Pour tirer le meilleur parti de l’intelligence artificielle sans chasser les risques, votre entreprise doit mettre en œuvre un cadre de gouvernance, de risque et de conformité (GRC) spécifique à l’IA. Voici comment développer une politique d’entreprise qui fonctionne.
L’utilisation de l’intelligence artificielle de l’entreprise comporte un large éventail de risques dans des domaines tels que la cybersécurité, la confidentialité des données, les biais et la discrimination, l’éthique et la conformité réglementaire. En tant que tels, les organisations qui créent un cadre de gouvernance, de risque et de conformité (GRC) spécifiquement pour l’IA sont les mieux placés pour tirer le meilleur parti de la technologie tout en minimisant ses risques et en garantissant une utilisation responsable et éthique.
La plupart des entreprises ont du travail à faire dans ce domaine. Une récente enquête auprès de 2 920 décideurs de l’informatique et des entreprises menées par Lenovo et le cabinet de recherche IDC a révélé que seulement 24% des organisations ont des politiques en pleine entreprise de l’AI GRC.
«Si les organisations n’ont pas déjà de plan GRC en place pour l’IA, elles devraient la prioriser», explique Jim Hundemer, CISO chez le fournisseur de logiciels d’entreprise Kalderos.
L’IA générative «est une ressource omniprésente disponible pour les employés de toutes les organisations aujourd’hui», explique Hundemer. «Les organisations doivent fournir aux employés des conseils et de la formation pour aider à protéger l’organisation contre les risques tels que la fuite de données, l’exposition d’informations confidentielles ou sensibles aux modèles d’apprentissage de l’IA public et aux hallucinations, (lorsque) la réponse rapide d’un modèle est inexacte ou incorrecte.»
Des rapports récents ont montré qu’une invite générative d’IA des employés sur 12 inclut les données sensibles de l’entreprise et que les organisations ne sont pas plus proches de la contenu des risques de données d’IA de l’ombre malgré la fourniture d’options d’IA sanctionnées.
Les organisations doivent intégrer l’IA dans leur cadre GRC – et les politiques et normes associées – et les données sont au cœur de tout cela, explique Kristina Podnar, directrice principale des politiques chez Data and Trust Alliance, un consortium d’entreprises et des dirigeants informatiques de grandes entreprises visant à promouvoir l’utilisation responsable des données et de l’IA.
«Alors que les systèmes d’IA deviennent plus omniprésents et plus puissants, il devient impératif pour les organisations d’identifier et de répondre à ces risques», explique Podnar.
Étant donné que l’IA présente des risques que les cadres traditionnels du GRC peuvent ne pas s’attaquer pleinement, tels que les biais algorithmiques et le manque de transparence et de responsabilité pour les décisions axées sur l’IA, un cadre de l’IA GRC aide les organisations à identifier, à évaluer et à atténuer les risques de Heather Clauson Haughienne, un partenaire de cofondage de CM Law, qui se concentre sur la technologie AI, la confidentialité des données, et le cybeardine de CME, qui se concentre sur la technologie AI, et le Cybersecuty, et le Cyfecury, et Cyersecule, qui se concentre sur la technologie des données, et les cyber-de la vie.
«D’autres types de risques selon lesquels un cadre AI GRC peut aider à atténuer les éléments tels que les vulnérabilités de sécurité où les systèmes d’IA peuvent être manipulés ou exposés à des violations de données, ainsi que des défaillances opérationnelles lorsque les erreurs d’IA entraînent des perturbations commerciales ou des préjudices de réputation», dit Haughian.
Par exemple, si un système d’IA financier prend des décisions erronées, cela pourrait causer un préjudice financier à grande échelle, dit Haughien. De plus, les lois liées à l’IA émergent à l’échelle mondiale, dit-elle, ce qui signifie que les organisations doivent garantir la confidentialité des données, la transparence du modèle et la non-discrimination pour rester conforme.
«Un plan de l’IA GRC permet aux entreprises de traiter de manière proactive la conformité au lieu de réagir à l’application», explique Haughian.
Connaître les défis à venir et à portée de main
Les chefs d’informatique et d’entreprise doivent comprendre que la création et le maintien d’un cadre AI GRC ne seront pas faciles.
«En tant qu’avocats, nous pouvons souvent dire aux clients quoi inclure dans des politiques comme un cadre de politique (ou) de l’IA GRC, mais de tels conseils devraient également être accompagnés de conseils pour s’assurer que les organisations comprennent les défis à laquelle ils sont susceptibles non seulement de rédiger de telles politiques, mais aussi de les mettre en œuvre», dit Haughian.
Par exemple, les avancées se produisent si rapidement avec l’IA que non seulement la rédaction mais le maintien des politiques de l’IA GRC est un défi. «Si les politiques de l’IA GRC sont trop strictes, les organisations commenceront à voir que cela étouffe l’innovation ou que certains groupes au sein de l’organisation trouveront simplement des moyens de contourner de telles politiques – ou de les ignorer», explique Haughian.
Les DSI luttent contre une telle utilisation de l’IA de l’ombre depuis la création d’une IA générative. L’établissement d’une stratégie efficace et spécifique à l’entreprise AI GRC est le moyen n ° 1 de prévenir une catastrophe d’IA de l’ombre.
Comment les organisations devraient-elles créer leur plan AI GRC, et que devrait entrer dans un tel plan? Voici ce que les experts suggèrent.
Construire une structure de gouvernance avec responsabilité
La plupart des organisations ne parviennent pas à établir une structure de gouvernance bien définie pour l’IA, Data and Trust Alliance Podnar. «Évaluer le plan / cadre GRC existant et déterminer s’il peut être étendu ou modifié sur la base de l’IA devrait être la première considération pour toute organisation», dit-il.
Sans rôles et responsabilités clairs, par exemple, qui propriétaire des décisions, les risques organisationnels seront mal alignés par les déploiements d’IA et les résultats seront des risques de marque ou de réputation, les violations réglementaires et l’incapacité de profiter des opportunités offertes par AI, dit Podnar.
«Lorsque les organisations choisissent de placer la responsabilité et l’autorité déléguée dépend de l’organisation et de sa culture», explique Podnar. «Il n’y a pas de bonne ou de mauvaise réponse à l’échelle mondiale, mais il y a une bonne et une mauvaise réponse pour votre organisation.»
L’intégration du contrôle des politiques et de la responsabilité dans un cadre de l’IA GRC «définirait essentiellement les rôles et responsabilités pour la gouvernance de l’IA et établirait des mécanismes d’application et de responsabilité des politiques, garantissant ainsi qu’il existe une propriété et une surveillance claires des initiatives de l’IA et que les individus sont tenus responsables de leurs actions», dit Haughian.
Un plan complet de l’IA GRC peut aider à garantir que les systèmes d’IA sont explicables et compréhensibles, «ce qui est essentiel à la confiance et à l’adoption (et) quelque chose qui commence à être un grand obstacle dans de nombreuses organisations», a déclaré Haughian.
Faire de la gouvernance de l’IA un effort d’équipe
L’IA traverse pratiquement toutes les facettes de l’entreprise, de sorte que le cadre GRC devrait inclure les contributions d’un large éventail de participants.
«Nous commençons généralement par l’identification et l’inclusion des parties prenantes en engageant un groupe diversifié de sponsors, de dirigeants, d’utilisateurs et d’experts», a déclaré Ricardo Madan, vice-président directeur et responsable des services mondiaux chez le fournisseur de services informatiques Teksystems.
Cela inclut l’informatique, juridique, les ressources humaines, la conformité et les secteurs d’activité. «Cela garantit une approche holistique et unifiée pour hiérarchiser les questions de gouvernance, les objectifs et les problèmes de création de cadre», explique Madan. «À ce stade, nous construisons ou ratifions également les valeurs d’IA et les normes éthiques de l’organisation. À partir de là, nous avons établi le plan et la cadence pour une rétroaction continue, une amélioration itérative et un suivi des progrès contre ces priorités.»
Ce processus prend en compte l’évolution des changements réglementaires, les progrès des fonctionnalités de l’IA, les informations émergentes des données et l’innovation en cours d’IA, dit Madan.
Créer un profil de risque d’IA
Les entreprises doivent créer un profil de risque, avec une compréhension de l’appétit des risques de l’organisation, quelles informations sont sensibles à l’organisation et les conséquences de l’exposition sensible à l’information aux modèles d’apprentissage public, dit Hundemer.
Les dirigeants de la technologie peuvent travailler avec les hauts dirigeants d’entreprise pour déterminer l’appétit des risques approprié (risque vs récompense) pour l’entreprise et ses effectifs, dit Hundemer.
Détaler comment l’organisation identifie, évalue et atténue les risques liés à l’IA, y compris la conformité réglementaire, «devient si important car il aide l’organisation à rester en avance sur les responsabilités juridiques et financières potentielles et assure l’alignement avec les réglementations pertinentes», dit Haughien.
Incorporer les principes et directives éthiques
Les DSI ont été confrontés à l’éthique de la mise en œuvre de l’IA aux côtés de pressions pour bien faire la technologie récemment. La nécessité d’incorporer des principes éthiques dans l’IA GRC ne peut pas être suffisamment souligné, car l’IA introduit toutes sortes de risques liés à l’utilisation contraire à l’éthique qui peuvent causer des ennuis aux entreprises.
Cette section du plan GRC «devrait définir la position éthique de l’organisation sur l’IA, couvrant des domaines tels que l’équité, la transparence, la responsabilité, la vie privée et la surveillance humaine», explique Haugian. «Cette pratique établira une boussole morale pour le développement et le déploiement de l’IA, empêchant les dommages involontaires et la confiance.»
Un exemple de ceci est d’avoir une politique indiquant que les systèmes d’IA doivent être conçus pour éviter de perpétuer ou d’amplifier les biais existants, avec des audits réguliers pour l’équité, dit Haughian. Une autre consiste à s’assurer que toutes les décisions axées sur l’IA, en particulier celles qui ont un impact important sur la vie des gens, sont explicables.
Incorporer la gouvernance des modèles d’IA
La gouvernance des modèles et la gestion du cycle de vie sont également des éléments clés d’une stratégie efficace de l’IA GRC, explique Haughian. «Cela couvrirait l’ensemble du cycle de vie du modèle d’IA, de l’acquisition de données et du développement du modèle au déploiement, à la surveillance et à la retraite», dit-elle.
Cette pratique aidera à garantir que les modèles d’IA sont fiables, précis et effectués de manière cohérente comme prévu, les risques atténuants associés à la dérive ou aux erreurs du modèle, explique Haughian.
Quelques exemples de cela consisteraient à établir des procédures claires pour la validation des données, les tests de modèle et la surveillance des performances; créer un système de contrôle de version pour les modèles d’IA et enregistrer toutes les modifications apportées à ces modèles; et la mise en œuvre d’un système pour le recyclage périodique du modèle, pour s’assurer que le modèle reste pertinent.
Rendre les politiques d’IA claires et exécutoires
De bonnes politiques équilibrent les risques et les opportunités que l’IA et d’autres technologies émergentes, y compris celles nécessitant des données massives, peuvent fournir, dit Podnar.
«La plupart des organisations ne documentent pas leurs frontières délibérées via la politique», explique Podnar. Cela laisse beaucoup d’employés mettre l’organisation en danger lorsqu’ils compensent leurs propres règles, ou cela les menott en innovant et en créant de nouveaux produits et services en raison de la perception qu’ils doivent toujours le demander avant de procéder, dit-elle.
«Les organisations doivent définir des politiques claires couvrant la responsabilité, l’explication, la responsabilité, les pratiques de gestion des données liées à la confidentialité et à la sécurité et à d’autres aspects des risques et des opportunités opérationnels», explique Podnar.
Parce que tous les risques et tous les industries ne sont pas égaux, les organisations doivent se concentrer sur leur propre tolérance pour les risques avec les objectifs commerciaux que l’IA est destiné à satisfaire, dit Podnar. Les politiques doivent avoir des mécanismes d’application qui sont compris par les utilisateurs.
Obtenez des commentaires et faites des raffinements
Il est important de communiquer les directives de l’IA à l’ensemble de l’organisation – et de demander des commentaires pour améliorer les politiques de manière continue pour mieux répondre aux besoins des utilisateurs.
(Voir aussi: «10 choses que vous devriez inclure dans votre politique d’IA»)
TekSystems documente et rapporte constamment des tests sur l’utilisation de l’IA, les performances et les frameworks basés sur les commentaires des utilisateurs, dit Madan. «Cela fait partie de notre engagement continu envers le raffinement, la préparation à l’audit et l’assurance», dit-il.
«Étant donné que les modèles d’IA changent au fil du temps et nécessitent une surveillance continue, un processus de gouvernance solide doit être en place pour garantir que l’IA reste efficace et conforme tout au long de son cycle de vie», explique Podnar. «Cela peut impliquer d’évaluer et d’utiliser des protocoles de validation et de surveillance du modèle, (et) de la création de règles automatisées avec des alertes pour le moment où les choses sortent du chemin prévu.»
