Si vous suivez mes contenus sur le thème de la gouvernance des données et de l’intelligence artificielle, vous avez déjà été sensibilisé au fait que la mise en place d’un cadre de gouvernance passe par l’identification et la cartographie des risques.
Comment en effet atténuer quelque chose que l’on n’a pas référencé et mesuré ?
Première tâche donc, l’identification et la cartographie des risques en matière d’intelligence artificielle. Risques liés aux données, aux modèles, aux usages, les risques sont nombreux. Et l’IA Act européen prévoit d’ailleurs l’obligation de les identifier et de les suivre, afin de classifier les modèles d’IA en fonction des risques encourus.
Mais partir d’une feuille blanche et se gratter la tête en faisant le tour des bureaux n’est pas la méthode la plus efficace. Or il n’existait pas jusqu’à présent un référentiel unique, mais plusieurs référentiels, tous incomplets, et orientés.
Ces derniers mois, les équipes du MIT ont réalisé un travail de compilation et d’organisation de l’ensemble des référentiels qu’ils ont pu identifier ; regroupant l’ensemble des risques dans une taxonomie commune. The AI Risk Repository est donc un travail de synthèse des risques en provenance de 43 taxonomies différentes. Au total, 777 risques ont été identifiés, regroupés et ordonnés dans la taxonomie du MIT.
Ce travail de synthèse est fourni gratuitement, sous forme d’un fichier Excel ou Google Sheets. Avec 777 risques décrits, c’est évidemment beaucoup trop pour la très grande majorité des entreprises, et un important travail de compréhension et de sélection reste à faire.
Par ailleurs chaque entreprise devra évaluer le degré de survenance de ce risque dans sa propre organisation ; ainsi que les impacts de cette survenance sur son métier. Personne ne peut faire ce travail à votre place. Mais bien sûr, remercions le MIT pour cette synthèse qui permet de partir de quelque chose, d’envisager à peu près tous les cas possibles, et ainsi de progresser dans cette cartographie des risques liés à l’IA.
Le framework à déployer est donc le suivant :
- Commencez par prendre connaissance de la base de données des risques du MIT ;
- Sensibilisez la direction générale à l’importance, et parfois à l’obligation, de connaitre le niveau d’exposition de l’entreprise ;
- Programmez des ateliers avec les différentes personnes concernées, métier et informatique, afin de sélectionner dans la base du MIT les risques applicables à l’entreprise ;
- N’hésitez pas à vous faire accompagner dans cette phase afin de démarrer correctement ; un consultant spécialisé peut être un booster et un garde-fou ;
- Pour chacun de ces risques, évaluez leur probabilité de survenance, et les impacts, financiers et autres, de cette survenance éventuelle ;
- Reportez tout cela dans un outil spécialisé de gestion de risques ou à défaut dans une feuille Excel ;
- Mettez en place les stratégies de modération de ces risques ;
- Ne pas oublier de répéter ce processus, lorsque les risques changent ou au minimum une fois par an, afin de maintenir à jour cette cartographie.
Alors je vous entends déjà critiquer ! Jamais je n’aurai le temps de faire cela, la DG ne nous donnera pas de budget, encore un truc qui va rester sur les étagères, bla bla bla…
Vous avez raison de vous inquiéter ! Mais en même temps soyons direct, ce n’est pas un choix. Bien sûr, une PME peut choisir de prendre des risques, sans les mesurer, et en assumer par la suite les conséquences. Mais assurez-vous que cette décision de ne pas cartographier les risques liés à l’IA soit bien prise au plus haut niveau. Et un conseil, protégez vos arrières, et conservez bien la trace de cette décision.
Et si votre DG est plus raisonnable, et comprend l’importance de connaitre et mesurer ces risques, allez-y progressivement. Posez les premiers jalons, et commencez les ateliers. Tiens, par exemple, commencez par les nouveaux projets ! Un nouveau POC d’IA ? Dès la phase de POC, rapprochez-vous des équipes, abordez le sujet, et cartographiez les risques à la volée. En incluant la gouvernance de l’IA dans la phase de design des projets, le fameux « Governance by design », vous rendrez le sujet beaucoup plus fluide. C’est ce que j’appelle le DevSecGovOps, penser à la gouvernance dès la phase de conception, et en faire un élément essentiel de la mise en production.
Comment en effet atténuer quelque chose que l’on n’a pas référencé et mesuré ?
Première tâche donc, l’identification et la cartographie des risques en matière d’intelligence artificielle. Risques liés aux données, aux modèles, aux usages, les risques sont nombreux. Et l’IA Act européen prévoit d’ailleurs l’obligation de les identifier et de les suivre, afin de classifier les modèles d’IA en fonction des risques encourus.
Mais partir d’une feuille blanche et se gratter la tête en faisant le tour des bureaux n’est pas la méthode la plus efficace. Or il n’existait pas jusqu’à présent un référentiel unique, mais plusieurs référentiels, tous incomplets, et orientés.
Ces derniers mois, les équipes du MIT ont réalisé un travail de compilation et d’organisation de l’ensemble des référentiels qu’ils ont pu identifier ; regroupant l’ensemble des risques dans une taxonomie commune. The AI Risk Repository est donc un travail de synthèse des risques en provenance de 43 taxonomies différentes. Au total, 777 risques ont été identifiés, regroupés et ordonnés dans la taxonomie du MIT.
Ce travail de synthèse est fourni gratuitement, sous forme d’un fichier Excel ou Google Sheets. Avec 777 risques décrits, c’est évidemment beaucoup trop pour la très grande majorité des entreprises, et un important travail de compréhension et de sélection reste à faire.
Par ailleurs chaque entreprise devra évaluer le degré de survenance de ce risque dans sa propre organisation ; ainsi que les impacts de cette survenance sur son métier. Personne ne peut faire ce travail à votre place. Mais bien sûr, remercions le MIT pour cette synthèse qui permet de partir de quelque chose, d’envisager à peu près tous les cas possibles, et ainsi de progresser dans cette cartographie des risques liés à l’IA.
Le framework à déployer est donc le suivant :
- Commencez par prendre connaissance de la base de données des risques du MIT ;
- Sensibilisez la direction générale à l’importance, et parfois à l’obligation, de connaitre le niveau d’exposition de l’entreprise ;
- Programmez des ateliers avec les différentes personnes concernées, métier et informatique, afin de sélectionner dans la base du MIT les risques applicables à l’entreprise ;
- N’hésitez pas à vous faire accompagner dans cette phase afin de démarrer correctement ; un consultant spécialisé peut être un booster et un garde-fou ;
- Pour chacun de ces risques, évaluez leur probabilité de survenance, et les impacts, financiers et autres, de cette survenance éventuelle ;
- Reportez tout cela dans un outil spécialisé de gestion de risques ou à défaut dans une feuille Excel ;
- Mettez en place les stratégies de modération de ces risques ;
- Ne pas oublier de répéter ce processus, lorsque les risques changent ou au minimum une fois par an, afin de maintenir à jour cette cartographie.
Alors je vous entends déjà critiquer ! Jamais je n’aurai le temps de faire cela, la DG ne nous donnera pas de budget, encore un truc qui va rester sur les étagères, bla bla bla…
Vous avez raison de vous inquiéter ! Mais en même temps soyons direct, ce n’est pas un choix. Bien sûr, une PME peut choisir de prendre des risques, sans les mesurer, et en assumer par la suite les conséquences. Mais assurez-vous que cette décision de ne pas cartographier les risques liés à l’IA soit bien prise au plus haut niveau. Et un conseil, protégez vos arrières, et conservez bien la trace de cette décision.
Et si votre DG est plus raisonnable, et comprend l’importance de connaitre et mesurer ces risques, allez-y progressivement. Posez les premiers jalons, et commencez les ateliers. Tiens, par exemple, commencez par les nouveaux projets ! Un nouveau POC d’IA ? Dès la phase de POC, rapprochez-vous des équipes, abordez le sujet, et cartographiez les risques à la volée. En incluant la gouvernance de l’IA dans la phase de design des projets, le fameux « Governance by design », vous rendrez le sujet beaucoup plus fluide. C’est ce que j’appelle le DevSecGovOps, penser à la gouvernance dès la phase de conception, et en faire un élément essentiel de la mise en production.
Autres articles
-
Gouvernance des données orientée métier : quelques pré-requis organisationnels
-
Conseil de l’IA de Qlik : sans intégrité des données, l’adoption de l’IA est un pari risqué
-
Les dirigeants font confiance à l’IA mais ont du mal à concrétiser son potentiel, selon une étude de Teradata
-
Gouverner l’intelligence artificielle : les données, leur qualité, leur conformité (4ème partie)
-
Gouverner l’intelligence artificielle : cadres réglementaires et normatifs (3ème partie)
