Retour à la bibliothèque
GUIDE DE LA SOCIÉTÉ

Cadre de gestion des risques liés à l'IA du NIST

Le NIST AI Risk Management Framework (AI RMF) est un manuel volontaire du gouvernement américain visant à créer une IA digne de confiance en identifiant et en gérant ses risques tout au long de son cycle de vie.

Aperçu

Le NIST AI Risk Management Framework (AI RMF) est un manuel volontaire du gouvernement américain visant à créer une IA digne de confiance en identifiant et en gérant ses risques tout au long de son cycle de vie. C’est important car cela donne aux organisations une structure pratique et flexible pour opérationnaliser l’IA responsable sans être une loi contraignante.

Le cadre de gestion des risques liés à l’IA du NIST appartient à la couche sociale et de gouvernance de l’IA, où la politique, la responsabilité et la confiance du public façonnent l’impact à long terme.

Plongée profonde

Publié par l'Institut national américain des normes et de la technologie en janvier 2023, l'AI RMF 1.0 est volontaire et indépendant du secteur. Il est organisé autour de quatre fonctions principales : Gouverner (créer une culture et des politiques pour les risques liés à l'IA), Cartographier (comprendre le contexte et identifier les risques), Mesurer (analyser et suivre les risques avec des métriques) et Gérer (prioriser et agir sur ces risques). Le cadre définit les caractéristiques d’une IA digne de confiance : valide et fiable, sûre, sécurisée et résiliente, responsable et transparente, explicable et interprétable, respectueuse de la vie privée et équitable avec gestion des préjugés préjudiciables. Le NIST publie également un Playbook complémentaire avec des suggestions d'actions concrètes et a ajouté en 2024 un profil d'IA générative traitant des risques propres aux grands modèles de langage tels que la confabulation, les fuites de données et les contenus nuisibles.

Aperçu technique

Contrairement à une liste de contrôle, le RMF traite la fiabilité comme un ensemble de compromis à équilibrer, car l'amélioration d'une propriété (par exemple, l'exactitude) peut en dégrader une autre (par exemple, la confidentialité ou l'équité). La fonction Gouverner est transversale et alimente les trois autres. La mesure met l’accent sur l’utilisation à la fois de mesures quantitatives et de méthodes qualitatives, y compris l’équipe rouge et l’évaluation humaine, car de nombreux préjudices causés par l’IA résistent à une capture purement numérique. Ce sont les résultats, et non les outils spécifiques, que précise le cadre.

Maîtriser le cadre de gestion des risques IA du NIST

Le NIST AI Risk Management Framework (AI RMF) est un manuel volontaire du gouvernement américain visant à créer une IA digne de confiance en identifiant et en gérant ses risques tout au long de son cycle de vie. C’est important car cela donne aux organisations une structure pratique et flexible pour opérationnaliser l’IA responsable sans être une loi contraignante. Le cadre de gestion des risques liés à l’IA du NIST appartient à la couche sociale et de gouvernance de l’IA, où la politique, la responsabilité et la confiance du public façonnent l’impact à long terme. Pour acquérir une compréhension approfondie, traitez le cadre de gestion des risques de l'IA du NIST comme un modèle opérationnel et non comme une fonctionnalité unique : définissez les résultats souhaités, clarifiez les hypothèses et séparez ce que le système peut faire de manière fiable de ce qui nécessite encore un jugement d'expert.

Dans la pratique, des équipes solides utilisant le cadre de gestion des risques NIST AI associent croissance des capacités avec gouvernance, sécurité et structures de responsabilité claires. Ils documentent des critères de réussite explicites, testent par rapport à des données et des flux de travail réalistes et itèrent en fonction des modèles d'échec observés plutôt que des victoires de référence ponctuelles. C’est là que la compréhension théorique se transforme en capacité durable au niveau des produits, des politiques et des opérations.

Les décisions sociétales déterminent qui en profite et qui supporte les risques. Dans le même temps, les allégations larges peuvent circuler plus rapidement que les preuves et une surveillance responsable. L'approche la plus résiliente consiste à combiner vitesse d'expérimentation et discipline de gouvernance : exécuter des projets pilotes, capturer des preuves, publier des journaux de décision et mettre à jour en permanence les protections à mesure que le comportement du modèle, les attentes des utilisateurs et les exigences réglementaires évoluent.

Impact stratégique

Les décisions sociétales déterminent qui en profite et qui supporte les risques.

Les décisions sociétales déterminent qui en profite et qui supporte les risques. Dans les déploiements de haute qualité, cela se traduit par des règles de fonctionnement mesurables, des limites de propriété et des rituels d'examen récurrents afin que les équipes puissent accroître la confiance au lieu de l'ambiguïté.

Les institutions publiques, les écoles et les entreprises s’appuient toutes sur une gouvernance claire de l’IA.

Les institutions publiques, les écoles et les entreprises s’appuient toutes sur une gouvernance claire de l’IA. Dans les déploiements de haute qualité, cela se traduit par des règles de fonctionnement mesurables, des limites de propriété et des rituels d'examen récurrents afin que les équipes puissent accroître la confiance au lieu de l'ambiguïté.

Une bonne conception politique peut améliorer la sécurité sans bloquer l’innovation utile.

Une bonne conception politique peut améliorer la sécurité sans bloquer l’innovation utile. Dans les déploiements de haute qualité, cela se traduit par des règles de fonctionnement mesurables, des limites de propriété et des rituels d'examen récurrents afin que les équipes puissent accroître la confiance au lieu de l'ambiguïté.

L'avenir du cadre de gestion des risques liés à l'IA du NIST

Attendez-vous à ce que le RMF devienne une référence commune qui s’aligne sur des régimes contraignants tels que la loi européenne sur l’IA et les nouvelles lois des États américains, facilitant ainsi la conformité multi-juridictionnelle. Le NIST continue de publier des profils pour des contextes et des technologies spécifiques, l’IA générative étant une priorité majeure. Les directives des marchés publics et des agences fédérales font de plus en plus référence au RMF, et les passages à des normes comme ISO/IEC 42001 se multiplient, ce qui en fait un tissu conjonctif pour la gouvernance mondiale de l'IA, même si elle reste volontaire.

Mise en œuvre dans le monde réel

Une entreprise technologique cartographie le contexte d’une nouvelle IA d’embauche, répertoriant les groupes concernés et les dommages potentiels avant l’envoi de tout code, remplissant ainsi la fonction Map.

Une banque met en place un comité de gouvernance de l'IA et des politiques de risque écrites pour satisfaire la fonction de gouvernance dans tous ses modèles.

Une équipe utilise des métriques de red-teaming et de biais pour quantifier les modes de défaillance d'un chatbot sous la fonction Mesurer.

Un assureur maladie suit le profil Generative AI pour gérer les risques de confabulation et de fuite de données dans un LLM orienté client.

Modèles de mise en œuvre

Cadre de gestion des risques IA du NIST en pratique

Une entreprise technologique cartographie le contexte d’une nouvelle IA d’embauche, répertoriant les groupes concernés et les dommages potentiels avant l’envoi de tout code, remplissant ainsi la fonction Map.

Une entreprise technologique cartographie le contexte d'une nouvelle IA d'embauche, répertoriant les groupes concernés et les préjudices potentiels avant l'envoi de tout code, remplissant ainsi la fonction de cartographie. Les équipes obtiennent généralement de meilleurs résultats lorsqu'elles définissent des seuils de qualité à l'avance, maintiennent un chemin d'escalade humain pour les cas extrêmes et suivent à la fois les gains de productivité et les coûts d'erreur au fil du temps.

Cadre de gestion des risques IA du NIST en pratique

Une banque met en place un comité de gouvernance de l'IA et des politiques de risque écrites pour satisfaire la fonction de gouvernance dans tous ses modèles.

Une banque met en place un comité de gouvernance de l'IA et des politiques de risque écrites pour satisfaire la fonction de gouvernance dans tous ses modèles. Les équipes obtiennent généralement de meilleurs résultats lorsqu'elles définissent des seuils de qualité à l'avance, maintiennent un chemin de remontée humain pour les cas extrêmes et suivent à la fois les gains de productivité et les coûts d'erreur au fil du temps.

Cadre de gestion des risques IA du NIST en pratique

Une équipe utilise des métriques de red-teaming et de biais pour quantifier les modes de défaillance d'un chatbot sous la fonction Mesurer.

Une équipe utilise des mesures de red-teaming et de biais pour quantifier les modes de défaillance d'un chatbot sous la fonction Mesurer. Les équipes obtiennent généralement de meilleurs résultats lorsqu'elles définissent des seuils de qualité à l'avance, maintiennent un chemin d'escalade humain pour les cas extrêmes et suivent à la fois les gains de productivité et les coûts d'erreur au fil du temps.

Cadre de gestion des risques IA du NIST en pratique

Un assureur maladie suit le profil Generative AI pour gérer les risques de confabulation et de fuite de données dans un LLM orienté client.

Un assureur maladie suit le profil d'IA générative pour gérer les risques de confabulation et de fuite de données dans un LLM orienté client. Les équipes obtiennent généralement de meilleurs résultats lorsqu'elles définissent des seuils de qualité à l'avance, maintiennent un chemin d'escalade humaine pour les cas extrêmes et suivent à la fois les gains de productivité et les coûts d'erreur au fil du temps.

Risques et garde-fous

!

Les allégations générales peuvent circuler plus rapidement que les preuves et une surveillance responsable.

!

Une gouvernance faible peut entraîner des lacunes en matière de responsabilité lorsque des préjudices surviennent.

!

Le pouvoir peut se concentrer lorsque l’accès, la transparence et le contrôle sont limités.

Feuille de route de mise en œuvre

1

Identifiez les parties prenantes concernées et les préjudices les plus importants.

Identifiez les parties prenantes concernées et les préjudices les plus importants. Traitez chaque étape comme une porte de preuves : si les critères ne sont pas remplis, suspendez le déploiement, comblez l'écart, puis étendez l'utilisation.

2

Définissez des exigences de transparence pour les données, les modèles et les décisions.

Définissez des exigences de transparence pour les données, les modèles et les décisions. Traitez chaque étape comme une porte de preuves : si les critères ne sont pas remplis, suspendez le déploiement, comblez l'écart, puis étendez l'utilisation.

3

Ajoutez un examen indépendant ou des tests en équipe rouge pour les systèmes à haut risque.

Ajoutez un examen indépendant ou des tests en équipe rouge pour les systèmes à haut risque. Traitez chaque étape comme une porte de preuves : si les critères ne sont pas remplis, suspendez le déploiement, comblez l'écart, puis étendez l'utilisation.

4

Mettez à jour la politique et les contrôles à mesure que les capacités et les modèles d'utilisation évoluent.

Mettez à jour la politique et les contrôles à mesure que les capacités et les modèles d'utilisation évoluent. Traitez chaque étape comme une porte de preuves : si les critères ne sont pas remplis, suspendez le déploiement, comblez l'écart, puis étendez l'utilisation.

Continuez à explorer

Éthique de l'IA

Construire un cadre pratique pour un déploiement responsable.

Lire le guide

Réglementation de l'IA

Comprendre le paysage politique qui façonne les décisions en matière d’IA.

Lire le guide