Le MIT a recensé 777 risques potentiels liés à l’IA dans une base de données partagée gratuitement

Cet été, le MIT nous a fait un cadeau ! Le prestigieux organisme de recherche américain a publié un référentiel complet des risques liés à l’intelligence artificielle. L’objectif : vous aider à cartographier l’ensemble des risques qui pèsent sur votre entreprise afin de les mesurer, les quantifier et les mitiger par la suite.

Si vous suivez mes contenus sur le thème de la gouvernance des données et de l’intelligence artificielle, vous avez déjà été sensibilisé au fait que la mise en place d’un cadre de gouvernance passe par l’identification et la cartographie des risques.

Comment en effet atténuer quelque chose que l’on n’a pas référencé et mesuré ?

Première tâche donc, l’identification et la cartographie des risques en matière d’intelligence artificielle. Risques liés aux données, aux modèles, aux usages, les risques sont nombreux. Et l’IA Act européen prévoit d’ailleurs l’obligation de les identifier et de les suivre, afin de classifier les modèles d’IA en fonction des risques encourus.

Mais partir d’une feuille blanche et se gratter la tête en faisant le tour des bureaux n’est pas la méthode la plus efficace. Or il n’existait pas jusqu’à présent un référentiel unique, mais plusieurs référentiels, tous incomplets, et orientés.

Ces derniers mois, les équipes du MIT ont réalisé un travail de compilation et d’organisation de l’ensemble des référentiels qu’ils ont pu identifier ; regroupant l’ensemble des risques dans une taxonomie commune. The AI Risk Repository est donc un travail de synthèse des risques en provenance de 43 taxonomies différentes. Au total, 777 risques ont été identifiés, regroupés et ordonnés dans la taxonomie du MIT.

Ce travail de synthèse est fourni sous forme d’un fichier Excel ou Google Sheets. Avec 777 risques décrits, c’est évidemment beaucoup trop pour la très grande majorité des entreprises, et un important travail de compréhension et de sélection reste à faire.

Par ailleurs chaque entreprise devra évaluer le degré de survenance de ce risque dans sa propre organisation ; ainsi que les impacts de cette survenance sur son métier. Personne ne peut faire ce travail à votre place. Mais bien sûr, remercions le MIT pour cette synthèse qui permet de partir de quelque chose, d’envisager à peu près tous les cas possibles, et ainsi de progresser dans cette cartographie des risques liés à l’IA.

Le framework à déployer est donc le suivant :

- Commencez par prendre connaissance de la base de données des risques du MIT ;

- Sensibilisez la direction générale à l’importance, et parfois à l’obligation, de connaitre le niveau d’exposition de l’entreprise ;

- Programmez des ateliers avec les différentes personnes concernées, métier et informatique, afin de sélectionner dans la base du MIT les risques applicables à l’entreprise ;

- N’hésitez pas à vous faire accompagner dans cette phase afin de démarrer correctement ; un consultant spécialisé peut être un booster et un garde-fou ;

- Pour chacun de ces risques, évaluez leur probabilité de survenance, et les impacts, financiers et autres, de cette survenance éventuelle ;

- Reportez tout cela dans un outil spécialisé de gestion de risques ou à défaut dans une feuille Excel ;

- Mettez en place les stratégies de modération de ces risques ;

- Ne pas oublier de répéter ce processus, lorsque les risques changent ou au minimum une fois par an, afin de maintenir à jour cette cartographie.

Alors je vous entends déjà critiquer ! Jamais je n’aurai le temps de faire cela, la DG ne nous donnera pas de budget, encore un truc qui va rester sur les étagères, bla bla bla…

Vous avez raison de vous inquiéter ! Mais en même temps soyons direct, ce n’est pas un choix. Bien sûr, une PME peut choisir de prendre des risques, sans les mesurer, et en assumer par la suite les conséquences. Mais assurez-vous que cette décision de ne pas cartographier les risques liés à l’IA soit bien prise au plus haut niveau. Et un conseil, protégez vos arrières, et conservez bien la trace de cette décision.

Et si votre DG est plus raisonnable, et comprend l’importance de connaitre et mesurer ces risques, allez-y progressivement. Posez les premiers jalons, et commencez les ateliers. Tiens, par exemple, commencez par les nouveaux projets ! Un nouveau POC d’IA ? Dès la phase de POC, rapprochez-vous des équipes, abordez le sujet, et cartographiez les risques à la volée. En incluant la gouvernance de l’IA dans la phase de design des projets, le fameux « Governance by design », vous rendrez le sujet beaucoup plus fluide. C’est ce que j’appelle le DevSecGovOps, penser à la gouvernance dès la phase de conception, et en faire un élément essentiel de la mise en production.