Note de la rédaction : Cet article, rédigé par Brad Hibbert, directeur des opérations et de la stratégie chez Prevalent, a été initialement publié sur securitymagazine.com.
Bien que l'intelligence artificielle (IA) existe depuis un certain temps déjà, l'adoption et l'évolution des technologies liées à l'IA ont considérablement progressé au cours de l'année dernière. Un domaine qui semble prêt à tirer parti de l'IA est celui de la gestion des risques liés aux tiers, à condition que l'IA puisse offrir aux organisations un moyen plus simple de gérer les risques liés aux fournisseurs et prestataires tiers et de garantir la conformité à un environnement réglementaire complexe.
Tiers : opportunités et défis
Les organisations font de plus en plus appel à des tiers pour fournir un large éventail de biens et de services, car cela s'avère beaucoup plus efficace et rentable que de tout produire en interne. Malheureusement, cette pratique augmente également les risques liés aux fournisseurs et aux prestataires. La complexité des chaînes d'approvisionnement mondiales rend extrêmement difficile la visibilité sur les pratiques de sécurité et de gestion des risques d'un nombre croissant de tiers. Et comment les professionnels de la sécurité peuvent-ils atténuer des risques sur lesquels ils n'ont aucune visibilité ? C'est une tâche difficile mais importante, car les cybercriminels s'attaquent de plus en plus aux tiers de la chaîne d'approvisionnement pour voler des données sensibles et perturber les opérations.
Les menaces provenant de tiers devenant de plus en plus sophistiquées, les organisations ont besoin de plus de temps pour identifier et remédier aux risques liés aux tiers. Trois raisons principales expliquent cette évolution :
- Le volume des données informatiques continue d'augmenter, provenant d'un nombre toujours croissant de sources. L'analyse et l'examen de ces quantités considérables de données exigent davantage de temps et d'efforts.
- Les processus d'analyse nécessitent divers types de documentation, en fonction du service qui gère le fournisseur et des risques qu'il souhaite gérer. Les risques peuvent être financiers, opérationnels, liés à la conformité, à la réputation ou aux technologies de l'information, ce qui élargit considérablement le type de documentation – et d'expertise – nécessaire à l'analyse.
- Les exigences réglementaires peuvent se chevaucher ou être floues, mais elles sont également de plus en plus rigoureuses, ce qui complique les mesures correctives et les rapports.
La gestion des risques liés aux tiers est aujourd'hui à un tournant. Alors que de nombreuses organisations continuent de faire face à des défis budgétaires et de ressources, comment les responsables de la sécurité peuvent-ils encore apporter les améliorations indispensables à l'efficacité de leurs programmes de gestion des risques liés aux tiers (TPRM) ? Cela est essentiel s'ils veulent réduire le risque de violations, minimiser les impacts potentiels sur l'activité et protéger la réputation de l'organisation.
L'IA peut-elle rationaliser les processus de gestion des risques liés aux tiers ?
L'IA pourrait bien être la solution. Voici trois façons spécifiques dont l'IA peut améliorer les défis liés aux fournisseurs et prestataires tiers à risque.
1. Automatiser la collecte et l'analyse des données sur les risques provenant d'un large éventail de sources — L'IA peut automatiser la collecte et l'analyse des données provenant d'un large éventail de sources, telles que les états financiers, les journaux de sécurité et les certifications de sécurité. L'IA peut ensuite prédire les risques futurs en se basant sur les données historiques issues de ces artefacts et sur les tendances actuelles. Cela réduit le temps et les efforts nécessaires à la gestion des risques liés aux tiers et améliore la qualité de la prise de décision.
2. Fournir un contexte pour simplifier l'analyse des risques et les rapports de conformité — Se conformer à un ensemble complexe de réglementations peut représenter un défi de taille pour les équipes chargées de la conformité et de l'audit, qui manquent souvent d'orientations claires sur la manière de traiter les risques. Souvent, les processus identifiés pour valider les contrôles sont également incohérents, ce qui complique encore davantage le processus. Mais alors que l'analyse et le traitement d'énormes quantités de données prennent beaucoup de temps (et sont fastidieux) pour les humains, des systèmes d'IA correctement formés peuvent analyser automatiquement de vastes quantités de données sur les risques afin de fournir un contexte et d'identifier des modèles et des tendances. Une solution d'IA permet aux équipes chargées de la conformité et de l'audit d'évaluer plus facilement les risques et les contrôles et de générer des conseils et des recommandations de correction.
3. Automatiser les tâches manuelles pour aider les gestionnaires de risques à être plus proactifs — Les gestionnaires de risques passent généralement beaucoup de temps à parcourir des feuilles de calcul, à saisir manuellement des données et à générer des rapports. Il leur est donc difficile d'élaborer des stratégies, d'analyser les risques émergents et de s'engager dans une planification à long terme. Comme l'IA collecte et analyse les données historiques et les tendances actuelles, elle peut prédire les risques futurs, aidant ainsi les professionnels de la sécurité à devenir plus proactifs, car ils disposent alors du temps nécessaire pour prévoir, évaluer et atténuer les risques susceptibles de menacer les objectifs de l'organisation. Il en résulte des décisions plus rapides, plus précises et fondées sur des données concernant les risques liés aux fournisseurs et prestataires tiers.
Ce qu'il faut rechercher dans un TPRM basé sur l'IA
Au cours de l'année dernière, il est apparu clairement que l'IA, en particulier les grands modèles linguistiques (LLM) qui ont fait la une de l'actualité, n'apporte pas nécessairement une solution parfaite à tous les problèmes. Les organisations qui utilisent des outils d'IA doivent être conscientes de certains risques potentiels et s'assurer qu'ils sont pris en compte.
- Qu'il s'agisse d'anomalies statistiques, de mauvaises données d'entrée ou de données de modèle d'apprentissage inadaptées, l'IA peut fournir une interprétation invalide comme étant un fait (et le faire avec confiance). C'est ce qu'on appelle une hallucination. Pour pallier ce risque, les solutions d'IA TPRM doivent s'assurer que les données utilisées pour entraîner le modèle sont basées sur des données réelles relatives aux risques tiers. Elles doivent être précises, diversifiées et représentatives de scénarios réels. Ces solutions doivent continuellement affiner leurs modèles afin de garantir leur amélioration constante en apprenant le contexte et les nuances spécifiques aux risques tiers.
- Lorsque les systèmes d'IA sont construits à partir de données d'apprentissage biaisées, les réponses seront inévitablement tout aussi biaisées. Les biais peuvent être difficiles à détecter, il est donc essentiel d'utiliser des données d'entraînement diversifiées et représentatives de la population réelle. Il est essentiel de mettre à jour et de réentraîner en permanence les modèles d'IA afin d'intégrer les nouvelles données et d'atténuer les biais potentiels. Les évaluateurs humains jouent un rôle important dans l'identification des biais dans les contenus et les décisions générés par l'IA et dans l'évaluation des performances de la solution. Les fournisseurs de solutions doivent donc procéder à des audits réguliers de ces modèles d'IA.
- Il est important de garder à l'esprit que l'introduction de données propriétaires dans des LLM tiers n'est pas une bonne idée, car ces données peuvent ensuite être partagées en dehors de l'organisation. De même, les solutions LLM peuvent intégrer des entrées dans leurs modèles de données, ce qui permet d'effectuer des requêtes ultérieures sur ces données, qui peuvent être confidentielles. Pour empêcher tout accès non autorisé, les données sensibles doivent être cryptées à la fois au repos et en transit afin de les protéger contre de telles requêtes. Si l'IA est utilisée pour traiter certaines tâches de TPRM, la solution doit intégrer des contrôles d'accès et des mécanismes d'autorisation rigoureux afin d'empêcher des personnes ou des systèmes non autorisés d'accéder aux données et de les manipuler.
La gestion des fournisseurs et prestataires tiers a toujours été un aspect difficile de la gestion des risques. De la diligence raisonnable aux contrôles de conformité en passant par la surveillance continue, les gestionnaires de risques sont submergés par les exigences en termes de temps et d'attention. Une solution d'IA correctement formée et entretenue pour la gestion des risques liés aux tiers (TPRM) peut automatiser les tâches routinières et fournir des outils analytiques avancés permettant aux gestionnaires de risques de se concentrer sur des activités stratégiques qui profitent à l'ensemble de l'entreprise.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
