Selon l'EU AI Act, les fournisseurs d'IA a haut risque ont de nombreuses exigences en matiere de documentation. Lorsqu'on utilise un systeme de gestion de documents SaaS tiers pour stocker ces documents, plusieurs preoccupations en matiere de confidentialite et de securite se posent.
En tant que developpeurs de la plateforme open source de gouvernance de l'IA VerifyWise, et a travers notre travail avec des plateformes sur site en entreprise, nous connaissons bien ces risques.
Dans cet article, nous discuterons de la maniere dont le partage de ces informations avec un systeme tiers pourrait exposer de la propriete intellectuelle sensible et des secrets commerciaux.
Divulgation de documentation technique sensible
Selon l'EU AI Act, les fournisseurs d'IA a haut risque doivent creer et maintenir une documentation technique detaillee. Celle-ci comprend :
- L'architecture du systeme et les specifications de conception
- Les exigences en matiere de donnees et les procedures de gouvernance
- Les methodologies et techniques de developpement
- Les metriques de performance et les resultats des tests
La plupart des entreprises d'IA a haut risque ayant des exigences strictes en matiere de confidentialite ne divulguent pas ces informations publiquement. Les institutions financieres, les compagnies d'assurance, les prestataires de soins de sante et les operateurs telecoms utilisent generalement des plateformes auto-hebergees sur site pour stocker les donnees pertinentes.
Divulgation du registre des risques
Selon l'EU AI Act, les fournisseurs doivent etablir un systeme de gestion des risques, documentant :
- L'identification et l'analyse des risques
- L'estimation et l'evaluation des risques
- Les mesures de controle des risques
Cette documentation peut egalement contenir des informations sensibles sur les vulnerabilites du systeme de l'entreprise et les strategies d'attenuation.
Documentation sur les donnees d'entrainement
Selon l'EU AI Act, des registres detailles des jeux de donnees d'entrainement, de validation et de test doivent etre maintenus, comprenant :
- Les sources et caracteristiques des donnees
- Les techniques de pretraitement
- Les procedures d'etiquetage
Le telechargement de documents contenant ces informations pourrait risquer d'exposer des jeux de donnees proprietaires ou des methodes de traitement des donnees a des plateformes SaaS tierces.
Capacites de journalisation
Les systemes d'IA a haut risque doivent avoir des capacites de journalisation pour enregistrer les evenements et les decisions. La documentation de ces capacites peut inclure :
- Les types de donnees enregistrees
- Les politiques de stockage et de conservation
- Les mesures de controle d'acces
Ces informations pourraient reveler les operations du systeme et les pratiques de traitement des donnees, ce qui presente des risques lors du partage de documents avec un fournisseur tiers de gouvernance de l'IA. Le risque est amplifie lorsque des employes adoptent des outils d'IA sans l'approbation du service informatique, un probleme que la detection de shadow AI est concue pour resoudre en faisant emerger les utilisations non autorisees a partir de vos journaux reseau existants.
Pour tous les domaines ci-dessus, le telechargement de documentation detaillee sur une plateforme SaaS tierce de gouvernance de l'IA pourrait potentiellement exposer des informations operationnelles sensibles. Cela pourrait compromettre l'avantage concurrentiel du fournisseur d'IA.
De plus, si ces informations tombent entre de mauvaises mains, elles pourraient etre exploitees pour cibler les faiblesses du systeme d'IA ou les capacites de reponse aux incidents de l'organisation.
Pour attenuer ces risques, les fournisseurs d'IA a haut risque devraient evaluer soigneusement les mesures de securite du fournisseur SaaS, mettre en oeuvre des controles d'acces rigoureux et envisager de chiffrer les parties particulierement sensibles de la documentation.
Ils pourraient egalement vouloir explorer des solutions hybrides qui conservent les informations les plus critiques sur site tout en utilisant la plateforme SaaS pour la documentation moins sensible.
VerifyWise : democratiser la gouvernance de l'IA
La plateforme open source de gouvernance de l'IA de VerifyWise peut etre installee sur site et offre plusieurs avantages en termes de confidentialite et de securite pour les fournisseurs d'IA a haut risque :
-
Controle des donnees : Vous avez la pleine propriete et le controle total de la documentation et des donnees sensibles. Il n'est pas necessaire de telecharger des informations critiques vers des systemes tiers, ce qui reduit le risque d'acces non autorise ou de violations de donnees.
-
Personnalisation et integration : Puisque vous disposez du code source complet, vous pouvez adapter la plateforme aux besoins specifiques de l'organisation et aux exigences de securite, et l'integrer a l'infrastructure de securite existante sur site.
-
Exposition reduite des secrets commerciaux : Les details et algorithmes sensibles de votre systeme d'IA restent au sein de l'organisation, reduisant le risque de fuite de propriete intellectuelle.
En proposant une plateforme de gouvernance de l'IA open source sur site, VerifyWise fournit aux fournisseurs d'IA a haut risque une solution qui repond a de nombreuses preoccupations en matiere de confidentialite et de securite associees a l'utilisation de systemes SaaS tiers. Cette approche permet aux organisations de maintenir un controle plus strict sur leurs donnees et leur infrastructure tout en beneficiant d'un cadre structure de gouvernance de l'IA.
Contactez-nous maintenant pour voir une demonstration de VerifyWise.