Les CISO se retrouvent à un point de pincement qui doivent gérer les risques d’IA tout en soutenant l’innovation organisationnelle. La voie à suivre consiste à adapter les cadres GRC.
Étant donné que les entreprises intègrent la cybersécurité dans la gouvernance, le risque et la conformité (GRC), il est important de revoir les programmes GRC existants pour garantir que l’utilisation croissante et les risques de l’IA générative et d’agence sont abordés afin que les entreprises continuent de répondre aux exigences réglementaires.
«(AI) C’est une technologie extrêmement perturbatrice en ce que ce n’est pas quelque chose que vous pouvez mettre dans une boîte et dire« bien c’est AI »», explique Jamie Norton, membre du conseil d’administration de l’ISACA et CISO avec l’Australian Securities and Investment Commission (ASIC).
Il est difficile de quantifier le risque d’IA, mais des données sur la façon dont l’adoption de l’IA se développe et transforme la surface du risque d’une organisation fournit un indice. Selon le rapport de sécurité de l’IA 2025 de Check Point, 1 invite sur 80 sur 80 (1,25%) envoyée aux services d’IA génératifs à partir de dispositifs d’entreprise présentant un risque élevé de fuite de données sensibles.
L’IA n’est pas un risque typique, alors comment les cadres GRC aident-ils?
La gouvernance, le risque et la conformité sont un concept qui est originaire du groupe de conformité ouverte et d’éthique (OCEG) au début des années 2000 comme moyen de définir un ensemble de capacités critiques pour lutter contre l’incertitude, agir avec intégrité et assurer la conformité pour soutenir les objectifs organisationnels. Depuis lors, le GRC s’est développé à partir de règles et de listes de contrôle axées sur la conformité à une approche plus large de la gestion des risques. Les exigences de protection des données, le paysage réglementaire croissant, les efforts de transformation numérique et l’orientation au niveau du conseil ont entraîné ce changement de GRC.
Dans le même temps, la cybersécurité est devenue un risque de base d’entreprise et les CISO ont contribué à garantir la conformité aux exigences réglementaires et à établir des cadres de gouvernance efficaces. Maintenant que l’IA se développe, il est nécessaire d’incorporer cette nouvelle catégorie de risque dans les cadres GRC.
Cependant, les enquêtes sur l’industrie suggèrent qu’il y a encore un long chemin à parcourir pour les garde-corps pour rattraper l’IA. Selon le livre de jeu CIO de Lenovo CIO entièrement appliqué. Dans le même temps, la gouvernance et la conformité de l’IA sont la priorité numéro un, selon le rapport.
La recherche sur l’industrie suggère que les CISO devront aider à renforcer la gestion des risques d’IA comme une question d’urgence, motivée par la faim du leadership à réaliser un certain paiement sans déplacer le dial-dial à risque.
Les CISO sont dans une situation difficile car ils ont un double mandat pour augmenter la productivité et tirer parti de cette puissante technologie émergente, tout en maintenant les obligations de gouvernance, de risque et de conformité, selon Rich Marcus, CISO à Auditboard. «On leur demande de tirer parti de l’IA ou d’aider à accélérer l’adoption de l’IA dans les organisations pour réaliser des gains de productivité. Mais ne laissez pas être quelque chose qui tue l’entreprise si nous le faisons mal», explique Marcus.
Pour soutenir l’adoption des risques de l’IA, les conseils de Marcus sont les CISO pour éviter d’aller seuls et favoriser une large confiance et l’adhésion à la gestion des risques dans toute l’organisation. « La chose vraiment importante de réussir avec la gestion des risques d’IA est d’approcher la situation avec un état d’esprit collaboratif et de diffuser le message aux gens que nous sommes tous ensemble et que vous n’êtes pas là pour les ralentir. »
Cette approche devrait aider à encourager la transparence sur la façon et la façon dont l’IA est utilisée dans toute l’organisation. Les chefs de cybersécurité doivent essayer d’obtenir une visibilité en établissant un processus de sécurité sur le plan opérationnel qui capturera où l’IA est actuellement utilisée ou lorsqu’il y a une demande émergente pour une nouvelle IA, explique Norton.
«Chaque produit que vous avez de nos jours a une IA et il n’y a pas un seul forum de gouvernance qui reprend le tout à travers le spectre de différentes formes (de l’IA)», dit-il.
Norton suggère que les CISO développent des approches stratégiques et tactiques pour définir les différents types d’outils d’IA, capturer les risques relatifs et équilibrer le remboursement potentiel de la productivité et de l’innovation. Des mesures tactiques telles que les processus sécurisés par la conception, les processus de changement, les programmes de découverte d’IA de l’ombre ou l’inventaire et la classification d’IA basés sur les risques sont des moyens pratiques de gérer les petits outils d’IA. «Où vous avez plus d’IA quotidienne – ce peu d’IA assis dans un produit ou une plate-forme SaaS, qui se développe partout – cela pourrait être géré par une approche tactique qui identifie ce qui (les éléments) a besoin de surveillance», explique Norton.
L’approche stratégique s’applique aux grands changements d’IA qui sont réalisés avec des outils majeurs tels que Microsoft Copilot et Chatgpt. La sécurisation de ces outils d’IA « Big Ticket ‘à l’aide des forums de surveillance de l’IA interne est quelque peu plus facile que de sécuriser la pléthore d’autres outils qui ajoutent l’IA.
Les CISO peuvent ensuite concentrer leurs ressources sur les risques les plus à impact d’une manière qui ne crée pas de processus qui sont utiles ou inquiets. «L’idée n’est pas de s’enliser cela afin qu’il soit presque impossible d’obtenir quoi que ce soit, car les organisations veulent généralement se déplacer rapidement. Donc, c’est plus un processus relativement léger qui applique cette considération (de risque) de permettre l’IA ou d’être utilisé pour l’empêcher s’il est risqué», explique Norton.
En fin de compte, la tâche consiste à appliquer un objectif de sécurité à l’IA en utilisant la gouvernance et le risque dans le cadre du cadre GRC plus large de l’organisation. «De nombreuses organisations auront un directeur des risques ou une personne de cette nature qui possède le risque plus large dans l’environnement, mais la sécurité devrait avoir un siège à la table», explique Norton. «Ces jours-ci, il ne s’agit plus de CISOS qui disent« oui »ou« non ». Il s’agit davantage de nous assurer la visibilité des risques liés à faire certaines choses, puis de permettre à l’organisation et aux cadres supérieurs de prendre des décisions concernant ces risques.»
Adapter les cadres existants avec des contrôles des risques d’IA
Les risques de l’IA comprennent la sécurité des données, l’utilisation abusive des outils d’IA, les considérations de confidentialité, l’IA de l’ombre, les préjugés et les considérations éthiques, les hallucinations et la validation des résultats, les problèmes juridiques et de réputation, et la gouvernance des modèles pour n’en nommer que quelques-uns.
Les risques liés à l’IA devraient être établis comme une catégorie distincte au sein du portefeuille de risques de l’organisation en s’intègre dans les piliers du GRC, explique Dan Karpati, vice-président des technologies d’IA au point de contrôle. Karpati suggère quatre piliers:
- La gestion des risques d’entreprise définit l’appétit des risques d’IA et établit un comité de gouvernance de l’IA.
- La gestion des risques du modèle surveille la dérive du modèle, le biais et les tests contradictoires.
- La gestion des risques opérationnels comprend des plans d’urgence pour les échecs de l’IA et la formation de surveillance humaine.
- La gestion des risques informatiques comprend des audits réguliers, des vérifications de conformité pour les systèmes d’IA, des cadres de gouvernance et l’alignement des objectifs commerciaux.
Pour aider à cartographier ces risques, les CISO peuvent examiner le cadre de gestion des risques de l’IA NIST et d’autres cadres, tels que COSO et COBIT, et appliquer leurs principes fondamentaux – gouvernance, contrôle et alignement des risques – pour couvrir les caractéristiques de l’IA telles que la production probabiliste, la dépendance aux données, l’opacité dans la prise de décision, l’autonomie et l’évolution rapide. Une référence émergente, ISO / IEC 42001, fournit un cadre structuré pour l’IA pour la surveillance et l’assurance qui visent à intégrer la gouvernance et les pratiques de risque tout au long du cycle de vie de l’IA.
L’adaptation de ces cadres offre un moyen d’élever une discussion sur les risques d’IA, d’aligner l’appétit des risques d’IA avec la tolérance au risque primordiale de l’organisation et d’intégrer une gouvernance d’IA robuste dans toutes les unités commerciales. «Au lieu de réinventer la roue, les chefs de sécurité peuvent cartographier les risques d’IA aux impacts commerciaux tangibles», explique Karpati.
Les risques de l’IA peuvent également être cartographiés à la possibilité de pertes financières de fraude ou de prise de décision erronée, de dommages de réputation des violations de données, de résultats biaisés ou d’insatisfaction des clients, de perturbation opérationnelle de la mauvaise intégration avec les systèmes hérités et les défaillances du système, et les pénalités légales et réglementaires. Les CISO peuvent utiliser des cadres tels que Fair (analyse factorielle du risque d’information) pour évaluer la probabilité d’un événement lié à l’IA, estimer la perte en termes monétaires et accéder à la métrique d’exposition au risque. «En analysant les risques des perspectives qualitatives et quantitatives, les chefs d’entreprise peuvent mieux comprendre et peser les risques de sécurité contre les références financières», explique Karpati.
De plus, avec les exigences réglementaires émergentes, les CISO devront surveiller le projet de réglementation, suivre les demandes de périodes de commentaires, avoir des avertissements précoces sur les nouvelles normes, puis se préparer à la mise en œuvre avant ratification, explique Marcus.
L’appariant dans les réseaux et les pairs de l’industrie peut aider les CISO à rester dans les menaces et les risques au fur et à mesure qu’ils se produisent, tandis que les fonctions de rapport sur les plateformes GRC surveillent les changements réglementaires. «Il est utile de savoir quels risques se manifestent dans le domaine, ce qui aurait protégé d’autres organisations et collectivement la création de contrôles et de procédures clés qui rendront nous une industrie plus résiliente à ces types de menaces au fil du temps», explique Marcus.
La gouvernance est un élément essentiel du cadre plus large de GRC et les CISO jouent un rôle important dans l’établissement des règles et principes organisationnels de la façon dont l’IA est utilisée de manière responsable.
Élaboration des politiques de gouvernance
En plus de définir les risques et de gérer la conformité, les CISO doivent élaborer de nouvelles politiques de gouvernance. «La gouvernance efficace doit inclure des politiques d’utilisation acceptables pour l’IA», explique Marcus. «L’un des premiers résultats d’un processus d’évaluation devrait définir les règles de la route pour votre organisation.»
Marcus suggère un système de feu de stop – rouge, jaune, vert – qui classe les outils d’IA à utiliser ou non au sein de l’entreprise. Il fournit des conseils clairs aux employés, permet aux employés techniquement curieux un espace sûr à explorer tout en permettant aux équipes de sécurité de créer des programmes de détection et d’application. Surtout, il a également permis aux équipes de sécurité d’offrir une approche collaborative de l’innovation.
Des outils «verts» ont été examinés et approuvés, «jaune» nécessitent une évaluation supplémentaire et des cas d’utilisation spécifiques, et ceux étiquetés «Red» n’ont pas les protections nécessaires et sont interdits de l’utilisation des employés.
À Auditboard, Marcus et l’équipe ont développé une norme pour la sélection des outils d’IA qui comprend la protection des données propriétaires et le maintien de la propriété de toutes les entrées et sorties entre autres. «En tant qu’entreprise, vous pouvez commencer à développer les normes qui vous tiennent à cœur et les utiliser comme un étalon pour mesurer tous les nouveaux outils ou cas d’utilisation qui vous sont présentés.»
Il recommande que les CISO et leurs équipes définissent les principes directeurs à l’avance, éduquent l’entreprise sur ce qui est important et aident les équipes à s’auto-former en filtrant des choses qui ne répondent pas à cette norme. «Ensuite, au moment où (un outil d’IA) arrive au CISO, les gens comprennent les attentes», explique Marcus.
Le processus est destiné à identifier les risques potentiels et à être en mesure de communiquer ceux aux parties prenantes au sein de l’organisation, y compris le conseil d’administration. «Si vous avez évalué des dizaines de ces cas d’utilisation, vous pouvez choisir les risques communs et les thèmes communs, les agréger, puis proposer des stratégies pour atténuer certains de ces risques», dit-il.
L’équipe peut ensuite examiner les contrôles de rémunération qui peuvent être appliqués, dans quelle mesure ils peuvent être appliqués sur différents outils d’IA et fournir ces conseils à l’exécutif. «Cela déplace la conversation d’une conversation plus tactique sur ce cas d’utilisation ou ce risque pour plus d’un plan stratégique pour faire face aux« risques d’IA »dans votre organisation», explique Marcus.
Jamie Norton prévient que maintenant l’interface brillante sur l’IA est facilement accessible à tous, les équipes de sécurité doivent se concentrer sur ce qui se passe sous la surface de ces outils. L’application de l’analyse stratégique des risques, l’utilisation de cadres de gestion des risques, la surveillance de la conformité et l’élaboration des politiques de gouvernance peuvent aider les CISO à guider l’organisation dans son parcours d’IA.
«En tant que CISOS, nous ne voulons pas entraver l’innovation, mais nous devons mettre des garde-corps autour de lui afin que nous ne nous chargeons pas dans le désert et que nos données s’échappent», explique Norton.
