Trois réglementations, un défi : sécuriser vos systèmes d’IA
Les organisations européennes déployant l’IA font face à une convergence sans précédent d’exigences réglementaires. L’EU AI Act, DORA (Digital Operational Resilience Act) et NIS2 (Network and Information Security Directive) abordent chacun différents aspects du risque technologique — mais leurs exigences se chevauchent de plus en plus en ce qui concerne les systèmes d’IA.
Pour les CISO, les responsables de la conformité et les équipes de gouvernance de l’IA, comprendre comment ces réglementations interagissent n’est pas qu’un exercice académique. C’est la différence entre construire un programme de conformité cohérent et se noyer dans des efforts dupliqués.
L’EU AI Act : exigences spécifiques à l’IA
L’EU AI Act est la première réglementation complète sur l’IA au monde. Pour les systèmes d’IA à haut risque, elle impose :
- Des systèmes de gestion des risques qui identifient, analysent et atténuent les risques tout au long du cycle de vie de l’IA
- Une gouvernance des données garantissant que les ensembles de données d’entraînement, de validation et de test sont pertinents, représentatifs et exempts d’erreurs
- Une documentation technique permettant l’évaluation de la conformité du système d’IA
- Des obligations de transparence garantissant que les utilisateurs comprennent qu’ils interagissent avec l’IA et peuvent interpréter ses résultats
- Des mesures de supervision humaine permettant aux humains de surveiller, d’intervenir et d’annuler les décisions de l’IA
- Une précision, robustesse et cybersécurité appropriées à l’objectif et au niveau de risque du système d’IA
La loi introduit également des obligations pour les modèles d’IA à usage général, notamment des exigences de transparence, de documentation technique et — pour les modèles présentant un risque systémique — des tests adverses et la déclaration d’incidents.
DORA : résilience numérique pour les services financiers
DORA s’applique aux entités financières dans l’UE et à leurs fournisseurs de services TIC critiques. Sa pertinence pour l’IA se manifeste à travers plusieurs canaux :
- Gestion des risques TIC : les systèmes d’IA sont des actifs TIC. DORA exige des capacités complètes d’identification, de protection, de détection, de réponse et de récupération des risques pour tous les systèmes TIC — y compris l’IA
- Déclaration d’incidents : les incidents TIC majeurs doivent être signalés aux autorités compétentes. Cela inclut les défaillances d’IA ou les violations de sécurité qui affectent les services financiers
- Tests de résilience opérationnelle numérique : les entités financières doivent tester régulièrement leurs systèmes TIC, y compris les tests de pénétration basés sur les menaces. Les systèmes d’IA entrent pleinement dans le champ d’application
- Gestion des risques tiers : les entités financières doivent gérer les risques provenant des fournisseurs TIC tiers, y compris les fournisseurs d’IA et les services ML basés sur le cloud
NIS2 : élargir le filet de sécurité
NIS2 élargit considérablement le champ d’application des exigences de cybersécurité de l’UE pour couvrir les entités essentielles et importantes dans 18 secteurs. Ses implications pour l’IA incluent :
- Gestion des risques de cybersécurité : les entités doivent mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques pesant sur leurs réseaux et systèmes d’information — y compris les composants d’IA
- Sécurité de la chaîne d’approvisionnement : NIS2 exige spécifiquement l’évaluation de la sécurité des chaînes d’approvisionnement, directement pertinente pour les chaînes d’approvisionnement de modèles et de données d’IA
- Notification d’incidents : les incidents significatifs doivent être signalés dans les 24 heures, avec une notification complète dans les 72 heures
- Responsabilité de la direction : la direction générale doit approuver les mesures de gestion des risques de cybersécurité et peut être tenue personnellement responsable en cas de non-conformité
Où les réglementations convergent sur l’IA
Évaluation et gestion des risques
Les trois réglementations exigent une évaluation systématique des risques. Plutôt que de mener trois évaluations distinctes, les organisations devraient développer un cadre unifié de gestion des risques de l’IA qui répond aux exigences spécifiques de chaque réglementation. Le NIST AI Risk Management Framework fournit une base utile qui peut être mise en correspondance avec les exigences réglementaires de l’UE.
Réponse et déclaration d’incidents
Un incident de sécurité de l’IA peut déclencher simultanément des obligations de déclaration en vertu des trois réglementations. Un modèle d’IA empoisonné dans une institution financière pourrait constituer une défaillance d’un système d’IA à haut risque (EU AI Act), un incident TIC majeur (DORA) et un incident de sécurité significatif (NIS2). Votre processus de réponse aux incidents doit tenir compte de tous les délais et exigences de déclaration applicables.
Risques tiers et de la chaîne d’approvisionnement
Les trois réglementations abordent les risques liés à la chaîne d’approvisionnement et aux fournisseurs, mais sous des angles différents. Une approche cohérente évalue les fournisseurs d’IA par rapport aux exigences combinées : pratiques de sécurité (NIS2), résilience opérationnelle (DORA) et garanties spécifiques à l’IA (EU AI Act).
Tests et assurance
Des tests réguliers sont imposés par les trois cadres. Les tests de pénétration spécifiques à l’IA, l’évaluation de la robustesse adverse et les tests de résilience opérationnelle peuvent être conçus pour satisfaire simultanément plusieurs exigences réglementaires.
Construire une stratégie de conformité unifiée
Étape 1 : inventaire des systèmes d’IA
Créez un registre complet de tous les systèmes d’IA utilisés, leurs classifications de risque selon l’EU AI Act, leur pertinence pour les activités réglementées par DORA et leur connexion aux services couverts par NIS2. Cet inventaire devient le fondement de toutes les activités de conformité.
Étape 2 : évaluation intégrée des risques
Effectuez une évaluation des risques unique et approfondie qui met en correspondance chaque système d’IA avec les exigences de toutes les réglementations applicables. Identifiez les contrôles communs qui satisfont plusieurs exigences et mettez en évidence les lacunes spécifiques à chaque réglementation.
Étape 3 : cadre de contrôle
Mettez en œuvre des contrôles techniques et organisationnels qui répondent à l’ensemble des exigences. Des contrôles de sécurité de l’IA bien conçus — surveillance des modèles, gestion des accès, gouvernance des données, réponse aux incidents — satisfont naturellement les exigences des trois réglementations.
Étape 4 : surveillance continue de la conformité
Les réglementations évoluent, les systèmes d’IA changent et de nouveaux risques émergent. Mettez en place une surveillance continue qui suit l’état de conformité dans tous les cadres applicables et alerte sur les lacunes émergentes.
Comment LittleData peut vous aider
La plateforme LittleData.ai fournit un suivi intégré de la conformité pour l’EU AI Act, DORA, NIS2 et d’autres cadres, notamment ISO 42001 et NIST AI RMF. Nos tableaux de bord vous offrent une vue unifiée de votre posture de conformité, mettent en évidence les lacunes et suivent les progrès de remédiation.
Nos services de sécurité AI incluent l’analyse des lacunes réglementaires, la mise en œuvre de contrôles et un soutien continu en matière de conformité adapté au paysage réglementaire spécifique de votre organisation.
Contactez notre équipe de conformité pour discuter de la manière dont nous pouvons vous aider à naviguer dans le paysage réglementaire convergent pour l’IA.