Le Trésor américain publie un guide sur les risques liés à l'IA pour les institutions financières

Le Trésor américain publie un guide sur les risques liés à l'IA pour les institutions financières

Le Trésor américain a publié plusieurs documents destinés au secteur des services financiers aux États-Unis, proposant une approche structurée pour gérer les risques liés à l'IA dans les opérations et les politiques. Le CRI Financial Services AI Risk Management Framework (FS AI RMF) est accompagné d'un Guide qui détaille le cadre, développé grâce à une collaboration entre plus de 100 institutions financières et organisations du secteur, avec l'apport de régulateurs et d'organismes techniques.

L'objectif du FS AI RMF est d'aider les institutions financières à identifier, évaluer, gérer et gouverner les risques associés aux systèmes d'IA, tout en permettant aux entreprises d'adopter les technologies d'IA de manière responsable.

Cadre spécifique au secteur

Les systèmes d'IA introduisent des risques que les cadres de gouvernance technologique existants ne couvrent pas. Parmi ces risques, on trouve :

• biais algorithmique
• transparence limitée dans les processus décisionnels
• vulnérabilités cybernétiques
• dépendances complexes entre systèmes et données

Les LLMs (modèles de langage de grande taille) soulèvent des préoccupations en raison de leur comportement difficile à interpréter ou à prédire. Contrairement aux logiciels traditionnels, qui sont déterministes, la sortie d'une IA varie en fonction du contexte.

Les institutions financières opèrent déjà sous une réglementation extensive et bénéficient d'une multitude de directives générales, comme le NIST AI Risk Management Framework. Cependant, l'application de cadres généraux aux opérations des institutions financières manque de détails reflétant les pratiques sectorielles et les attentes réglementaires. Le FS AI RMF est positionné comme une extension du cadre NIST, avec des contrôles spécifiques au secteur et des lignes directrices pratiques.

Le Guide explique comment les entreprises peuvent évaluer leur maturité actuelle en matière d'IA et mettre en œuvre des contrôles pour limiter leurs risques. Son objectif est de promouvoir des pratiques d'IA cohérentes et responsables tout en soutenant l'innovation dans le secteur.

Le FS AI RMF relie la gouvernance de l'IA aux processus plus larges de gouvernance, de gestion des risques et de conformité qui affectent déjà les institutions financières.

Composants du cadre

Le cadre contient quatre composants principaux :

1. Un questionnaire sur le stade d'adoption de l'IA permettant aux organisations de déterminer la maturité de leur utilisation de l'IA.

2. Une matrice de risques et de contrôles, qui contient un ensemble d'énoncés de risque et d'objectifs de contrôle en alignement avec les stades d'adoption.

3. Le Guide explique comment appliquer le cadre, tandis qu'un guide de référence des objectifs de contrôle fournit des exemples de contrôles et de preuves à l'appui.

4. Le cadre définit un total de 230 objectifs de contrôle organisés selon quatre fonctions adaptées du cadre plus large du NIST : gouverner, cartographier, mesurer et gérer. Chaque fonction contient des catégories et sous-catégories décrivant des éléments de gestion et de gouvernance des risques liés à l'IA.

Évaluation de la maturité de l'IA

Le questionnaire sur le stade d'adoption détermine dans quelle mesure une organisation utilise l'IA. Certaines entreprises s'appuient sur des modèles prédictifs traditionnels dans des applications limitées, tandis que d'autres déploient l'IA dans des processus commerciaux essentiels ou l'utilisent simplement dans des rôles orientés vers le client.

Le questionnaire aide les organisations à déterminer leur position actuelle dans le spectre de l'utilisation de l'IA, en évaluant des facteurs tels que :

• L'impact commercial de l'IA
• Les arrangements de gouvernance
• Les modèles de déploiement
• L'utilisation de fournisseurs d'IA tiers
• Les objectifs organisationnels
• La sensibilité des données

Sur la base de cette évaluation, les organisations sont classées en quatre stades d'adoption de l'IA :

• stade initial : organisations ayant peu ou pas de déploiement opérationnel de l'IA. L'IA peut être envisagée mais n'est pas intégrée.

• stade minimal : utilisation limitée de l'IA dans des domaines à faible risque ou systèmes isolés.

• stade évolutif : organisations utilisant des systèmes d'IA plus complexes, y compris des applications impliquant des données sensibles ou des services externes.

• stade intégré : où l'IA joue un rôle significatif dans les opérations commerciales et la prise de décision.

Ces stades aident les institutions à concentrer leurs efforts sur des contrôles appropriés à leur niveau de maturité. Une entreprise à un stade précoce n'a pas besoin de mettre en œuvre tous les contrôles immédiatement, mais à mesure que l'IA devient plus intégrée, le cadre introduit des contrôles supplémentaires pour faire face à des niveaux de risque croissants.

Risque et contrôle

Les objectifs de contrôle pour chaque stade d'adoption de l'IA abordent des sujets de gouvernance et d'opérations, y compris :

• La gestion de la qualité des données
• La surveillance de l'équité et des biais
• Les contrôles de cybersécurité
• La transparence des processus décisionnels de l'IA
• La résilience opérationnelle

Le Guide fournit des exemples de contrôles possibles et de types de preuves que les institutions peuvent utiliser pour démontrer leur conformité. Chaque entreprise doit déterminer les contrôles qui lui conviennent le mieux.

Le cadre recommande de maintenir des procédures de réponse aux incidents spécifiques aux systèmes d'IA et de créer un référentiel central pour le suivi des incidents liés à l'IA, des processus qui aideront les organisations à détecter des défaillances et à améliorer la gouvernance au fil du temps.

Le cadre intègre des principes pour une IA digne de confiance, définis comme la validité et la fiabilité, la sécurité, la protection de la vie privée et l'équité. Ces principes fournissent une base pour évaluer les systèmes d'IA tout au long de leur cycle de vie. En termes simples, les institutions financières doivent s'assurer que les sorties de l'IA sont fiables, que les systèmes sont protégés contre les menaces cybernétiques et que les décisions peuvent être expliquées lorsqu'elles affectent les clients ou ont une pertinence réglementaire.

Implications stratégiques

Pour les dirigeants des institutions financières de tout pays, le FS AI RMF offre un guide pour intégrer l'IA dans les cadres de gestion des risques existants. Il souligne la nécessité de coordination entre les différentes fonctions commerciales de l'organisation. Les équipes technologiques, les responsables des risques, les spécialistes de la conformité et les unités commerciales doivent tous participer au processus de gouvernance de l'IA.

Adopter l'IA sans renforcer les structures de gouvernance peut exposer les institutions à des défaillances opérationnelles, à un examen réglementaire ou à des dommages à leur réputation. En revanche, les entreprises qui établissent des processus de gouvernance clairs seront plus confiantes dans le déploiement de systèmes d'IA.

Le Guide présente la gestion des risques liés à l'IA comme une entité en évolution. À mesure que les technologies d'IA se développent et que les attentes réglementaires changent, les institutions devront mettre à jour leurs pratiques de gouvernance et leurs évaluations des risques en conséquence.

Pour les décideurs du secteur financier, le message est que l'adoption de l'IA doit progresser en parallèle avec la gouvernance des risques. Un cadre structuré comme le FS AI RMF fournit un langage et une méthode communs pour gérer cette évolution.