Gouverner l’IA : Recommandations pour les organisations gérant les charges de travail d’IA dans Azure
Cet article décrit le processus organisationnel pour gouverner les charges de travail d’IA. Il suit le cadre de gestion des risques en intelligence artificielle (AI RMF) de NIST et le Playbook AI RMF de NIST. Il est également aligné avec le cadre de CAF Govern.
Ce guide vise à aider à intégrer la gestion des risques de l’IA dans des stratégies de gestion des risques plus larges. Cette intégration permet une gestion plus cohérente des risques liés à l’IA, à la cybersécurité et à la confidentialité, pour une approche de gouvernance unifiée.
Évaluer les risques organisationnels liés à l’IA
L’évaluation des risques de l’IA identifie et traite les risques potentiels introduits par les technologies d’IA. Ce processus renforce la confiance dans les systèmes d’IA et réduit les conséquences non intentionnelles. Traiter les risques organisationnels garantit que les déploiements d’IA sont en accord avec les valeurs de l’organisation, sa tolérance au risque et ses objectifs opérationnels.
Comprendre les charges de travail d’IA Pour atténuer les risques liés à l’IA, vous devez comprendre vos charges de travail d’IA. En clarifiant l’étendue et l’objectif de chaque charge de travail d’IA, vous pouvez cartographier les risques associés. Cette clarification doit inclure toutes les hypothèses et limitations liées à la charge de travail d’IA.
Utiliser les principes d’IA responsable pour identifier les risques Ces principes fournissent un cadre pour évaluer les risques de l’IA. Utilisez le tableau suivant pour identifier et atténuer les risques par une évaluation structurée des principes d’IA.
Principe de l’IA responsable Définition Question d’évaluation des risques Confidentialité et sécurité de l’IA Les charges de travail IA doivent respecter la confidentialité et être sécurisées. Comment les charges de travail IA pourraient-elles gérer des données sensibles ou devenir vulnérables aux failles de sécurité ? Sécurité et fiabilité Les charges de travail IA doivent fonctionner de manière sûre et fiable. Dans quelles situations les charges de travail IA pourraient-elles ne pas fonctionner en toute sécurité ou produire des résultats non fiables ? Équité Les charges de travail IA doivent traiter les personnes de manière équitable. Comment les charges de travail IA pourraient-elles entraîner un traitement inégal ou un biais involontaire dans la prise de décision ? L’intégration Les charges de travail IA doivent être inclusives et valorisantes. Comment certains groupes pourraient-ils être exclus ou désavantagés lors de la conception ou du déploiement des charges de travail IA ? Transparence Les charges de travail IA doivent être compréhensibles. Quels aspects de la prise de décision de l’IA pourraient être difficiles à comprendre ou à expliquer pour les utilisateurs ? Responsabilité Les personnes doivent être responsables des charges de travail IA. Dans quels cas la responsabilité pourrait-elle être floue ou difficile à établir dans le développement ou l’utilisation de l’IA ? Identifier les risques liés à l’IA. Commencez par évaluer les risques de sécurité des charges de travail IA, y compris les potentielles violations de données, les accès non autorisés ou les usages abusifs. Consultez les parties prenantes pour identifier les risques moins visibles et évaluez les impacts qualitatifs et quantitatifs, y compris les risques pour la réputation, afin de déterminer la tolérance aux risques de l’organisation.
Identifiez les risques provenant des dépendances externes. Évaluez les risques liés aux sources de données tierces, aux logiciels et aux intégrations. Traitez des problèmes comme les failles de sécurité, les biais et les risques de propriété intellectuelle en établissant des politiques qui assurent la conformité avec les normes de confidentialité et de conformité de l’organisation.
Évaluez les risques d’intégration. Évaluez comment les charges de travail IA s’intègrent aux charges de travail et processus existants. Documentez les risques potentiels, tels que la dépendance à d’autres charges de travail, la complexité accrue ou les incompatibilités qui pourraient affecter la fonctionnalité.
Documenter les stratégies de gouvernance en IA
Les politiques de gouvernance de l’IA fournissent un cadre structuré pour une utilisation responsable de l’IA. Ces politiques alignent les activités de l’IA sur les normes éthiques, les exigences réglementaires et les objectifs commerciaux. La documentation des politiques assure des directives claires pour la gestion des modèles, des données et des opérations IA.
| Domaine des politiques de gouvernance de l’IA | Recommandations pour les politiques de gouvernance de l’IA |
|---|---|
| Définissez des politiques pour la sélection et l’intégration des modèles | ▪ Établissez des politiques pour la sélection des modèles IA. Les politiques devraient définir des critères pour choisir des modèles en adéquation avec les valeurs, les capacités et les contraintes de coûts de l’organisation. Examinez les modèles potentiels pour s’assurer qu’ils correspondent à la tolérance aux risques et aux exigences de la tâche prévue. ▪ Intégrez de nouveaux modèles avec des politiques structurées. Un processus formel d’intégration de modèles garantit la cohérence dans la justification, la validation et l’approbation des modèles. Utilisez des environnements de bac à sable pour les premières expérimentations, puis validez et examinez les modèles dans le catalogue de production pour éviter les duplications. |
| Définissez des politiques pour l’utilisation des outils et des données tiers | ▪ Fixez des contrôles pour les outils tiers. Un processus de vérification des outils tiers permet de prévenir les risques de sécurité, de conformité et d’alignement. Les politiques devraient inclure des lignes directrices sur la confidentialité des données, la sécurité et les normes éthiques lors de l’utilisation de jeux de données externes. ▪ Définissez des normes de sensibilité des données. Il est essentiel de séparer les données sensibles et publiques pour atténuer les risques de l’IA. Établissez des politiques de gestion et de séparation des données. ▪ Définissez des normes de qualité des données. Un « jeu de données de référence » fournit une base fiable pour les tests et évaluations des modèles IA. Établissez des politiques claires pour garantir la cohérence et la qualité des données afin d’assurer des performances élevées et des résultats de confiance. |
| Définissez des politiques pour le maintien et la surveillance des modèles | ▪ Spécifiez la fréquence de ré-entraînement selon les cas d’usage. Un ré-entraînement fréquent garantit la précision pour les charges de travail IA à haut risque. Définissez des lignes directrices prenant en compte le cas d’usage et le niveau de risque de chaque modèle, notamment dans des secteurs comme la santé et la finance. ▪ Surveillez la dégradation des performances. La surveillance continue des performances des modèles permet de détecter les problèmes avant qu’ils n’affectent les résultats. Documentez les références, et si les performances d’un modèle se détériorent, initiez un processus de ré-entraînement ou de révision. |
| Définissez des politiques pour la conformité réglementaire | ▪ Respectez les exigences légales régionales. La compréhension des lois régionales garantit que les opérations IA restent conformes aux normes locales. Identifiez les réglementations applicables à chaque région de déploiement, telles que les lois sur la confidentialité des données, les normes éthiques et les règlements industriels. ▪ Développez des politiques spécifiques par région. L’adaptation des politiques IA aux considérations régionales permet de se conformer aux normes locales. Les politiques pourraient inclure le support linguistique, les protocoles de stockage des données et les adaptations culturelles. ▪ Adaptez l’IA à la variabilité régionale. La flexibilité des charges de travail IA permet des ajustements fonctionnels spécifiques à chaque lieu. Pour les opérations globales, documentez les adaptations spécifiques à la région, comme les données d’entraînement localisées et les restrictions de fonctionnalités. |
| Définissez des politiques pour la conduite des utilisateurs | ▪ Définissez des stratégies de réduction des risques liés à un usage abusif. Les politiques de prévention des usages abusifs contribuent à protéger contre les dommages intentionnels ou accidentels. Identifiez des scénarios possibles d’utilisation abusive et intégrez des contrôles, tels que des fonctionnalités restreintes ou des mécanismes de détection des abus. ▪ Établissez des directives de conduite des utilisateurs. Les accords d’utilisation clarifient les comportements acceptables lors de l’interaction avec la charge de travail IA, réduisant ainsi le risque d’abus. Rédigez des conditions d’utilisation claires pour communiquer les normes et soutenir une interaction responsable avec l’IA. |
| Définissez des politiques pour l’intégration et le remplacement de l’IA | ▪ Définissez des politiques d’intégration. Les lignes directrices d’intégration garantissent que les charges de travail IA maintiennent l’intégrité et la sécurité des données lors de l’interfaçage avec d’autres charges de travail. Spécifiez les exigences techniques, les protocoles de partage de données et les mesures de sécurité. ▪ Préparez la transition et le remplacement. Les politiques de transition fournissent une structure lors du remplacement des anciens processus par les charges de travail IA. Définissez les étapes pour éliminer progressivement les processus existants, former le personnel et surveiller les performances tout au long du changement. |
Appliquer les stratégies de gouvernance de l’IA
L’application des politiques de gouvernance de l’IA garantit des pratiques cohérentes et éthiques au sein d’une organisation. Des outils automatisés et des interventions manuelles permettent de soutenir l’adhésion aux politiques dans tous les déploiements. Une application appropriée aide à maintenir la conformité et à minimiser les erreurs humaines.
Automatisez l’application des politiques autant que possible Utilisez des plateformes telles qu’Azure Policy et Microsoft Purview pour appliquer automatiquement les politiques dans les déploiements IA, réduisant ainsi les erreurs humaines. Évaluez régulièrement les domaines où l’automatisation peut améliorer l’adhésion aux politiques.
Appliquez manuellement les politiques IA. Offrez une formation sur les risques et la conformité liés à l’IA aux employés afin qu’ils comprennent leur rôle dans la gouvernance de l’IA. Des ateliers réguliers permettent au personnel de rester informé des politiques IA, et des audits périodiques aident à surveiller l’adhésion et à identifier les domaines à améliorer.
Utilisez des directives de gouvernance spécifiques à la charge de travail. Des directives de sécurité détaillées sont disponibles pour les charges de travail IA sur les services de plateforme Azure (PaaS) et l’infrastructure Azure (IaaS). Utilisez ces directives pour gouverner les modèles, les ressources et les données IA dans ces types de charges de travail.
Surveiller les risques organisationnels associés
La surveillance des risques liés à l’IA permet aux organisations d’identifier les risques émergents et de les traiter rapidement. Les évaluations régulières garantissent que les charges de travail IA fonctionnent comme prévu. La surveillance constante aide les organisations à s’adapter aux conditions évolutives et à prévenir les impacts négatifs des systèmes IA.
Établissez des procédures pour l’évaluation continue des risques. Mettez en place des examens réguliers pour identifier les nouveaux risques, en impliquant les parties prenantes pour évaluer les impacts globaux de l’IA. Développez un plan de réponse pour les problèmes qui surgissent afin de permettre une réévaluation des risques et les ajustements nécessaires.
Élaborez un plan de mesure. Un plan de mesure clair assure une collecte et une analyse de données cohérentes. Définissez des méthodes de collecte de données, telles que la journalisation automatisée pour les indicateurs opérationnels et les enquêtes pour le retour qualitatif. Établissez la fréquence et la portée des mesures, en mettant l’accent sur les domaines à haut risque, et créez des boucles de rétroaction pour affiner les évaluations des risques en fonction des commentaires des parties prenantes.
Quantifiez et qualifiez les risques de l’IA. Choisissez des indicateurs quantitatifs (taux d’erreur, précision) et des indicateurs qualitatifs (retour d’utilisateur, préoccupations éthiques) qui correspondent à l’objectif de la charge de travail. Comparez les performances aux normes industrielles pour suivre les impacts, la fiabilité et les performances de l’IA.
Documentez et rapportez les résultats des mesures. La documentation et les rapports réguliers améliorent la transparence et la responsabilité. Créez des rapports standardisés qui résument les indicateurs, les conclusions et toute anomalie pour orienter la prise de décision. Partagez ces informations avec les parties prenantes pour affiner les stratégies de réduction des risques et améliorer les futurs déploiements.
Établissez des processus d’examen indépendants. Des examens indépendants réguliers offrent des évaluations objectives des risques et de la conformité de l’IA, en utilisant des évaluateurs externes ou des employés internes non impliqués. Utilisez les conclusions pour renforcer les évaluations des risques et affiner les politiques de gouvernance.
Étape suivante
Exemples d’atténuation des risques IA
Le tableau suivant répertorie quelques risques courants liés à l’IA et propose une stratégie d’atténuation et une politique type pour chacun. Le tableau ne présente pas un ensemble complet de risques.
| ID de risque | Risque IA | Limitation des risques | Stratégie |
|---|---|---|---|
| R001 | Non-conformité aux lois de protection des données | Utilisez Microsoft Purview Compliance Manager pour évaluer la conformité des données. | Le cycle de vie de développement de la sécurité doit être mis en œuvre pour garantir que tout développement et déploiement IA soit conforme aux lois de protection des données. |
| R005 | Manque de transparence dans la prise de décision de l’IA | Appliquez un cadre standardisé et un langage pour améliorer la transparence des processus et de la prise de décision IA. | Le cadre de gestion des risques IA de la NIST doit être adopté, et tous les modèles IA doivent être documentés pour maintenir la transparence. |
| R006 | Prédictions inexactes | Utilisez Azure API Management pour suivre les indicateurs de performance des modèles IA afin d’assurer leur précision et leur fiabilité. | La surveillance continue des performances et le retour d’utilisateur doivent être utilisés pour garantir la précision des prédictions des modèles IA. |
| R007 | Attaque par adversaire | Utilisez PyRIT pour tester les charges de travail IA en cas de vulnérabilités et renforcer les défenses. | Le cycle de vie de développement de la sécurité et les tests par une équipe rouge IA doivent être utilisés pour sécuriser les charges de travail IA contre les attaques adverses. |
| R008 | Menaces internes | Utilisez Microsoft Entra ID pour appliquer des contrôles d’accès stricts, basés sur les rôles et l’appartenance à des groupes, afin de limiter l’accès interne aux données sensibles. | Une gestion stricte de l’identité et des accès et une surveillance continue doivent être utilisées pour atténuer les menaces internes. |
| R009 | Coûts inattendus | Utilisez Microsoft Cost Management pour suivre l’utilisation du CPU, GPU, de la mémoire et du stockage afin de garantir une utilisation efficace des ressources et prévenir les hausses de coûts. | La surveillance et l’optimisation de l’utilisation des ressources et la détection automatisée des dépassements de coûts doivent être utilisées pour gérer les coûts inattendus. |
| R010 | Sous-utilisation des ressources IA | Surveillez les indicateurs de service IA, tels que les taux de requêtes et les temps de réponse, pour optimiser l’utilisation. | Les indicateurs de performance et l’évolutivité automatisée doivent être utilisés pour optimiser l’utilisation des ressources IA. |