Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni est confronté à un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui, les entreprises adoptent cette technologie avec un enthousiasme croissant. Selon le BSIPrès des deux tiers (62 %) des dirigeants d'entreprise au Royaume-Uni et ailleurs prévoient d'accroître leurs investissements dans l'IA au cours de l'année à venir, afin d'améliorer la productivité, l'efficacité et de réduire les coûts. Plus de la moitié (59 %) considèrent ces investissements comme essentiels à leurs plans de croissance.

Pourtant, ces mêmes organisations s'engagent, sans s'en rendre compte, dans une crise de gouvernance de l'IA, prévient l'organisme de normalisation. Selon lui, seul un quart (24 %) d'entre elles disposent d'un programme de gouvernance de l'IA, dont à peine un tiers (34 %) des grandes entreprises. Dans ce contexte, la norme ISO 42001 devrait s'avérer indispensable.

Ce que dit le BSI

L'étude du BSI repose sur des entretiens avec 850 dirigeants d'entreprises de haut niveau dans huit pays et sur une analyse de plus de 100 rapports d'entreprises multinationales, assistée par l'IA. Elle révèle que seul un quart (24 %) des entreprises surveillent l'utilisation des outils d'IA par leurs employés et que seulement 30 % disposent de processus pour évaluer les risques liés à l'IA et mettre en place des mesures d'atténuation. Seul un cinquième (22 %) empêche ses employés d'utiliser des outils d'IA non autorisés.

Les lacunes en matière de gouvernance ne se limitent pas aux risques liés à l'informatique parallèle. Seuls 28 % des répondants déclarent connaître les sources de données utilisées pour l'entraînement et le déploiement de l'IA. Ce chiffre est en baisse par rapport aux 35 % enregistrés en début d'année. Seuls 40 % disposent de processus encadrant l'utilisation des données sensibles/confidentielles pour l'entraînement de l'IA.

Les organisations sont tout aussi mal préparées aux incidents. Seul un tiers d'entre elles signalent les problèmes ou les inexactitudes, et 29 % disposent de procédures pour gérer et répondre aux incidents liés à l'IA. À peine 30 % ont mis en place un processus formel d'évaluation des risques afin de déterminer si l'IA peut introduire de nouvelles vulnérabilités. Cela accroît le risque de panne ou d'incident grave. Pourtant, un cinquième des répondants admettent que l'IA générative (GenAI) est devenue tellement essentielle à leur activité qu'ils estiment que leur organisation ne pourrait pas fonctionner longtemps sans elle.

La complaisance pourrait bien être en partie responsable du problème. Plus de la moitié des dirigeants d'entreprises internationales (56 %) se disent confiants quant aux compétences de leurs jeunes recrues en matière d'IA, et une proportion similaire partage cet avis pour l'ensemble de l'organisation. Plus de la moitié (55 %) sont convaincus de pouvoir former leurs équipes à utiliser l'IA de manière « critique, stratégique et analytique ». Pourtant, seul un tiers d'entre eux dispose d'un programme de formation et de développement dédié. Or, la formation a ses limites.

Est-ce que ça importe?

En réalité, la conformité semble faiblir en matière d'IA. Aujourd'hui, la moitié (49 %) des organisations mondiales intègrent les risques liés à l'IA dans leurs programmes de conformité, contre 60 % il y a six mois. Toutefois, cette baisse ne s'explique pas par le nombre d'organisations déployant des programmes dédiés à la gestion de cette technologie.

Pourquoi est-ce important ? Parce que les risques liés à l’IA imprègnent déjà le monde des affaires. En voici quelques exemples :

• Fuites accidentelles d'informations sensibles via des chatbots commerciaux
• Des données/modèles d'entraînement biaisés pouvant entraîner des résultats susceptibles d'affecter la réputation de la marque
• L'intelligence artificielle fantôme (Shadow AI) peut entraîner la divulgation de données ou la création de code défectueux.
• Des données de mauvaise qualité ou corrompues, entraînant des failles de sécurité et des résultats inexacts.
• Non-respect des réglementations en matière de protection des données, de cybersécurité et de contrefaçon de propriété intellectuelle
• Des vulnérabilités non corrigées tout au long de la chaîne d'approvisionnement en IA exposent l'organisation à des violations de données.

Ces risques ne feront que croître à mesure que l'IA agentive se développera, créant un effet domino potentiellement important sur les résultats financiers et la réputation des entreprises. Selon un une étude récente d'EYAu Royaume-Uni, la quasi-totalité (98 %) des répondants ont déclaré avoir subi des pertes au cours de l'année écoulée en raison de risques liés à l'IA. Plus de la moitié (55 %) ont affirmé que ces pertes s'élevaient à plus d'un million de dollars (1 750,000 £), tandis que la perte moyenne était estimée à 3.9 millions de dollars (2.9 millions de livres sterling) par organisation. Les risques les plus fréquents étaient le non-respect des réglementations, l'utilisation de données d'entraînement inexactes ou de mauvaise qualité, et une consommation énergétique élevée ayant un impact sur les objectifs de développement durable.

Attention à l'écart

Le rapport du BSI a révélé quelques points positifs. L'analyse des mots clés a montré que les termes « gouvernance » et « réglementation » étaient plus présents dans les rapports des entreprises britanniques. Ils y apparaissaient 80 % plus souvent que dans les rapports des entreprises basées en Inde et 73 % plus souvent que dans ceux des entreprises basées en Chine. Cependant, selon Chris Newton-Smith, PDG d'IO (anciennement ISMS.online), les fonctions de gestion des risques et de conformité « fonctionnent encore avec des outils limités et en constante évolution » au Royaume-Uni.

« Le principal problème que nous constatons n'est pas un manque de volonté, mais un manque de structure. Les entreprises ne disposent tout simplement pas encore des cadres, des politiques ou de la responsabilité transversale nécessaires pour gérer l'IA de la même manière qu'elles gèrent la sécurité ou la confidentialité des informations », explique-t-il à IO.

« Je pense que le principal obstacle actuellement est que de nombreuses équipes dirigeantes sous-estiment encore les risques, car l'IA est perçue avant tout comme un outil d'innovation plutôt que comme une technologie capable de remodeler fondamentalement la surface de menace d'une organisation, et qui est en train de le faire. »

En l'absence d'un modèle de gouvernance formel, les préoccupations soulevées par les équipes de sécurité risquent de rester cloisonnées ou d'être perçues comme un frein à la croissance. Ce n'est que lorsque les risques liés à l'IA seront traités au niveau de la direction que l'écart entre adoption et supervision commencera à se réduire, ajoute Newton-Smith.

La bonne nouvelle, c'est que la norme ISO 42001 a été conçue précisément dans ce but, affirme Mark Thirlwell, directeur numérique mondial chez BSI.

« Ce référentiel offre un cadre pratique pour la mise en place d’un système formel de gestion de l’IA, permettant aux organisations de passer de principes vagues à des actions concrètes. Il exige des dirigeants qu’ils évaluent et traitent formellement les risques spécifiques à l’IA, qu’ils définissent clairement les responsabilités et qu’ils garantissent la mise en place de processus sécurisés pour l’ensemble du cycle de vie de l’IA », explique-t-il à IO.

« Adopter cette approche structurée ne vise pas à freiner l’innovation, mais à la favoriser de manière responsable et sécurisée. Elle donne aux dirigeants les outils nécessaires pour passer d’une attitude réactive à une attitude de pilotage stratégique, garantissant ainsi que l’IA devienne un moteur sûr et fiable de croissance à long terme. »

Newton-Smith d'IO partage cet avis, expliquant que la norme clarifie les rôles, l'évaluation des risques, les contrôles du cycle de vie des modèles, la supervision des fournisseurs et le suivi.

« Cela s’aligne également naturellement sur les cadres existants tels que les normes ISO 27001 et ISO 27701, ce qui signifie que les entreprises peuvent étendre les structures de gouvernance et de gestion des risques sur lesquelles elles s’appuient probablement déjà en matière de sécurité et de confidentialité », ajoute-t-il.

Démarrer

Comment les organisations doivent-elles entamer leur démarche de mise en conformité avec la norme ISO 42001 ? Selon Newton-Smith, il est préférable d’intégrer la gouvernance de l’IA à un système de gestion de la sécurité de l’information (SGSI) existant plutôt que de la traiter comme un projet indépendant.

« Concrètement, cela signifie : associer les cas d’utilisation de l’IA aux risques ; établir une responsabilité claire au sein des directions, des services d’ingénierie, juridiques et de conformité ; mettre en place des processus reproductibles pour la surveillance des modèles et la gestion des incidents ; et veiller à ce que la chaîne d’approvisionnement soit soumise aux mêmes normes », explique-t-il.

« La mise en place d’un système de contrôle centralisé dès le départ facilite la mesure, le déploiement à grande échelle et l’audit du programme dès le premier jour. La norme ISO 42001 n’est pas une simple formalité, mais bien le fondement d’une adoption de l’IA fiable et commercialement viable. »