Guide de gestion des risques liés à l’IA pour le secteur financier

By /

Guide sur la gestion des risques liés à l’IA pour les institutions financières

Le Trésor américain a publié plusieurs documents destinés au secteur des services financiers des États-Unis, suggérant une approche structurée pour gérer les risques liés à l’IA dans les opérations et les politiques. Le Cadre de gestion des risques liés à l’IA pour les services financiers (FS AI RMF) est accompagné d’un Guide qui détaille le cadre, développé grâce à une collaboration entre plus de 100 institutions financières et organisations du secteur, avec l’apport de régulateurs et d’organismes techniques.

Objectif du FS AI RMF

L’objectif du FS AI RMF est d’aider les institutions financières à identifier, évaluer, gérer et gouverner les risques associés aux systèmes d’IA, tout en permettant aux entreprises de continuer à adopter les technologies d’IA de manière responsable. Les systèmes d’IA introduisent des risques que les cadres de gouvernance technologique existants ne traitent pas. Ces risques incluent :

  • Préjugés algorithmiques
  • Transparence limitée dans les processus décisionnels
  • Vulnérabilités cybernétiques
  • Dépendances complexes entre les systèmes et les données

Les modèles de langage de grande taille (LLMs) posent également des préoccupations en raison de leur comportement difficile à interpréter ou à prédire.

Cadres existants et lacunes

Les institutions financières opèrent déjà sous une réglementation étendue, et il existe des directives générales telles que le Cadre de gestion des risques liés à l’IA du NIST. Cependant, l’application de ces cadres généraux aux opérations des institutions financières manque de détails reflétant les pratiques sectorielles et les attentes réglementaires. Le FS AI RMF est positionné comme une extension du cadre du NIST, avec des contrôles spécifiques au secteur et des lignes directrices pratiques.

Éléments du cadre

Le cadre comprend quatre composants principaux :

  1. Questionnaire sur le stade d’adoption de l’IA : Permet aux organisations de déterminer la maturité de leur utilisation de l’IA.
  2. Matrice de risques et de contrôles : Contient un ensemble d’énoncés de risque et d’objectifs de contrôle alignés sur les stades d’adoption.
  3. Guide d’application : Explique comment appliquer le cadre.
  4. Guide de référence des objectifs de contrôle : Fournit des exemples de contrôles et de preuves à l’appui.

Le cadre définit un total de 230 objectifs de contrôle organisés selon quatre fonctions adaptées du cadre du NIST : gouverner, cartographier, mesurer et gérer.

Stades d’adoption de l’IA

Le questionnaire sur le stade d’adoption détermine l’étendue de l’utilisation de l’IA par une organisation. Les stades sont :

  • Stade initial : Peu ou pas de déploiement opérationnel de l’IA.
  • Stade minimal : Utilisation limitée de l’IA dans des domaines à faible risque.
  • Stade évolutif : Systèmes d’IA plus complexes, y compris des applications impliquant des données sensibles.
  • Stade intégré : L’IA joue un rôle significatif dans les opérations commerciales.

Ces stades aident les institutions à concentrer leurs efforts sur des contrôles appropriés à leur niveau de maturité.

Objectifs de contrôle

Les objectifs de contrôle pour chaque stade d’adoption de l’IA abordent des sujets de gouvernance et d’opérations, y compris :

  • Gestion de la qualité des données
  • Surveillance de l’équité et des préjugés
  • Contrôles de cybersécurité
  • Transparence des processus décisionnels de l’IA
  • Résilience opérationnelle

Le guide fournit des exemples de contrôles possibles et types de preuves que les institutions peuvent utiliser pour prouver leur conformité.

Principes pour une IA de confiance

Le cadre intègre des principes pour une IA de confiance, définis comme :

  • Validité et fiabilité
  • Sécurité et résilience
  • Responsabilité
  • Transparence et explicabilité
  • Protection de la vie privée
  • Équité

Ces principes fournissent une base pour évaluer les systèmes d’IA tout au long de leur cycle de vie.

Importance pour les dirigeants financiers

Pour les dirigeants d’institutions financières, le FS AI RMF offre un guide pour intégrer l’IA dans les cadres de gestion des risques existants. Il souligne la nécessité de coordination entre différentes fonctions au sein de l’organisation. L’adoption de l’IA sans renforcement des structures de gouvernance peut exposer les institutions à des échecs opérationnels, des contrôles réglementaires ou des dommages à leur réputation.

En revanche, les entreprises qui établissent des processus de gouvernance clairs seront plus confiantes dans le déploiement de systèmes d’IA.

Le guide envisage la gestion des risques liés à l’IA comme une entité évolutive. À mesure que les technologies d’IA se développent et que les attentes réglementaires changent, les institutions devront mettre à jour leurs pratiques de gouvernance et leurs évaluations des risques en conséquence.

Pour les décideurs du secteur financier, le message est que l’adoption de l’IA doit progresser en parallèle avec la gouvernance des risques. Un cadre structuré tel que le FS AI RMF fournit un langage commun et une méthode pour gérer cette évolution.

Scroll to Top