Demandez à n'importe quel conseil d'administration si l'IA figure à l'ordre du jour, et la réponse sera oui. Demandez-leur dans quelle mesure ils ont confiance dans l'utilisation de l'IA par leurs fournisseurs, et la réponse sera moins claire.
Cet écart ressort clairement de l'étude mondiale menée par HTF Research sur la gouvernance de l'IA et la gestion des risques liés aux tiers, parrainée par Mitratech. L'étude a interrogé 46 dirigeants d'institutions issues des secteurs bancaire, de la gestion d'actifs, de l'assurance, de l'énergie, des entreprises et du courtage. L'IA se répand dans toutes les entreprises. Ce n'est pas le cas des risques liés à l'IA provenant de tiers.
Pour les responsables GRC, cela constitue à la fois un avertissement et une opportunité. Les organisations capables de transformer l'IA tierce, qui représente actuellement un risque invisible, en un actif contrôlé, donneront le ton dans leur secteur.
Découvrez l'état actuel de la gouvernance de l'IA et de la gestion des risques liés aux tiers
Perspectives sectorielles issues des recherches HTF et Mitratech
Télécharger le rapport completL'IA connaît une croissance rapide, mais la maturité en matière de gouvernance varie considérablement
Si de nombreuses organisations ont mis en place une forme ou une autre de cadre de gouvernance de l'IA, le degré de maturité varie considérablement selon les secteurs, les régions et la taille des entreprises. Les environnements hautement réglementés, tels que la finance, ont tendance à montrer la voie, tandis que d'autres en sont encore à jeter les bases de leurs politiques.
Quelques tendances clés se dégagent :
- La plupart des grandes organisations (> 1 milliard de dollars) font état de progrès importants en matière de gouvernance, tandis que les petites entreprises de moins de 500 millions de dollars sont à la traîne.
- Les entreprises, les sociétés de courtage et les organisations énergétiques affichent une plus grande incohérence, avec moins de cadres de gouvernance établis.
- Dans tous les secteurs, des cadres tels que la loi européenne sur l'IA, le NIST AI RMF et la norme ISO 42001 apparaissent comme des points communs d'harmonisation.
La propriété varie également :
- Les entreprises attribuent très majoritairement cette responsabilité au service informatique ou à la sécurité informatique.
- D'autres secteurs répartissent les responsabilités entre les domaines du risque, de la conformité et de l'informatique, reflétant ainsi une responsabilité interfonctionnelle croissante.
Conclusion ? La gouvernance de l'IA arrive à maturité, mais de manière inégale.
Le point aveugle : visibilité limitée sur l'IA tierce
La plupart des organisations tiennent un inventaire des cas d'utilisation interne de l'IA. Mais lorsqu'on leur demande si ces inventaires incluent des solutions d'IA tierces, les réponses varient considérablement.
Notamment :
- De nombreuses entreprises, en particulier au Royaume-Uni, n'incluent pas l'IA des fournisseurs dans leur inventaire.
- Les secteurs bancaire, de la gestion d'actifs et des assurances affichent des performances plus solides, mais même là, la couverture est incomplète.
- Les cycles de publication rapides des logiciels (par exemple, « fonctionnalités d'IA publiées toutes les deux semaines ») compliquent la gestion des stocks.
Pour les professionnels du risque et de la conformité, cela a des implications majeures. Les fournisseurs peuvent utiliser l'IA d'une manière que vous ne pouvez ni voir, ni vérifier, ni contrôler, mais le risque vous revient en fin de compte. Ce manque de visibilité devient rapidement l'un des défis les plus urgents en matière de gouvernance.
Gouvernance de l'IA et TPRM : des fonctions parallèles, mais pas encore intégrées
La plupart des organisations gèrent déjà un large éventail de risques liés aux tiers, allant de la cybersécurité aux risques opérationnels et ESG. Mais lorsqu'il s'agit d'intégrer une surveillance spécifique à l'IA dans ces flux de travail, l'intégration reste limitée.
Les résultats de la recherche montrent que :
- Certaines industries (par exemple, le secteur bancaire/la gestion d'actifs) font état de pratiques de gouvernance et de TPRM partiellement ou totalement intégrées.
- D'autres restent cloisonnés, le risque lié à l'IA étant traité séparément des évaluations par des tiers.
- Seul un petit nombre d'organisations ont déjà résilié un contrat avec un fournisseur pour des raisons liées à l'IA.
À mesure que l'IA s'intègre dans davantage d'outils et de fonctions des fournisseurs, la séparation entre la gouvernance et la gestion des risques liés aux fournisseurs (TPRM) devient de plus en plus intenable.
Les niveaux de confiance dans la gestion des risques liés à l'IA par des tiers sont préoccupants
Lorsqu'on leur a demandé d'évaluer leur confiance dans la gestion des risques liés à l'IA provenant de tiers, la plupart des organisations se sont attribuées une note de 2 ou 3 sur 5.
Parmi les autres lacunes, on peut citer :
- La plupart des organisations évaluent moins de 100 fournisseurs en matière de risques liés à l'IA.
- Beaucoup n'exigent pas des fournisseurs qu'ils divulguent leurs politiques de gouvernance en matière d'IA.
- Les banques et les gestionnaires d'actifs sont les premiers à exiger la divulgation d'informations, mais même dans ce secteur, la majorité d'entre eux n'appliquent pas pleinement cette exigence.
Pour les responsables des risques et de la conformité, il s'agit là d'un signal d'alarme : les organisations comprennent les risques, mais ne disposent pas des preuves et des mécanismes de contrôle nécessaires pour les atténuer.
Les conseils d'administration y prêtent attention et augmentent leurs investissements en conséquence.
Dans toutes les régions et tous les secteurs, la majorité des personnes interrogées indiquent que leur conseil d'administration ou leur direction générale leur a demandé des informations actualisées sur les risques liés à l'IA et les pratiques des tiers au cours de l'année écoulée.
Les tendances en matière d'investissement reflètent cette pression :
- La plupart des entreprises prévoient d'augmenter leurs dépenses en matière de gouvernance de l'IA au cours des 12 à 18 prochains mois.
- Les investissements prévus dans le domaine de la gestion des risques liés aux technologies de l'information (TPRM) sont plus variés, mais l'intérêt augmente dans de nombreux secteurs.
- Les dirigeants souhaitent des rapports plus transparents, une meilleure transparence des modèles et une meilleure visibilité sur l'IA des fournisseurs.
Ce changement marque un tournant dans la gouvernance : la supervision de l'IA passe d'une fonction opérationnelle à une priorité au niveau du conseil d'administration. Les dirigeants veulent des réponses, mais de nombreuses équipes ne disposent pas de la structure ou des données nécessaires pour les fournir. C'est là que la gouvernance, la gestion des risques liés aux tiers (TPRM) et le reporting doivent s'aligner.
Préparation réglementaire : une préoccupation croissante
Aucune des entreprises interrogées ne se considère comme « très bien préparée » aux prochaines réglementations en matière d'IA. La plupart se situent à un niveau de préparation de 2 à 3 sur 5, malgré la mise en œuvre rapide de plusieurs régimes réglementaires majeurs.
Plus révélateur encore : à l'exception du secteur bancaire, la plupart des organisations n'exigent pas de leurs fournisseurs qu'ils se conforment aux mêmes normes de gouvernance de l'IA qu'elles appliquent en interne. À mesure que les attentes réglementaires mondiales convergent, cet écart deviendra de plus en plus coûteux.
Implication pratique : la vague de conformité arrive plus vite que la préparation. Et si vous ne vous attendez pas à ce que les fournisseurs respectent les mêmes normes, votre véritable posture de conformité ne sera aussi solide que votre fournisseur le plus faible.
L'essor des solutions unifiées de gouvernance de l'IA et de gestion des risques liés aux technologies (TPRM)
L'Amérique du Nord et la région APAC manifestent un vif intérêt pour les plateformes unifiées qui gèrent la gouvernance de l'IA et les risques liés aux tiers en un seul endroit. De telles plateformes pourraient aider les organisations à centraliser leurs inventaires, à automatiser la surveillance, à rationaliser la collecte de preuves et à normaliser les critères d'évaluation.
Aujourd'hui, cependant, la plupart des entreprises ne disposent pas d'un système automatisé de surveillance des modèles d'IA, une fonctionnalité essentielle qui fait défaut alors que les systèmes d'IA gagnent en volume et en complexité.
La tendance est claire : de nombreux humains évaluent l'IA. Peu de systèmes sont configurés pour détecter en temps réel les dérives, les biais ou les défaillances de contrôle. Cet écart prendra davantage d'importance à mesure que l'utilisation de l'IA se généralisera.
Perspectives d'avenir : les priorités actuelles des responsables de la conformité et de la gestion des risques
Pour évoluer au rythme des technologies, les organisations doivent se concentrer sur quatre priorités stratégiques.
1. Améliorez la visibilité dans l'ensemble de votre écosystème.
Veiller à ce que toutes les utilisations de l'IA, qu'elles soient internes ou externes, soient répertoriées, documentées et surveillées.
2. Intégrer la gouvernance de l'IA dans les processus de gestion des risques liés aux tiers (TPRM).
Utilisez des contrôles partagés, des cadres harmonisés et des exigences standard en matière de preuves.
3. Mettre en place une surveillance répétable et continue.
Passez des évaluations ponctuelles à des tests, une surveillance et un suivi continus des performances des modèles.
4. Se préparer à l'harmonisation réglementaire mondiale.
Ancrer les cadres réglementaires à la loi européenne sur l'IA et cartographier les contrôles dans les autres régimes réglementaires afin de « se conformer une seule fois, satisfaire plusieurs fois ».
Le risque lié à l'IA est désormais à la fois un risque commercial, un risque de conformité et un risque tiers. Si votre gouvernance s'arrête à votre pare-feu, vous ne voyez que la moitié du problème. L'année prochaine devrait être consacrée à l'intégration de l'IA dans le modèle opérationnel de gestion des risques, et non à l'ajout d'un autre programme parallèle.
Un avenir convergent pour la gouvernance de l'IA et les risques liés aux tiers
Les recherches dressent un tableau clair : alors que les organisations de tous les secteurs adoptent l'IA à grande échelle, les pratiques de gouvernance, en particulier en matière de risques liés aux tiers, se développent de manière inégale. Mais la dynamique s'accélère. Les conseils d'administration s'impliquent, les investissements augmentent et les fonctions de gestion des risques élargissent leur champ d'action pour inclure les systèmes intelligents.
Les organisations qui agissent dès maintenant — en intégrant la gouvernance, en améliorant la visibilité et en normalisant la surveillance — seront les mieux placées pour gérer la prochaine vague de transformation axée sur l'IA.
Comment Mitratech vous aide
Peu importe où vous en êtes dans votre parcours vers la gouvernance de l'IA, Mitratech peut vous aider à apporter une véritable coordination et transparence à votre programme. Notre plateforme unifiée relie des équipes disparates, garantit la coordination de toutes les parties prenantes clés et accélère votre retour sur investissement grâce à des modèles adaptables et des cadres préconfigurés tels que la loi européenne sur l'IA et le NIST AI RMF. À mesure que votre programme évolue, notre architecture flexible s'adapte, offrant une efficacité à long terme et un faible coût total de possession.
Prêt à aller de l'avant avec une gouvernance de l'IA en laquelle vous pouvez avoir confiance ? Contactez Mitratech pour en savoir plus.
