Dans le vaste univers de la technologie, l'intelligence artificielle se dresse telle une énigme, un mystère qui captive et intrigue. Elle est l'objet de tous les débats, un sujet qui ne laisse personne indifférent. Tantôt admirée, tantôt redoutée, elle s'infiltre dans chaque recoin de notre existence, se déployant dans un éventail de formes et d'applications presque infini. Comme une galerie de miroirs, elle reflète l'IA faible et l'IA forte, l'IA réactive et l'IA consciente, se déclinant en une myriade d'applications allant de la vision par ordinateur au traitement naturel du langage, en passant par la robotique et l'analyse prédictive.
Le terme d’intelligence artificielle n’est pourtant pas très récent puisque la première utilisation du terme date des années 50 ! Certains précurseurs, comme Allan Turing ont par ailleurs posé les bases de certains principes toujours en vigueur aujourd’hui.
C’est dans ce contexte que la norme ISO42001 publiée en décembre 2023 tente de trouver sa place et d’apporter un cadre à cette révolution technologique qui ne manquera pas de marquer de son empreinte les innovations futures dans tous les secteurs d’activité.
Présentation de l'ISO42001
En termes de forme, rien de nouveau, si vous êtes habitué à la structure des normes ISO vous ne serez pas perdu.
Vous retrouverez un volet relatif aux exigences (que l’on pourrait assimiler aux fondements du système de management) et plusieurs annexes.
L’annexe A présente les fameuses mesures de sécurité à implémenter (en fonction de leur applicabilité), l’annexe B détaille quant à elle le guide d’implémentation de ces mesures de sécurité (idéal pour qui ne sait pas trop par où commencer)
L’annexe C (très pratique) vous permet d’identifier des potentiels objectifs et sources de risque liés aux activité d’intelligence artificielle. C’est un guide précieux pour définir le cadre de votre AIMS (Artificial Intelligence Management System)
Enfin l’annexe D rappelle quelques principes d’applicabilité de ce système de management et l’inter-opérabilité avec les autres systèmes de management comme ISO27001 ou ISO27701.
Quelles exigences ?
Comme tout système de management (sécurité, qualité, environnement) la première exigence sera de comprendre le contexte dans lequel évolue votre organisation : Son secteur d’activité, ses cas d’usage, les régulations spécifiques bref vous allez devoir passer au scanner les tenants et les aboutissants de votre entreprise dans le contexte de l’utilisation de l’IA. Cette étape est primordiale et permet de poser les fondements de votre futur système de management à travers notamment la déclinaisons en objectifs quantifiables et mesurables autour de votre IA. Pour quelle raison? Simplement pour savoir si votre système de management est à la hauteur de vos attentes et de celles de vos parties intéressées (clients, régulateurs, employé.e.s). Cela peut paraitre bête, mais croyez moi c’est fondamental pour comprendre le rôle d’un système de management.
Dans le contexte de l’IA, vous devrez réaliser (et piloter) une analyse des risques rigoureuse (de ce point de vue l’annexe C vous sera d’une aide précieuse) pour tenter de déterminer les sources de menaces, les vulnérabilités, les actifs et bien entendu les impacts. Petite précision ,la norme n’impose pas de méthode d’analyse des risques mais vous recommande d’aller jeter un oeil aux normes ISO/IEC 38507 & ISO/IEC 23894 spécifiques à l’utilisation des technologies d’intelligence artificielle en entreprise. Petite différence subtile avec la traditionnelle norme ISO27001, dans le cadre de l’analyse des risques il est demandé de réaliser une analyse d’impact complémentaire. Quelle différence me direz-vous, et bien dans le cadre de l’analyse des risques nous allons plutôt évaluer l’impact de ces risques pour l’organisation. Dans le cadre de l’analyse d’impact nous allons nous interroger sur les conséquences pour les individus voire de la société en cas de détournement de l’usage de l’IA. Disons que le point de vue est différent même si l’approche peut être mutualisée.
Pour le reste pas de grande surprise, vous retrouverez des exigences similaires à notre bonne vieille 27001 .
Les principales mesures de sécurité
Dans l’étape précédente nous avons :
posé les bases et les règles de vie à bord du bateau
déterminé un cap à suivre (en évitant les récifs)
avons fait une revue des troupes et des forces en puissance
fait le tour d’inspection avant d’embarquer
Il est temps à présent d’ouvrir la boite à outils contenue dans l’annexe A à savoir les mesures de sécurité.
Si je devais caricaturer je dirais que les mesures de sécurité de l'annexe A sont aux normes ISO ce que les bottes sont à la moto : Ce n’est pas obligatoire, mais c’est quand même FORTEMENT recommandé !
En somme, vous pourriez tout à fait rendre la majorité des mesures de sécurité inapplicable à votre contexte, mais il va falloir avoir de solides arguments à faire valoir le jour de l’audit et démontrer par votre analyse des risques que toutes ces mesures sont inutiles —> Bon courage !
Parmi les mesures les plus emblématiques j’en ai retenu 4
Le report de problématique
Votre organisation devra mettre en oeuvre un processus en vue de permettre à quiconque utilise votre système d’IA de remonter des alertes ou des problématiques de tout ordre. Ce processus devra permettre à l’utilisateur de le déclarer anonymement, devra être facilement accessible et devra faire l’objet d’un rapport systématique
Le sourcing de donnée
La documentation disponible devra préciser la sources des données utilisée pour “nourrir” votre IA. L’enjeu de transparence est fondamental pour lutter notamment contre les biais d’une intelligence artificielle (qui sont assez proches des biais cognitifs classiques). Plus une IA est nourrie plus elle devient pertinente, mais hors de question ici de se nourrir de tout et n’importe quoi. Qui plus est le contenu des sources de données peut être protégé par des droits d’auteur (coucou le NY Times).
L’intelligence…humaine !
Un volet de ces mesures de sécurité consiste à s’assurer que derrière cette intelligence artificielle se trouve une équipe d’experts qualifiés à traiter ces environnements d’un genre nouveau. D’une certaine manière, cette mesure est rassurante car elle obligera les organisations à disposer de ressources compétentes pour traiter tous les aspects du fonctionnement et de régulation des technologies dont les frontières sont parfois difficiles à cerner. Donc si votre objectif était de confier votre projet à l’armée d’alternant.e.s le tout couplé à crédit d’impôts recherche c’est loupé.
De l’art de documenter
Le plus gros enjeu de cette démarche résidera dans la capacité de votre organisation à formaliser et documenter les différentes étapes du cycle de vie de votre IA et les étapes de contrôle présentes à chaque changement. On sent ici qu’ISO a vocation à bâtir un système qui puisse être facilement auditable (notamment par des autorités). Là encore, on peut estimer que ces mesures sont justes car le niveau de complexité est tel qu’il peut vite échapper à ses créateurs et à ceux qui sont en charge de les surveiller. La bonne nouvelle c’est que vous pourrez utiliser une IA pour vous aider à créer les documents…CQFD !
Sécurité et IA ?
A la lecture de cette nouvelle norme, on pourrait presque regretter le peu de mesures de sécurité techniques à implémenter c’est pourquoi il parait peu pertinent d’envisager cette certification sans implémenter un SMSI 27001 en parallèle.
Pour les organisations déjà certifiées ISO27001, l’ajout du système de management 42001 relèvera de la formalité ( à conditions de respecter les mesures de sécurité de l’annexe A). Pour les autres voici quelques arguments de cette approche intégrée et qui réside dans la complémentarité de leurs objectifs :
Cohérence dans la Gestion des Risques : En les mettant en œuvre ensemble, vous assurez une approche cohérente de la gestion des risques, couvrant à la fois les aspects généraux de la sécurité de l'information et les défis spécifiques posés par les technologies d'IA.
Optimisation des Ressources : • Il y a souvent des chevauchements dans les exigences de ces normes, notamment en matière de gouvernance, de gestion des risques, et de processus de révision. En les intégrant, vous pouvez rationaliser les processus et utiliser plus efficacement vos ressources, évitant ainsi les duplications inutiles.
Amélioration de la Sécurité et de la Conformité :Cette approche intégrée renforce la posture globale de sécurité et de conformité de l'organisation.
Gestion des Données et Vie Privée : L'IA implique souvent le traitement de grandes quantités de données, y compris des données personnelles.En combinant ISO 27001 ou ISO27701 avec ISO 42001, vous pouvez mieux gérer les aspects liés à la vie privée et à la protection des données dans les projets d'IA.
Réponse Aux Attentes des Parties Prenantes : Les clients, partenaires et régulateurs peuvent avoir des attentes croissantes en matière de sécurité de l'information et de gestion responsable de l'IA. L'adoption conjointe de ces normes démontre un engagement fort envers les meilleures pratiques dans ces deux domaines, renforçant la confiance des parties prenantes.
Innovation Responsable : En mettant en œuvre ISO 42001 en parallèle avec ISO 27001, les organisations peuvent s'assurer que leurs innovations en IA sont non seulement sécurisées, mais également éthiques et conformes aux normes internationales.
Conclusion
Au-delà des aspects techniques, l'implémentation conjointe de ces normes relève de l’aventure philosophique, un appel à une réflexion éthique sur notre rapport à la technologie. C'est une invitation à envisager l'IA non pas comme une menace, mais comme un miroir de notre propre humanité, un défi à notre capacité à innover de manière responsable et à façonner un avenir où l'homme et la machine avancent ensemble, en harmonie.
Nous vivons à une époque où l'intelligence artificielle n'est plus un simple outil, mais un compagnon de notre quotidien, une extension de notre propre intelligence et capacités. Cette coexistence soulève des questions philosophiques profondes : Quel est le rôle de l'IA dans notre société ? Comment pouvons-nous coexister avec ces entités numériques tout en préservant nos valeurs humaines ?
L'ISO 42001, en symbiose avec l'ISO 27001, n'est pas seulement un cadre pour sécuriser des données ou réguler des systèmes ; c'est un pas vers une compréhension plus profonde de notre responsabilité en tant qu'êtres humains dans un monde de plus en plus numérisé. En intégrant ces normes, nous ne faisons pas que protéger des informations ; nous forgeons un avenir où l'intelligence artificielle fonctionne non seulement efficacement, mais aussi éthiquement.
