Brief IA : Trésor américain : guide IA pour sécuriser les banques

Trésor américain : guide IA pour sécuriser les banques

Brief IA
Tom Levy·6 min·0 vues

Le Trésor américain a publié le **Financial Services AI Risk Management Framework (FS AI RMF)** pour aider le secteur financier à gérer les risques liés à l'IA. Ce guide, développé avec la collaboration de plus de **100 institutions financières** et régulateurs, vise à identifier, évaluer et gouverner les risques associés aux systèmes d'IA tout en permettant une adoption responsable des technologies.

En bref
1Le Trésor américain a publié un guide pour aider les institutions financières à gérer les risques liés à l'IA, impliquant plus de 100 organisations.
2Le cadre FS AI RMF identifie des risques spécifiques tels que le biais algorithmique et la transparence limitée, avec des contrôles sectoriels adaptés.
3Un questionnaire évalue la maturité IA des entreprises, les classant en quatre stades d'adoption pour cibler les contrôles appropriés.
💡Pourquoi c'est importantCe guide aide les banques à intégrer l'IA en toute sécurité, évitant des risques réglementaires et opérationnels majeurs.
Le brief IA que lisent les pros

L’IA et sa régulation t’intéressent ?

Lois, cadres et décisions qui façonnent l’IA, décryptés en français. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

Le Trésor américain et son initiative sur l'IA

Le Trésor américain a récemment dévoilé une série de documents stratégiques destinés à encadrer l'usage de l'intelligence artificielle dans le secteur financier aux États-Unis. Ces documents, regroupés sous le nom de CRI Financial Services AI Risk Management Framework (FS AI RMF), visent à fournir une approche méthodique pour identifier et gérer les risques associés à l'IA. Le cadre a été élaboré en collaboration avec plus de 100 institutions financières et organisations du secteur, bénéficiant également de l'expertise de régulateurs et d'organismes techniques.

L'objectif principal du FS AI RMF est d'aider les institutions financières à naviguer dans le paysage complexe des risques liés à l'IA, tout en leur permettant d'adopter ces technologies de manière responsable et sécurisée.

Un cadre adapté aux spécificités du secteur

Les systèmes d'IA introduisent des risques uniques que les cadres de gouvernance technologique traditionnels ne couvrent pas entièrement. Parmi ces risques figurent le biais algorithmique, une transparence limitée dans les processus décisionnels, des vulnérabilités cybernétiques, et des dépendances complexes entre systèmes et données.

Les modèles de langage de grande taille (LLMs) posent des défis particuliers en raison de la difficulté d'interpréter ou de prédire leur comportement. Contrairement aux logiciels traditionnels, qui sont déterministes, les résultats produits par une IA peuvent varier en fonction du contexte d'utilisation.

Bien que les institutions financières soient déjà soumises à une réglementation stricte et disposent de directives générales comme le NIST AI Risk Management Framework, l'application de ces cadres généraux manque souvent de spécificité pour le secteur financier. Le FS AI RMF se positionne donc comme une extension du cadre NIST, offrant des contrôles spécifiques au secteur et des lignes directrices pratiques.

Le Guide associé au cadre explique comment les entreprises peuvent évaluer leur maturité actuelle en matière d'IA et mettre en œuvre des contrôles pour limiter leurs risques. Son but est de promouvoir des pratiques d'IA cohérentes et responsables tout en soutenant l'innovation dans le secteur.

Les composants clés du cadre

Le cadre est structuré autour de quatre composants principaux :

  1. Un questionnaire sur le stade d'adoption de l'IA qui permet aux organisations de déterminer la maturité de leur utilisation de l'IA.

  2. Une matrice de risques et de contrôles, comprenant un ensemble d'énoncés de risque et d'objectifs de contrôle alignés sur les stades d'adoption.

  3. Le Guide qui explique comment appliquer le cadre, complété par un guide de référence des objectifs de contrôle fournissant des exemples de contrôles et de preuves à l'appui.

  4. Le cadre définit un total de 230 objectifs de contrôle organisés selon quatre fonctions adaptées du cadre plus large du NIST : gouverner, cartographier, mesurer et gérer. Chaque fonction est subdivisée en catégories et sous-catégories décrivant des éléments de gestion et de gouvernance des risques liés à l'IA.

Évaluation de la maturité de l'IA

Le questionnaire sur le stade d'adoption de l'IA aide les organisations à évaluer leur position actuelle dans le spectre de l'utilisation de l'IA. Certaines entreprises s'appuient sur des modèles prédictifs traditionnels dans des applications limitées, tandis que d'autres déploient l'IA dans des processus commerciaux essentiels ou l'utilisent dans des rôles orientés vers le client.

Les facteurs évalués incluent l'impact commercial de l'IA, les arrangements de gouvernance, les modèles de déploiement, l'utilisation de fournisseurs d'IA tiers, les objectifs organisationnels et la sensibilité des données.

Sur la base de cette évaluation, les organisations sont classées en quatre stades d'adoption de l'IA :

  • Stade initial : organisations ayant peu ou pas de déploiement opérationnel de l'IA. L'IA peut être envisagée mais n'est pas intégrée.

  • Stade minimal : utilisation limitée de l'IA dans des domaines à faible risque ou systèmes isolés.

  • Stade évolutif : organisations utilisant des systèmes d'IA plus complexes, y compris des applications impliquant des données sensibles ou des services externes.

  • Stade intégré : où l'IA joue un rôle significatif dans les opérations commerciales et la prise de décision.

Ces stades aident les institutions à concentrer leurs efforts sur des contrôles appropriés à leur niveau de maturité. Une entreprise à un stade précoce n'a pas besoin de mettre en œuvre tous les contrôles immédiatement, mais à mesure que l'IA devient plus intégrée, le cadre introduit des contrôles supplémentaires pour faire face à des niveaux de risque croissants.

Risque et contrôle

Les objectifs de contrôle pour chaque stade d'adoption de l'IA couvrent des sujets de gouvernance et d'opérations, y compris la gestion de la qualité des données, la surveillance de l'équité et des biais, les contrôles de cybersécurité, la transparence des processus décisionnels de l'IA et la résilience opérationnelle.

Le Guide fournit des exemples de contrôles possibles et de types de preuves que les institutions peuvent utiliser pour démontrer leur conformité. Chaque entreprise doit déterminer les contrôles qui lui conviennent le mieux.

Le cadre recommande de maintenir des procédures de réponse aux incidents spécifiques aux systèmes d'IA et de créer un référentiel central pour le suivi des incidents liés à l'IA, des processus qui aideront les organisations à détecter des défaillances et à améliorer la gouvernance au fil du temps.

Le cadre intègre des principes pour une IA digne de confiance, définis comme la validité et la fiabilité, la sécurité, la protection de la vie privée et l'équité. Ces principes fournissent une base pour évaluer les systèmes d'IA tout au long de leur cycle de vie. En termes simples, les institutions financières doivent s'assurer que les sorties de l'IA sont fiables, que les systèmes sont protégés contre les menaces cybernétiques et que les décisions peuvent être expliquées lorsqu'elles affectent les clients ou ont une pertinence réglementaire.

Implications stratégiques

Pour les dirigeants des institutions financières de tout pays, le FS AI RMF offre un guide pour intégrer l'IA dans les cadres de gestion des risques existants. Il souligne la nécessité de coordination entre les différentes fonctions commerciales de l'organisation. Les équipes technologiques, les responsables des risques, les spécialistes de la conformité et les unités commerciales doivent tous participer au processus de gouvernance de l'IA.

Adopter l'IA sans renforcer les structures de gouvernance peut exposer les institutions à des défaillances opérationnelles, à un examen réglementaire ou à des dommages à leur réputation. En revanche, les entreprises qui établissent des processus de gouvernance clairs seront plus confiantes dans le déploiement de systèmes d'IA.

Le Guide présente la gestion des risques liés à l'IA comme une entité en évolution. À mesure que les technologies d'IA se développent et que les attentes réglementaires changent, les institutions devront mettre à jour leurs pratiques de gouvernance et leurs évaluations des risques en conséquence.

Pour les décideurs du secteur financier, le message est que l'adoption de l'IA doit progresser en parallèle avec la gouvernance des risques. Un cadre structuré comme le FS AI RMF fournit un langage et une méthode communs pour gérer cette évolution.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires