Directives en matière de gouvernance de l'IA qui s'adaptent réellement à l'échelle

L'IA est déjà intégrée dans les processus quotidiens. 

Pour de nombreuses équipes informatiques, le plus difficile n'est pas d'adopter des outils d'IA, mais de contrôler leur utilisation. Les politiques existent souvent sous forme de fichiers PDF, de présentations PowerPoint ou de pages wiki internes qui font bonne impression lors des audits, mais qui sont faciles à ignorer dans le travail quotidien.

Ce blog présente une bibliothèque de directives pratiques pour la gouvernance de l'IA. L'objectif est simple : fournir aux responsables informatiques des directives réutilisables qui couvrent les risques réels et peuvent s'adapter à toutes les équipes, tous les outils et tous les environnements sans ralentir la livraison.

L'accent est mis sur quatre domaines dans lesquels la gouvernance échoue le plus souvent : l'accès aux API, les déploiements, le traitement des données et l'interaction avec les agents IA. 

Ces domaines reflètent les principaux risques identifiés par les professionnels des entreprises, notamment les fuites de données, l'utilisation d'outils non approuvés et le manque de clarté quant à la responsabilité des actions menées par l'IA.

Pourquoi les directives traditionnelles ne parviennent pas à s'adapter

La plupart des directives de gouvernance de l'IA sont créées avec de bonnes intentions. Elles définissent ce qui est autorisé et ce qui ne l'est pas. Le problème réside dans l'endroit où ces règles sont appliquées et la manière dont elles sont mises en œuvre.

Voici quelques exemples courants d'échecs :

• Des politiques rédigées uniquement en langage naturel, sans lien avec les contrôles techniques.
• Des règles uniformes qui ne reflètent pas la manière dont les équipes développent et déploient réellement les logiciels.
• Des étapes d'approbation manuelles qui ralentissent les équipes et sont contournées sous la pression.
• Absence de responsabilité claire lorsque les systèmes IA se comportent de manière inattendue.

Lorsque la gouvernance se situe en dehors du processus, elle est invisible au moment où les décisions sont prises. Une gouvernance évolutive nécessite des lignes directrices qui peuvent être réutilisées, révisées et appliquées là où le travail est effectué.

À quoi ressemble une ligne directrice évolutive en matière d'IA ?

Une ligne directrice évolutive en matière de gouvernance de l'IA présente plusieurs caractéristiques distinctives :

• Elle est suffisamment précise pour guider l'action.
• Elle peut être révisée comme un code.
• Elle correspond à des contrôles techniques, et pas seulement à des intentions.
• Elle peut évoluer à mesure que les outils et les réglementations changent.

Au lieu d'être rédigées sous forme de longs textes, les directives doivent définir le champ d'application, les actions autorisées, les contrôles requis et la responsabilité. Considérez-les comme des éléments constitutifs que les équipes peuvent combiner, plutôt que comme un document unique et définitif.

Directive relative à la politique d'accès aux API

Toute intégration d'IA commence par une connexion API. Elles constituent également une source majeure de risque lorsque l'accès est mal défini.

Structure des directives :

• Services approuvés : dressez la liste des services IA (par exemple, OpenAI ou Anthropic) qui sont autorisés.
• Gestion des secrets : définissez comment les clés API sont stockées et renouvelées.
• Surveillance de l'utilisation : fixer des limites de débit et définir les attentes en matière de journalisation.
• Application Upsun : utilisez des variables de projet pour injecter des clés API dans les environnements en toute sécurité. Cela garantit que les clés ne sont jamais stockées dans la base de code et ne sont disponibles que pour les environnements autorisés.

Directive de politique de déploiement pour les charges de travail IA

Les systèmes d'IA se comportent différemment selon les environnements. Un modèle qui est sûr dans un environnement de test peut présenter un risque en production si les contrôles changent ou si les sources de données s'étendent.

Structure des directives :

• Portée de l'environnement : définissez où les charges de travail IA sont autorisées à s'exécuter.
• Critères d'approbation : définissez les règles de promotion pour le passage des fonctionnalités IA en production.
• Plan de retour en arrière : définir les attentes en matière de réponse aux incidents pour les systèmes autonomes.
• Application Upsun : utiliser des environnements de test de prévisualisation parfaite de la production pour tester le comportement des agents IA dans des conditions de sécurité restreintes avant leur mise à disposition au public.

Directive relative au traitement des données et à la politique de confidentialité

Le traitement des données est le domaine le plus critique pour la gouvernance de l'IA. Les PME soulignent systématiquement que la confidentialité des données est le risque le plus important, en particulier dans le cadre de réglementations telles que le RGPD.

Structure des directives :

• Droits d'accès : quelles données les systèmes IA sont-ils autorisés à lire ?
• Règles d'anonymisation : les données personnelles ou sensibles sont-elles autorisées dans les invites ?
• Exigences en matière de résidence : où les données doivent-elles être stockées et traitées ?
• Application ascendante : utilisez l'hébergement régional pour attribuer les charges de travail de l'IA à des emplacements spécifiques. Cela garantit que les données restent dans la juridiction requise tout en conservant une expérience de gestion unifiée.

Directive relative à l'interaction avec les agents IA

À mesure que les équipes passent de simples invites à des agents IA qui agissent de manière autonome, la gouvernance devient plus complexe.

Structure des directives :

• Autorisations des agents : quels systèmes l'agent peut-il lire ou écrire ?
• Supervision humaine : définissez les actions sensibles qui nécessitent une approbation manuelle.
• Piste d'audit : définir les attentes en matière de surveillance et de journalisation des exécutions.
• Application Upsun : exploiter les journaux d'activité et la configuration Git pour garantir que chaque action effectuée par ou pour un agent est documentée et réversible.

Comment une bibliothèque de directives soutient les objectifs de direction informatique

Pour les cadres intermédiaires informatiques, la gouvernance consiste à trouver un équilibre entre rapidité, risque et confiance. Une bibliothèque de directives de gouvernance IA réutilisable favorise cet équilibre en :

• Réduisant l'effort de création de politiques entre les équipes.
• Accélérant et uniformisant les révisions.
• Permettant l'application des règles grâce à des contrôles techniques.
• Améliorant la visibilité sur l'utilisation de l'IA.

Au lieu de débattre des règles pour chaque nouveau projet, les équipes partent d'une base commune. Cela permet de passer d'une discussion sur l'autorisation de l'IA à une discussion sur son utilisation en toute sécurité.

Passer des directives à la pratique

Les directives seules ne suffisent pas. Elles doivent être intégrées dans les processus, révisées régulièrement et considérées comme des artefacts vivants.

Les plateformes qui prennent en charge la configuration dans le code, la gestion automatisée de l'environnement et l'observabilité intégrée facilitent cette tâche. Elles permettent de transformer les politiques en contrôles applicables qui s'adaptent à l'échelle de la livraison. La gouvernance de l'IA ne doit pas reposer uniquement sur la confiance. Elle doit s'appuyer sur des politiques claires et réutilisables, faciles à appliquer et difficiles à contourner.

Sources

• Présentation du cadre de gestion des risques liés à l'IA du NIST. https://www.nist.gov/itl/ai-risk-management-framework 
• Loi européenne sur l'IA, obligations des déployeurs et calendrier.
  https://artificialintelligenceact.eu/article/26/ 
• Page ISO/IEC 42001:2023.
  https://www.iso.org/standard/42001