ISO 42001 : Un cadre pour une IA sécurisée et maîtrisée
L’ISO 42001:2023, c’est un peu comme l’ISO 27001:2022, mais on ne parle pas de SMSI, on parle de SMIA… c’est bon, je vous ai perdu.
Pour faire simple, on parle de Système de Management de l’Intelligence Artificielle ou “SMIA”. L’objectif ? Définir de manière concrète un ensemble de garde-fous pour minimiser les risques liés au développement et au déploiement d’IA.
En pratique, cela consiste à mettre en place des stratégies en interne et à implémenter des outils de sécurité de l’information adaptés à l’IA. Autrement dit, d’un point de vue pratique, c’est définir un ensemble de politiques et procédures propre à l’entreprise, à qui l’on donne vie à travers un nombre conséquent d’actions à entreprendre, allant de la cartographie des données utilisées pour l’IA, jusqu’au développement d’une véritable sensibilisation éthique au sein de vos équipes.
Ok, c’est encore trop brumeux ? Passons au concret.
Analyse des risques et gestion des données : les piliers de l’ISO 42001
Par exemple l’une des premières étapes à effectuer est ce qu’on appelle l’analyse des risques.
L’objectif principal est d’identifier, comprendre et traiter les risques inhérents au SMIA, ainsi que ceux qu’il peut engendrer sur les individus, les groupes ou la société (c’est déjà plus parlant non ?).
Dans cette étape on va se demander par exemple :
D’où viennent les données utilisées pour l’entraînement de mon IA ?
Ces données respectent-elles la vie privée des individus concernés ?
Quels impacts psychologiques ou sociétaux mon système pourrait-il avoir ?
Quelle est l’empreinte environnementale du déploiement de ma solution ?
Cette première étape essentielle nous permet donc de cartographier les risques du Système d’Intelligence Artificielle (”SIA”) et ainsi de prévoir un ensemble de protection afin de minimiser ces risques.
Ok jusque là c’est de l’ISO 27001, trop rien de neuf.
Là où on sort des sentiers battus de la 27001, c’est surtout sur la question des jeux de données. Bon, là, clairement, OpenAI commencerait à tourner de l’œil.
Afin de garantir une utilisation éthique et maîtrisée des données, l’ISO 42001 prévoit de déterminer comment l’organisation collecte ou prévoit de collecter et sélectionner ses données.
Des données mal préparées ou biaisées peuvent entraîner des erreurs graves (Tay, si tu nous entends…). La qualité des données est donc essentielle, mais souvent difficile à garantir en raison des volumes massifs et de la diversité des sources.
Un SIA performant et fiable repose sur des données solides. Négliger cet aspect, c’est prendre le risque de développer un modèle inefficace, voire dangereux.
Déployer un SIA sans objectifs précis, c’est comme naviguer sans boussole. L’ISO 42001 exige que chaque projet réponde à des questions fondamentales :
Pourquoi ce système d’IA est-il nécessaire ?
Quels problèmes doit-il résoudre ?
Quels bénéfices espère-t-on en tirer ?
Pourquoi ai-je décidé de déployer une IA qui génère des vidéos pour voir mon collègue parler chinois ? Je vous le demande.
Supervision humaine et retrait des SIA : des exigences cruciales
Cette logique est complété par la planification du déploiement, c’est à dire organiser et préparer clairement tout ce qu’il faut pour que votre IA fonctionne correctement et réponde aux attentes. Concrètement, cela se fait en :
documentant un plan détaillé (décrire précisément comment le système sera configuré, quelles sont ses dépendances, et ce qu’il faut pour qu’il tourne);
en effectuant des vérifications pour garantir que le système respecte les objectifs fixés ; et
en mettant à disposition une documentation claire aux utilisateurs et aux régulateurs (limites, performances attendues, mécanismes de surveillance).
C’est s’assurer que tout est prêt, clair et bien compris avant de lancer l’IA.
Une autre exigence clé de l’ISO 42001 est la nécessité de planifier le retrait du SIA.
Pourquoi ? Pour tout simplement éviter que le système ne devienne obsolète ou exploitable à des fins malveillantes. Cela permet de garantir que les données et modèles soient archivés ou détruits de manière sécurisée et également de prévoir une transition vers d’autres solutions pour ne pas perturber les opérations des entreprises qui utilisent le ou les SIA en question.
Un dernier point et pas des moindres, est celui concernant le contrôle humain.
L’ISO42001, étant en grande partie le reflet de l’IA Act, nous rappelle que les organisations doivent attribuer des responsabilités spécifiques pour assurer la supervision des SIA tout au long de leur cycle de vie.
L'ISO nous demande de définir et documenter les exigences en matière de supervision humaine, notamment pour savoir quand et comment les humains doivent intervenir, quels sont les outils ou processus nécessaires pour assurer cette supervision ainsi que les mécanismes permettant aux humains de vérifier, contester ou annuler les décisions prises par le SIA si nécessaire.
Et oui, c’est quand même bien un SMIA pour pas ne faire n’importe quoi.
Conclusion
Alors, prêts à adopter un cadre solide pour vos projets IA ? Si oui, vous savez par où commencer.
Et n’oubliez pas :
“L’automatisation approximative constitue le pire des deux mondes. Lorsqu’une technologie ne permet pas d’améliorer significativement la productivité, son déploiement massif en remplacement des travailleurs humains aboutit à tous les inconvénients sans avantage.”
Ce n’est pas moi qui le dis, mais Pascal Restrepo.
Allez, sur ce, tchao ! Quentin Frohman
Comentários