Les attentes de BaFin en matière de gestion des risques ICT et l’utilisation de l’IA
Introduction
La situation actuelle est marquée par la publication d’une directive non contraignante par l’Autorité fédérale de supervision financière allemande (BaFin), clarifiant la manière dont les institutions financières doivent gérer les risques liés aux technologies de l’information et de la communication (ICT) découlant des systèmes basés sur l’intelligence artificielle (IA), conformément au Règlement (UE) 2022/2554 (DORA) et aux règlements connexes de l’UE.
Résultats et intégration de l’IA
Les systèmes d’IA, en particulier ceux utilisant l’IA générative et les grands modèles de langage (LLM), doivent être intégrés de manière complète dans les cadres de gouvernance, de test et de gestion des risques des tiers déjà en place, avec un contrôle de supervision accru.
Perspectives d’avenir
Les institutions financières utilisant ou envisageant de déployer l’IA doivent réévaluer leurs pratiques de gouvernance, de test, de sous-traitance dans le cloud et de signalement des incidents pour répondre aux attentes de supervision en évolution.
Directives clés de BaFin
Les directives offrent des orientations supplémentaires sur le traitement des systèmes basés sur l’IA sous DORA et sur les risques liés aux tiers et à la sous-traitance, selon le Règlement délégué (UE) 2024/1774 sur le cadre de gestion des risques ICT et le Règlement délégué (UE) 2025/532 sur la sous-traitance.
Exigences en matière de gouvernance
- Adoption d’une stratégie IA approuvée par la direction, définissant des responsabilités claires et favorisant la collaboration interdisciplinaire.
- Intégration des systèmes basés sur l’IA dans le cadre de gestion des risques ICT conforme à DORA, couvrant l’identification, la protection, la détection, la réponse aux incidents et la communication de crise.
- Application de normes rigoureuses pour le développement, la gestion des changements et la documentation des développements IA internes.
Tests et surveillance
Les obligations de test doivent être étendues aux systèmes basés sur l’IA, avec des tests adaptés à leur criticité. Pour l’IA générative et les LLM, les tests sont plus complexes en raison des mises à jour fréquentes des modèles par des fournisseurs tiers. Les tests doivent vérifier l’adéquation à l’usage, en portant une attention particulière à la qualité des logiciels développés en interne.
Gestion des risques liés aux tiers
Il est crucial de mettre l’accent sur la gestion des risques liés aux tiers en raison de la dépendance généralisée aux services cloud pour l’IA. Cela inclut la réalisation d’évaluations de risques approfondies, la diligence raisonnable avant la contractualisation et l’établissement de dispositions contractuelles claires sur la sous-traitance.
Sécurité informatique et protection des données
Des contrôles de cybersécurité et de sûreté des données doivent être appliqués tout au long du cycle de vie de l’IA, proportionnellement à la criticité du système. Bien que DORA se concentre sur l’intégrité des données, la qualité des données, notamment pour l’apprentissage automatique, est également une condition préalable essentielle.
Conclusion
Les trois points clés à retenir sont les suivants :
- Les systèmes d’IA ne sont pas soumis à un régime distinct, mais doivent être intégrés dans la gouvernance ICT conforme à DORA.
- Bien que non contraignantes, ces directives serviront de référence pour les superviseurs, entraînant un contrôle accru des systèmes d’IA.
- Les institutions doivent continuer à se concentrer sur la gestion robuste des risques liés aux tiers, la cybersécurité et la détection des incidents liés à l’IA.