Risques lies a l'utilisation de systemes tiers pour la gouvernance de l'IA

L'EU AI Act impose une longue liste d'exigences de documentation aux fournisseurs d'IA a haut risque. Des l'instant ou vous stockez ces documents dans un SaaS tiers, quelques problemes de confidentialite et de securite arrivent avec eux.

En tant qu'equipe qui developpe la plateforme de gouvernance a code source disponible VerifyWise, et grace a notre travail avec des plateformes sur site au sein d'entreprises, nous avons vu ces risques de pres.

Voici comment confier ces informations a un systeme tiers peut exposer de la propriete intellectuelle sensible et des secrets commerciaux.

Divulgation de documentation technique sensible

L'EU AI Act exige des fournisseurs a haut risque qu'ils creent et maintiennent une documentation technique detaillee. Celle-ci couvre :

• L'architecture du systeme et les specifications de conception
• Les exigences en matiere de donnees et les procedures de gouvernance
• Les methodologies et techniques de developpement
• Les metriques de performance et les resultats des tests

La plupart des entreprises d'IA a haut risque soumises a des exigences strictes de confidentialite ne divulguent pas ces informations publiquement. Les institutions financieres, les compagnies d'assurance, les prestataires de soins de sante et les operateurs telecoms utilisent generalement des plateformes auto-hebergees sur site pour stocker les donnees concernees.

Divulgation du registre des risques

Les fournisseurs doivent aussi faire fonctionner un systeme de gestion des risques et documenter :

• L'identification et l'analyse des risques
• L'estimation et l'evaluation des risques
• Les mesures de controle des risques

Cette documentation peut elle aussi contenir des informations sensibles sur les vulnerabilites du systeme de l'entreprise et ses strategies d'attenuation.

Documentation sur les donnees d'entrainement

Le reglement veut egalement des registres detailles de vos jeux de donnees d'entrainement, de validation et de test, dont :

• Les sources et caracteristiques des donnees
• Les techniques de pretraitement
• Les procedures d'etiquetage

Telecharger des documents contenant ces informations risque d'exposer des jeux de donnees proprietaires ou des methodes de traitement des donnees a des plateformes SaaS tierces.

Capacites de journalisation

Les systemes d'IA a haut risque doivent disposer de capacites de journalisation pour enregistrer les evenements et les decisions. La documentation de ces capacites peut inclure :

• Les types de donnees enregistrees
• Les politiques de stockage et de conservation
• Les mesures de controle d'acces

Ces informations pourraient reveler le fonctionnement du systeme et les pratiques de traitement des donnees, ce qui presente des risques lorsqu'on partage des documents avec un fournisseur tiers de gouvernance de l'IA. Le risque s'aggrave quand des employes adoptent des outils d'IA sans l'approbation du service informatique, un probleme que la detection de shadow AI est concue pour resoudre en faisant remonter les utilisations non autorisees a partir de vos journaux reseau existants.

Sur ces quatre domaines, telecharger cette documentation vers un SaaS de gouvernance tiers peut exposer des details operationnels sensibles, et cela peut grignoter la position concurrentielle d'un fournisseur d'IA.

Il y a aussi un risque plus tranchant. Si ces informations arrivent entre de mauvaises mains, elles peuvent servir a cibler les points faibles du systeme d'IA ou la facon dont l'organisation reagit aux incidents.

Pour eviter cela, les fournisseurs a haut risque devraient examiner de pres la securite du fournisseur SaaS, mettre en place des controles d'acces stricts et chiffrer les parties les plus sensibles de la documentation. Il vaut aussi la peine d'envisager une configuration hybride, en gardant les elements critiques sur site et en n'utilisant la plateforme SaaS que pour les parties moins sensibles.

L'approche de VerifyWise

VerifyWise est a code source disponible et peut etre installe sur site, ce qui donne aux fournisseurs d'IA a haut risque quelques avantages reels en matiere de confidentialite et de securite :

• Controle des donnees : vous avez la pleine propriete et le controle total de la documentation et des donnees sensibles. Il n'est pas necessaire de telecharger des informations critiques vers des systemes tiers, ce qui reduit le risque d'acces non autorise ou de violation de donnees.

• Personnalisation et integration : comme vous disposez de l'integralite du code source, vous pouvez adapter la plateforme aux besoins specifiques de l'organisation et a ses exigences de securite, et l'integrer a l'infrastructure de securite sur site existante.

• Moins d'exposition des secrets commerciaux : les details et les algorithmes sensibles de votre systeme d'IA restent au sein de l'organisation, ce qui reduit le risque de fuite de propriete intellectuelle.

Faire tourner la gouvernance sur site avec un code que vous pouvez lire repond a la plupart des preoccupations de confidentialite et de securite liees au SaaS tiers. Vous gardez un controle plus strict sur vos donnees et votre infrastructure, et vous disposez quand meme d'une maniere structuree de gouverner votre IA.

Envie de voir comment cela fonctionne en pratique ? Reservez une demonstration et nous vous guiderons.