieuse. Vous devez évaluer les risques liés aux sources de données tierces, aux modèles IA, aux bibliothèques de logiciels et aux intégrations d’API dont dépendent vos charges de travail IA. Résolvez les problèmes potentiels tels que les vulnérabilités de sécurité, les problèmes de qualité des données, les biais dans les jeux de données externes, les conflits de propriété intellectuelle et la fiabilité des fournisseurs en établissant des stratégies claires qui garantissent que les dépendances externes s’alignent sur la confidentialité, la sécurité et les normes de conformité de votre organisation.
Évaluez les risques d’intégration. Les charges de travail IA fonctionnent rarement de manière isolée et créent de nouveaux risques lorsqu’elles sont intégrées à des systèmes existants. Vous devez évaluer la façon dont les charges de travail IA se connectent aux applications, bases de données et processus métier actuels pour identifier les points d’échec potentiels. Documentez des risques spécifiques susceptibles de compromettre la fonctionnalité système globale, par exemple :
- Cascades de dépendances où l’échec de l’IA affecte plusieurs systèmes
- Complexité accrue du système qui rend la résolution des problèmes difficile
- Incompatibilités de format de données
- Goulots d’étranglement des performances
- Lacunes de sécurité aux points d’intégration
Documenter les stratégies de gouvernance en IA
Les politiques de gouvernance de l'IA fournissent un cadre structuré pour une utilisation responsable de l’IA au sein de votre organisation. Ces politiques alignent les activités de l’IA sur les normes éthiques, les exigences réglementaires et les objectifs commerciaux. Vous devez documenter des stratégies qui répondent aux risques d’IA identifiés en fonction de la tolérance aux risques de votre organisation. Voici des exemples de stratégie de gouvernance IA :
| Domaine des politiques de gouvernance de l’IA | Recommandations pour les politiques de gouvernance de l’IA |
|---|---|
| Définissez des politiques pour la sélection et l’intégration des modèles | ▪ Établissez des politiques pour la sélection des modèles IA. Les politiques devraient définir des critères pour choisir des modèles en adéquation avec les valeurs, les capacités et les contraintes de coûts de l’organisation. Examinez les modèles potentiels pour s’assurer qu’ils correspondent à la tolérance aux risques et aux exigences de la tâche prévue. ▪ Intégrez de nouveaux modèles avec des politiques structurées. Un processus formel d’intégration de modèles garantit la cohérence dans la justification, la validation et l’approbation des modèles. Utilisez des environnements de bac à sable pour les premières expérimentations, puis validez et examinez les modèles dans le catalogue de production pour éviter les duplications. |
| Définissez des politiques pour l’utilisation des outils et des données tiers | ▪ Fixez des contrôles pour les outils tiers. Un processus de vérification des outils tiers permet de prévenir les risques de sécurité, de conformité et d’alignement. Les politiques devraient inclure des lignes directrices sur la confidentialité des données, la sécurité et les normes éthiques lors de l’utilisation de jeux de données externes. ▪ Définissez des normes de sensibilité des données. Il est essentiel de séparer les données sensibles et publiques pour atténuer les risques de l’IA. Établissez des politiques de gestion et de séparation des données. ▪ Définissez des normes de qualité des données. Un « jeu de données de référence » fournit une base fiable pour les tests et évaluations des modèles IA. Établissez des politiques claires pour garantir la cohérence et la qualité des données afin d’assurer des performances élevées et des résultats de confiance. |
| Définissez des politiques pour le maintien et la surveillance des modèles | ▪ Spécifiez la fréquence de ré-entraînement selon les cas d’usage. Un ré-entraînement fréquent garantit la précision pour les charges de travail IA à haut risque. Définissez des lignes directrices prenant en compte le cas d’usage et le niveau de risque de chaque modèle, notamment dans des secteurs comme la santé et la finance. ▪ Surveillez la dégradation des performances. La surveillance continue des performances des modèles permet de détecter les problèmes avant qu’ils n’affectent les résultats. Documentez les benchmarks et, si les performances d’un modèle diminuent, lancez un processus de réentraînement ou de révision. |
| Définissez des politiques pour la conformité réglementaire | ▪ Respectez les exigences légales régionales. La compréhension des lois régionales garantit que les opérations IA restent conformes aux normes locales. Identifiez les réglementations applicables à chaque région de déploiement, telles que les lois sur la confidentialité des données, les normes éthiques et les règlements industriels. ▪ Développez des politiques spécifiques par région. L’adaptation des politiques IA aux considérations régionales permet de se conformer aux normes locales. Les politiques pourraient inclure le support linguistique, les protocoles de stockage des données et les adaptations culturelles. ▪ Adaptez l’IA à la variabilité régionale. La flexibilité des charges de travail IA permet des ajustements fonctionnels spécifiques à chaque lieu. Pour les opérations globales, documentez les adaptations spécifiques à la région, comme les données d’entraînement localisées et les restrictions de fonctionnalités. |
| Définissez des politiques pour la conduite des utilisateurs | ▪ Définissez des stratégies de réduction des risques liés à un usage abusif. Les politiques de prévention des usages abusifs contribuent à protéger contre les dommages intentionnels ou accidentels. Identifiez des scénarios possibles d’utilisation abusive et intégrez des contrôles, tels que des fonctionnalités restreintes ou des mécanismes de détection des abus. ▪ Établissez des directives de conduite des utilisateurs. Les accords d’utilisation clarifient les comportements acceptables lors de l’interaction avec la charge de travail IA, réduisant ainsi le risque d’abus. Rédigez des conditions d’utilisation claires pour communiquer les normes et soutenir une interaction responsable avec l’IA. |
| Définissez des politiques pour l’intégration et le remplacement de l’IA | ▪ Définissez des politiques d’intégration. Les lignes directrices d’intégration garantissent que les charges de travail IA maintiennent l’intégrité et la sécurité des données lors de l’interfaçage avec d’autres charges de travail. Spécifiez les exigences techniques, les protocoles de partage de données et les mesures de sécurité. ▪ Préparez la transition et le remplacement. Les politiques de transition fournissent une structure lors du remplacement des anciens processus par les charges de travail IA. Définissez les étapes pour éliminer progressivement les processus existants, former le personnel et surveiller les performances tout au long du changement. |
Appliquer les stratégies de gouvernance de l’IA
L’application de vos stratégies de gouvernance d’IA maintient des pratiques d’IA cohérentes et éthiques au sein de votre organisation. Vous devez utiliser des outils automatisés et des interventions manuelles pour garantir l’adhésion à la stratégie dans tous les déploiements d’IA. Voici comment procéder :
Automatisez l’application des stratégies si possible. L’application automatisée réduit les erreurs humaines et garantit une application de stratégie cohérente dans tous les déploiements d’IA. Automatisation fournit une surveillance en temps réel et une réponse immédiate aux violations de politique, que les processus manuels ne sont pas capables de gérer efficacement. Utilisez des plateformes telles que Azure Policy et Microsoft Purview pour appliquer automatiquement des stratégies dans les déploiements d’IA et évaluer régulièrement des domaines où l’automatisation peut améliorer l’adhésion aux stratégies.
Appliquez manuellement des stratégies IA où l’automatisation est insuffisante. L’application manuelle traite des scénarios complexes qui nécessitent un jugement humain et fournit une formation essentielle pour la sensibilisation aux politiques. La supervision humaine garantit que les stratégies s’adaptent à des situations uniques et conservent la compréhension organisationnelle des principes de gouvernance de l’IA. Fournissez aux employés une formation sur les risques et la conformité de l’IA pour s’assurer qu’ils comprennent leur rôle dans la gouvernance de l’IA, organisent des ateliers réguliers afin de maintenir le personnel mis à jour sur les stratégies d’IA et effectuent des audits périodiques pour surveiller l’adhésion et identifier les domaines d’amélioration.
Utilisez des conseils de gouvernance spécifiques à la charge de travail pour l’application ciblée. Les conseils spécifiques à la charge de travail répondent aux exigences de sécurité et de conformité uniques pour différents modèles de déploiement IA. Cette approche garantit que les stratégies s’alignent sur l’architecture technique et le profil de risque de chaque type de charge de travail IA. Utilisez des conseils de sécurité détaillés disponibles pour les charges de travail IA sur les services de plateforme Azure (PaaS) et l’infrastructure Azure (IaaS) pour régir les modèles, ressources et données IA au sein de ces types de charge de travail.
Surveiller les risques organisationnels associés
La surveillance des risques identifie les menaces émergentes et garantit que les charges de travail IA fonctionnent comme prévu. L’évaluation continue maintient la fiabilité du système et empêche les impacts négatifs. Vous devez établir une surveillance systématique pour s’adapter aux conditions en constante évolution et résoudre les risques avant qu’ils n’affectent les opérations. Voici comment procéder :
Établissez des procédures pour l’évaluation continue des risques. Les évaluations régulières des risques permettent de détecter rapidement les menaces émergentes et la dégradation du système. Vous devez créer des processus de révision structurés qui impliquent les parties prenantes de l’ensemble de votre organisation afin d’évaluer les impacts plus larges de l’IA et de maintenir une prise de conscience complète des risques. Planifiez des évaluations trimestrielles des risques pour les charges de travail ia à haut risque et des évaluations annuelles pour les systèmes à faible risque et développez des plans de réponse qui décrivent des actions spécifiques pour différents scénarios de risque afin d’activer une atténuation rapide en cas de problèmes.
Développez un plan de mesure complet. Un plan de mesure structuré garantit une collecte et une analyse cohérentes des données sur toutes les charges de travail IA. Vous devez définir des méthodes de collecte de données claires qui combinent la journalisation automatisée pour les métriques opérationnelles avec des enquêtes et des entrevues pour obtenir des commentaires qualitatifs des utilisateurs et des parties prenantes. Établissez la fréquence de mesure en fonction des niveaux de risque de charge de travail, concentrez les efforts de surveillance sur les zones à haut risque et créez des boucles de commentaires qui utilisent les résultats de mesure pour affiner les évaluations des risques et améliorer les processus de surveillance.
Quantifier et qualifier systématiquement les risques d’IA. La mesure équilibrée des risques nécessite des métriques quantitatives et des indicateurs qualitatifs qui s’alignent sur l’objectif et le profil de risque spécifiques de chaque charge de travail. Vous devez sélectionner des mesures quantitatives appropriées, telles que les taux d’erreur, les scores de précision et les benchmarks de performances, ainsi que des indicateurs qualitatifs, notamment les commentaires des utilisateurs, les préoccupations éthiques et la satisfaction des parties prenantes. Référencez les performances par rapport aux normes du secteur et aux exigences réglementaires pour suivre la fiabilité, l’efficacité et la conformité de l’IA au fil du temps.
Documenter et signaler les résultats de mesure de manière cohérente. La documentation systématique et la création de rapports améliorent la transparence et prennent en charge les décisions éclairées au sein de votre organisation. Vous devez créer des rapports standardisés qui résument les métriques clés, les résultats significatifs et toutes les anomalies détectées pendant les activités de surveillance. Partagez ces informations avec les parties prenantes pertinentes grâce à des exposés réguliers et utilisez les résultats pour affiner les stratégies d’atténuation des risques, mettre à jour les stratégies de gouvernance et améliorer les futurs déploiements d’IA.
Établissez des processus d’examen indépendants. Les examens indépendants fournissent des évaluations objectives que les équipes internes peuvent manquer en raison d’une familiarité ou d’un biais. Vous devez implémenter des révisions indépendantes régulières à l’aide d’auditeurs externes ou de réviseurs internes non impliqués qui peuvent évaluer objectivement les risques liés à l’IA et la conformité. Utilisez les résultats de révision pour identifier les points aveugles dans vos évaluations des risques, renforcer les stratégies de gouvernance et valider l’efficacité de vos approches de surveillance actuelles.
Étape suivante
Exemples d’atténuation des risques IA
Le tableau suivant répertorie quelques risques courants liés à l’IA et propose une stratégie d’atténuation et une politique type pour chacun. Le tableau ne présente pas un ensemble complet de risques.
| ID de risque | Risque IA | Atténuation | Policy |
|---|---|---|---|
| R001 | Non-conformité aux lois de protection des données | Utilisez Gestionnaire de conformité Microsoft Purview pour évaluer la conformité des données. | Le cycle de vie de développement de la sécurité doit être mis en œuvre pour garantir que tout développement et déploiement IA soit conforme aux lois de protection des données. |
| R005 | Manque de transparence dans la prise de décision de l’IA | Appliquez un cadre standardisé et un langage pour améliorer la transparence des processus et de la prise de décision IA. | Le cadre de gestion des risques IA de la NIST doit être adopté, et tous les modèles IA doivent être documentés pour maintenir la transparence. |
| R006 | Prédictions inexactes | Utilisez Gestion des API Azure pour suivre les métriques du modèle IA pour garantir la précision et la fiabilité. | La surveillance continue des performances et le retour d’utilisateur doivent être utilisés pour garantir la précision des prédictions des modèles IA. |
| R007 | Attaque par adversaire | Utilisez PyRIT pour tester les charges de travail IA en cas de vulnérabilités et renforcer les défenses. | Le cycle de vie de développement de la sécurité et les tests par une équipe rouge IA doivent être utilisés pour sécuriser les charges de travail IA contre les attaques adverses. |
| R008 | Menaces internes | Utilisez Microsoft Entra ID pour appliquer des contrôles d’accès stricts basés sur des rôles et des appartenances aux groupes pour limiter l’accès interne aux données sensibles. | Une gestion stricte de l’identité et des accès et une surveillance continue doivent être utilisées pour atténuer les menaces internes. |
| R009 | Coûts inattendus | Utilisez Microsoft Cost Management pour suivre l’utilisation du processeur, du GPU, de la mémoire et du stockage pour garantir une utilisation efficace des ressources et éviter les pics de coûts. | La surveillance et l’optimisation de l’utilisation des ressources et la détection automatisée des dépassements de coûts doivent être utilisées pour gérer les coûts inattendus. |
| R010 | Sous-utilisation des ressources IA | Surveillez les indicateurs de service IA, tels que les taux de requêtes et les temps de réponse, pour optimiser l’utilisation. | Les indicateurs de performance et l’évolutivité automatisée doivent être utilisés pour optimiser l’utilisation des ressources IA. |