Le cadre de gestion des risques liés à l'IA du NIST et la gestion des risques liés aux tiers

GOUVERNANCE 2 : Des structures de responsabilité sont en place afin que les équipes et les personnes concernées soient habilitées, responsables et formées pour cartographier, mesurer et gérer les risques liés à l'IA.

GOVERN 3 : Les processus liés à la diversité, à l'équité, à l'inclusion et à l'accessibilité de la main-d'œuvre sont prioritaires dans la cartographie, la mesure et la gestion des risques liés à l'IA tout au long du cycle de vie.

GOVERN 4 : Les équipes organisationnelles s'engagent à promouvoir une culture qui prend en compte et communique les risques liés à l'IA.

GOVERN 5 : Des processus sont en place pour garantir une collaboration solide avec les acteurs concernés dans le domaine de l'IA.

GOVERN 6 : Des politiques et procédures sont en place pour gérer les risques et avantages liés à l'IA découlant de logiciels et données tiers et d'autres problèmes liés à la chaîne d'approvisionnement.

Recherchez des experts pour collaborer avec votre équipe afin de définir et de mettre en œuvre des processus et des solutions d'IA et de TPRM, de sélectionner des questionnaires et des cadres d'évaluation des risques, et d'optimiser votre programme pour traiter les risques liés à l'IA tout au long du cycle de vie des tiers, depuis l'approvisionnement et la diligence raisonnable jusqu'à la résiliation et au départ, en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, vous devez définir :

• Politiques, normes, systèmes et processus visant à protéger les données contre les risques liés à l'IA
• les exigences légales et réglementaires, en veillant à ce que les tiers soient évalués en conséquence
• Rôles et responsabilités clairs (par exemple, RACI) pour la responsabilisation de l'équipe
• Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
• Méthodes d'évaluation et de suivi fondées sur la criticité des tiers et révisées en permanence
• Inventaires d'IA de tiers
• Cartographie quadripartite pour comprendre l'exposition aux risques liés à l'utilisation de l'IA dans votre écosystème étendu.
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) pour les parties prenantes internes
• Exigences contractuelles et droit d'audit
• Exigences en matière de réponse aux incidents
• Rapports sur les risques et les parties prenantes internes
• Stratégies d'atténuation des risques et de remédiation

CARTE 2 : La catégorisation du système d'IA est effectuée.

CARTE 3 : Les capacités de l'IA, son utilisation ciblée, ses objectifs, ses avantages et ses coûts attendus par rapport à des références appropriées sont bien compris.

CARTE 4 : Les risques et les avantages sont cartographiés pour tous les composants du système d'IA, y compris les logiciels et les données tiers.

CARTE 5 : Les impacts sur les individus, les groupes, les communautés, les organisations et la société sont caractérisés.

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
• Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
• Expérience des processus opérationnels ou en contact avec les clients
• Interaction avec les données protégées

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs en fonction de leur exposition aux risques liés à l'IA, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs à l'aide d'une série d'interactions de données et de considérations réglementaires.

MESURE 2 : Les systèmes d'IA sont évalués afin de déterminer s'ils présentent des caractéristiques fiables.

MESURE 3 : Des mécanismes permettant de suivre les risques liés à l'IA identifiés au fil du temps sont en place.

MESURE 4 : Les commentaires sur l'efficacité de la mesure sont recueillis et évalués.

Les évaluations doivent être gérées de manière centralisée et s'appuyer sur des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves afin de garantir à votre équipe une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il convient de noter qu'une solution TPRM doit inclure des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de garantir que les tiers traitent les risques rapidement et de manière satisfaisante tout en fournissant les preuves appropriées aux auditeurs.

Pour compléter les évaluations de l'IA des fournisseurs, suivez et analysez en permanence les menaces externes pesant sur les tiers. Dans ce cadre, surveillez Internet et le dark web à la recherche de cybermenaces et de vulnérabilités. Toutes les données de surveillance doivent être corrélées aux résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui permet de rationaliser les initiatives d'examen des risques, de reporting, de remédiation et de réponse.

Les sources de surveillance sont généralement les suivantes

• plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
• Bases de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Enfin, mesurez en permanence les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des tiers par rapport à vos exigences afin d'aider votre équipe à mettre en évidence les tendances en matière de risques, à déterminer le statut des risques liés aux tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie.

GÉRER 2 : Des stratégies visant à maximiser les avantages de l'IA et à minimiser ses impacts négatifs sont planifiées, préparées, mises en œuvre, documentées et éclairées par les contributions des acteurs concernés par l'IA.

GÉRER 3 : Les risques et avantages liés à l'IA provenant d'entités tierces sont gérés.

GÉRER 4 : Les traitements des risques, y compris les plans d'intervention et de reprise, ainsi que les plans de communication pour les risques liés à l'IA identifiés et mesurés sont documentés et surveillés régulièrement.

Les capacités clés d'un service de réponse aux incidents d'une tierce partie sont les suivantes :

• Évaluations de la gestion des événements et des incidents mises à jour en permanence et personnalisables
• Suivi en temps réel de l'état d'avancement du questionnaire
• Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
• Rapports proactifs sur les fournisseurs
• Des vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
• Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
• Modèles de rapports intégrés pour les parties prenantes internes et externes
• Recommandations de remédiation intégrées pour réduire les risques
• Cartographie des données et des relations afin d'identifier les relations entre votre organisation et les tiers, quatrièmes et Nèmes parties, afin de visualiser les chemins d'information et de révéler les données à risque.

Grâce à ces informations, votre équipe peut mieux gérer et trier les entités tierces, comprendre l'ampleur et l'impact de l'incident, déterminer quelles données ont été affectées, si les opérations du tiers ont été impactées et quand les mesures correctives seront terminées.