Création d'une IA fiable : comparaison du guide d'assurance de l'IA de MITRE, du cadre de gestion des risques liés à l'IA du NIST et du modèle de gestion des risques liés à l'IA de CSA

À mesure que les systèmes d'IA s'intègrent de plus en plus aux opérations des entreprises, le débat ne porte plus sur l'opportunité d'adopter l'IA, mais sur la manière de le faire de façon responsable. Les organisations sont désormais confrontées à de nouveaux défis : comment garantir la sécurité, l'explicabilité et la conformité de leurs systèmes d'IA avec leurs valeurs et leurs obligations réglementaires ? Trois des cadres de référence les plus influents de l'écosystème des risques liés à l'IA – le guide MITRE sur l'assurance de l'IA, le cadre de gestion des risques liés à l'IA (RMF) du NIST et le cadre de gestion des contrôles de l'IA (AICM) de la CSA – apportent des réponses complémentaires à cette question.
Chaque cadre aborde le problème sous un angle différent. Le guide d'assurance de l'IA de MITRE s'appuie sur des pratiques d'assurance technique. C'est un guide pratique destiné aux ingénieurs en IA, aux équipes d'évaluation des risques et aux testeurs, conçu pour évaluer la robustesse, la résilience et la vérifiabilité des systèmes d'IA. Il s'inspire largement de scénarios de menaces réels, notamment ceux documentés dans MITRE ATLAS, et met l'accent sur les tests de modèles, la robustesse face aux attaques adverses et la surveillance opérationnelle. Surtout, MITRE souligne… intégrité des données, provenance et risques liés à la manipulation des données saisies comme principaux modes de défaillance susceptibles de dégrader les performances du modèle ou d'introduire un comportement adverse, soulignant ainsi le rôle fondamental de la sécurité des données dans l'assurance de l'IA.
À l'inverse, le cadre de gestion des risques liés à l'IA (NIST AI RMF) offre un socle stratégique pour la gestion des risques liés à l'IA au sein d'une organisation. Élaboré selon un processus multipartite, ce cadre introduit quatre fonctions clés – Cartographier, Mesurer, Gérer et Gouverner – afin d'aider les organisations à définir leur niveau de risque en matière d'IA, à identifier les préjudices potentiels, à évaluer leur impact et à intégrer les principes d'une IA responsable dans leur gouvernance. Dans ce modèle, la sécurité des données est considérée à la fois comme un élément fondamental et une source de risque, abordant des problématiques telles que les atteintes à la vie privée, les accès non autorisés, la qualité des données et la gestion de leur cycle de vie. Le RMF guide les organisations dans la cartographie des dépendances des données et la mise en place de contrôles permettant d'atténuer les risques à chaque étape, de la collecte au déploiement.
Si le NIST définit le « pourquoi » et le MITRE le « comment », le cadre de gestion des contrôles de l'IA de la CSA apporte le « quoi ». Le cadre AICM de la CSA est un catalogue complet de contrôles spécifiquement conçus pour les systèmes d'IA, incluant des mesures de protection techniques, procédurales et de gouvernance. Ces contrôles couvrent l'ensemble de la pile d'IA, des pipelines de données et environnements d'entraînement au déploiement des modèles et aux intégrations tierces. Le cadre AICM comprend des domaines de contrôle spécifiques dédiés à classification des donnéesdécouverte, traçabilité, contrôles d'accès et validation de l'intégritéce qui en fait le plus prescriptif des trois en matière de mise en œuvre de pratiques de sécurité des données de niveau entreprise pour les systèmes d'IA.
Bien que ces cadres diffèrent par leur portée et leur structure, ils ne constituent pas des philosophies concurrentes, mais se renforcent mutuellement. Un programme de gouvernance de l'IA mature pourrait débuter par le NIST RMF afin de définir les objectifs de l'entreprise et sa tolérance au risque, puis utiliser le CSA AICM pour mettre en œuvre des mesures de protection concrètes, et enfin appliquer le guide d'assurance de l'IA du MITRE pour tester la robustesse de ces systèmes en conditions réelles. Ce faisant, les organisations peuvent dépasser les principes généraux et accéder à une assurance active et mesurable, notamment dans les domaines où la sécurité des données est essentielle au maintien de la confiance, de la confidentialité et de la fiabilité du système.

Cadres de sécurité/d'assurance de l'IA dignes de confiance
Une IA digne de confiance n'est pas le seul produit de politiques publiques, et ne peut être garantie par de simples tests techniques. Elle résulte d'une gouvernance réfléchie et à plusieurs niveaux, englobant l'intention stratégique, le contrôle opérationnel et l'intégrité technique. La sécurité des données au cœur du systèmeEn comprenant comment MITRE, NIST et CSA s'articulent, les responsables de la sécurité peuvent mieux appréhender la complexité des risques liés à l'IA et concevoir des systèmes qui inspirent confiance dès leur conception.

.jpg)

