Le rôle de la standardisation dans la gestion des risques liés à l’IA
Alors que l’IA transforme Singapour et le reste du monde, les organisations doivent relever de nombreux défis en matière de gestion des risques que cette technologie révolutionnaire engendre. Les entreprises et les organisations ne sont pas les seules à se concentrer sur ce sujet; les régulateurs et les gouvernements élaborent également des cadres de gouvernance de l’IA pour traiter les risques spécifiques rencontrés dans leur juridiction ou leur secteur.
Par exemple, l’Observatoire des politiques de l’IA de l’OCDE suit plus de 1 000 initiatives politiques en matière d’IA provenant de 69 pays, territoires et de l’UE. Nous avons également observé des approches divergentes concernant l’étendue de la portée réglementaire dans la gouvernance des risques potentiels de l’IA.
Indépendamment des mesures réglementaires, les risques liés à l’IA sont inévitables. Par conséquent, une approche standardisée qui incorpore un consensus mondial est utile pour fournir des orientations aux organisations cherchant à équilibrer innovation et agilité avec une bonne gestion des risques.
La matrice des risques liés à l’IA : pourquoi tout cela n’est pas nouveau
L’IA et les logiciels traditionnels partagent de nombreuses pratiques de gestion des risques, telles que les cycles de développement et l’hébergement de la pile technologique. Cependant, l’imprévisibilité de l’IA et sa dépendance aux données introduisent des risques uniques, en plus de la gestion des risques liés à la technologie existante.
Tout d’abord, avec la montée de l’IA générative, un nombre croissant de personnes adoptent et utilisent cette technologie, augmentant ainsi la surface d’attaque et les expositions aux risques. Deuxièmement, à mesure que les modèles d’IA générative intègrent davantage de données d’entreprise, les risques de divulgation accidentelle d’informations augmentent, en particulier lorsque les contrôles d’accès n’ont pas été correctement mis en œuvre. Troisièmement, l’IA comporte des risques dans des domaines tels que la vie privée, l’équité, l’explicabilité et la transparence.
Trouver l’équilibre à une époque de changement constant
En ce qui concerne les défis, peut-être le plus grand est le fait que l’IA évolue si rapidement que la gestion des risques doit être considérée comme une cible mouvante. Cela met les organisations dans une situation délicate : ne pas adopter l’IA suffisamment rapidement signifie qu’elles prennent du retard par rapport à leurs concurrents ; aller trop vite pourrait les exposer à des pièges éthiques, juridiques et opérationnels.
L’équilibre à trouver est donc délicat — et cela s’applique non seulement aux grandes entreprises mais également aux sociétés de toutes tailles dans chaque secteur, où le déploiement de l’IA dans les opérations commerciales essentielles devient courant. Comment, alors, les organisations peuvent-elles mieux gérer les risques sans ralentir l’innovation ou être trop prescriptives ?
C’est ici que les efforts de standardisation, tels que l’ISO/IEC 42001:2023, fournissent des orientations aux organisations pour établir, mettre en œuvre, maintenir et améliorer en continu un Système de gestion de l’intelligence artificielle (AIMS). Développé par le sous-comité pour les normes d’IA de l’ISO/IEC JTC 1/SC 42, qui compte 45 nations membres participantes, il représente un consensus mondial et offre aux organisations une approche structurée pour gérer les risques associés au déploiement de l’IA.
Plutôt que d’être étroitement couplée à une mise en œuvre technologique spécifique, cette orientation met l’accent sur l’établissement d’un ton fort venant du sommet et sur la mise en œuvre d’un processus continu d’évaluation et d’amélioration des risques — s’alignant sur le modèle Plan-Do-Check-Act pour favoriser une gestion des risques itérative et à long terme plutôt qu’une conformité ponctuelle. Cela fournit le cadre nécessaire aux organisations pour bâtir les composants de gestion des risques nécessaires, tenant compte de l’échelle et de la complexité de leurs mises en œuvre.
Étant une norme certifiable, l’ISO/IEC 42001:2023 est également vérifiable. Les organisations peuvent être formellement certifiées ou simplement s’y conformer comme meilleure pratique. Dans tous les cas, la certification ou l’alignement aide les organisations à démontrer à leurs parties prenantes leurs efforts continus pour gérer les risques associés à l’adoption ou au développement de solutions d’IA.
Standardisation : le remède aux douleurs de l’IA
Suivre une norme comme l’ISO 42001 est également bénéfique pour d’autres raisons. Son approche aide à traiter la fragmentation de l’adoption de l’IA au sein des entreprises, où elle avait auparavant été isolée au sein des équipes de science des données. L’adoption généralisée des solutions d’IA générative a entraîné une dispersion des mises en œuvre qui met les entreprises sous pression pour gérer leurs risques liés à l’IA à une échelle beaucoup plus large.
Avec cela viennent trois points de douleur significatifs : un manque de responsabilité claire pour la dépendance aux décisions prises par l’IA ; la nécessité d’équilibrer rapidité et prudence ; et, pour les entreprises ayant des opérations transfrontalières, les défis liés à la navigation dans des orientations fragmentées de différents régulateurs.
Encore une fois, une approche standardisée fonctionne le mieux. Le cadre unifié et reconnu internationalement de l’ISO 42001 pour la gouvernance de l’IA, par exemple, s’attaque à ces problèmes. Il établit des structures de responsabilité claires et — au lieu de dicter l’utilisation de technologies spécifiques ou d’étapes de conformité — offre des principes directeurs que les organisations peuvent suivre lors de l’établissement d’un programme de gestion des risques liés à l’IA. Cette approche basée sur des principes évite également deux préoccupations clés concernant la gestion des risques de l’IA : qu’elle freinera l’innovation et que des normes trop prescriptives deviendront rapidement obsolètes.
Dans un monde où l’IA devient de plus en plus intégrée dans le tissu des affaires, les organisations doivent s’assurer qu’elles sont prêtes à gérer ses risques. En standardisant leur approche, elles peuvent se positionner pour naviguer plus facilement dans les futures réglementations sur l’IA, atténuer les risques de conformité et innover de manière responsable. Ainsi, l’IA peut rester une force pour le bien — tant pour les organisations elles-mêmes que pour la société dans son ensemble.
