L’IA et sa régulation t’intéressent ?
Lois, cadres et décisions qui façonnent l’IA, décryptés en français. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Un cadre de gouvernance pour sécuriser l'IA en entreprise
OpenAI a récemment introduit son Frontier Governance Framework (FGF), un outil destiné à aider les entreprises à déployer des intelligences artificielles de manière sécurisée et conforme à l'échelle mondiale. Ce cadre répond à la demande croissante d'une architecture IA durable et de qualité commerciale, en fournissant une approche structurée pour évaluer et atténuer les risques systémiques.
Le FGF s'aligne sur des réglementations clés, telles que le Code de Pratique de l'IA Générale de l'Union européenne et la Loi sur la Transparence en IA de Frontière (TFAIA) de Californie. Il offre un modèle pratique pour structurer les systèmes internes et les pipelines de déploiement, garantissant que les modèles d'apprentissage machine de haute capacité sont déployés en toute sécurité.
Catégorisation des menaces et gestion des risques
Le cadre d'OpenAI commence par une compréhension approfondie des catégories de menaces définies. Il identifie le risque systémique comme des dommages graves prévisibles, incluant des scénarios extrêmes tels que des incidents causant plus de 50 décès ou 1 milliard de dollars de dommages matériels.
Bien que ces scénarios soient peu probables, leur inclusion permet aux entreprises de mettre en place des protections adéquates. En définissant ces limites, les entreprises peuvent allouer efficacement leurs ressources pour un suivi post-déploiement continu et des audits par des tiers, assurant ainsi la conformité tout au long du cycle de vie des applications.
Évaluations des risques par niveaux
OpenAI utilise un système de niveaux pour catégoriser les menaces dans des domaines spécifiques, tels que les cyberattaques et les risques CBRN (chimiques, biologiques, radiologiques et nucléaires). Par exemple, un modèle de Niveau 3 en cyberattaque pourrait identifier et développer des exploits zéro-day sans intervention humaine.
Dans la catégorie CBRN, un modèle de Niveau 3 pourrait permettre à un expert de créer un vecteur de menace comparable à un agent biologique de classe A du CDC, ou de compléter le cycle de synthèse d'une menace biologique réglementée.
Manipulation nuisible et sécurité de l'information
Le cadre aborde également les risques de manipulation nuisible, comme l'influence électorale. OpenAI recommande des atténuations au niveau du système, telles que le suivi post-déploiement, plutôt que des évaluations pré-déploiement.
Pour la sécurité de l'information, OpenAI adhère aux normes ISO 27001, 27017, 27018 et 27701, et effectue des évaluations SOC 2 Type II. Des mesures comme le chiffrement des données et l'authentification multi-facteurs sont mises en place pour protéger les poids de modèle non publiés.
Maintien de la conformité et réponse aux incidents
OpenAI sollicite l'avis d'experts externes pour tester les protections des modèles approchant un nouveau niveau de risque. Ces experts fournissent des avis indépendants pour garantir que les déploiements restent dans des seuils de risque acceptables.
Les résultats d'atténuation sont documentés dans un Rapport de Modèle de Sécurité et de Sécurité, mis à jour tous les six mois si nécessaire. OpenAI Ireland Limited est responsable de la conformité à l'UE, tandis qu'OpenAI OpCo LLC gère les obligations aux États-Unis sous le TFAIA.
Intégration des modèles et sécurité de l'information
OpenAI aligne sa sécurité interne avec les normes ISO 27001, 27017, 27018 et 27701, ainsi que des évaluations SOC 2 Type II. Pour protéger les poids de modèle non publiés, l'entreprise utilise le chiffrement des données au repos et en transit, l'authentification multi-facteurs et des protocoles stricts d'approbation multipartite. Le personnel interne suit une formation régulière, et l'exécution des modèles se déroule dans un environnement isolé avec une sortie restreinte par défaut.
Lorsque les entreprises reproduisent cette configuration, elles établissent une base sécurisée pour leurs opérations internes.
Maintien de la conformité de l'écosystème et réponse aux incidents
Pour maintenir des bases de risque précises, OpenAI sollicite l'avis d'experts externes et d'évaluateurs tiers indépendants. Ces experts externes aident à tester les protections pour les modèles approchant un nouveau niveau de risque et fournissent des avis indépendants au groupe consultatif interne sur la sécurité.
Les CDO au sein des entreprises peuvent également bénéficier de contrats d'audit externes pour vérifier indépendamment que leurs déploiements de modèles localisés restent dans des seuils de risque acceptables.
OpenAI documente ses résultats d'atténuation dans un Rapport de Modèle de Sécurité et de Sécurité. Selon les dispositions de la loi sur l'IA de l'UE, l'entreprise s'engage à évaluer si elle doit mettre à jour ces rapports pour ses modèles les plus performants tous les six mois.
Les mises à jour des rapports sont considérées comme nécessaires si les capacités d'un modèle changent matériellement après l'entraînement ou si les intégrations dans les systèmes internes augmentent le risque. La responsabilité de la conformité à l'UE incombe à OpenAI Ireland Limited, tandis qu'OpenAI OpCo LLC gère les obligations en vertu du TFAIA aux États-Unis.
