30 jours d'essai gratuit, risques IA générative :Commencer
Demander une démo
ActiveUnited StatesFrameworkEn vigueur : 2023-01-26

Cadre de gestion des risques liés à l'IA du NIST

Un cadre volontaire du National Institute of Standards and Technology des États-Unis pour gérer les risques tout au long du cycle de vie des systèmes d'IA.

Vue d'ensemble

Le NIST AI Risk Management Framework (AI RMF 1.0), publié le 26 January 2023, est un document d'orientation volontaire élaboré par le National Institute of Standards and Technology afin d'aider les organisations à concevoir, développer, déployer et utiliser des systèmes d'IA de manière fiable et responsable. Bien qu'il ne soit pas juridiquement contraignant, le NIST AI RMF est devenu une norme de facto pour la gouvernance de l'IA aux États-Unis et il est de plus en plus cité dans les orientations réglementaires à travers le monde.

Le cadre s'articule autour de quatre fonctions essentielles : Govern, Map, Measure et Manage. Ces fonctions offrent une approche souple et structurée de la gestion des risques liés à l'IA, qui peut être adaptée à la taille, au secteur et à la tolérance au risque de toute organisation.

La fonction GOVERN établit et maintient les structures, politiques et processus organisationnels de gestion des risques liés à l'IA. Elle met l'accent sur la responsabilité de la direction, l'engagement des parties prenantes et l'intégration de la gestion des risques liés à l'IA dans la gestion plus large des risques de l'entreprise. Cette fonction reconnaît qu'une gouvernance efficace de l'IA exige un changement culturel, et pas seulement des contrôles techniques.

La fonction MAP consiste à comprendre le contexte dans lequel les systèmes d'IA fonctionnent. Elle implique d'identifier et de catégoriser les systèmes d'IA, de comprendre leurs finalités prévues et leurs impacts potentiels, et de reconnaître le contexte sociétal plus large du déploiement de l'IA. La cartographie comprend également l'identification des parties prenantes pertinentes et la compréhension du paysage juridique et réglementaire.

La fonction MEASURE met l'accent sur l'emploi de méthodes quantitatives et qualitatives pour analyser, évaluer, comparer et surveiller les risques liés à l'IA et leurs impacts associés. Cela inclut l'élaboration d'indicateurs pour les caractéristiques de fiabilité telles que l'exactitude, l'équité, la confidentialité, la sécurité, la résilience, la transparence, l'explicabilité et la responsabilité.

La fonction MANAGE consiste à allouer des ressources et à mettre en œuvre des plans pour répondre aux risques liés à l'IA, s'en rétablir et communiquer à leur sujet. Elle comprend la hiérarchisation des risques, la mise en œuvre de stratégies d'atténuation et l'établissement de processus de surveillance et d'ajustement continus.

Le document d'accompagnement, le NIST AI RMF Playbook, propose des actions suggérées et des références pour chaque sous-catégorie, ce qui rend le cadre très pratique à mettre en œuvre. Le Playbook est un document vivant que le NIST met à jour au fur et à mesure de l'évolution des pratiques.

Le NIST AI RMF a été élaboré dans le cadre d'un vaste processus multipartite associant des centaines d'organisations issues de l'industrie, du monde universitaire, de la société civile et des pouvoirs publics. Ce processus d'élaboration collaboratif a conféré au cadre une large légitimité et une acceptation étendue dans tous les secteurs.

Dans le contexte du paysage réglementaire américain, le NIST AI RMF sert de référence fondamentale. L'Executive Order on AI Safety de 2023 fait explicitement référence au NIST AI RMF, et plusieurs agences fédérales américaines l'ont intégré dans leurs orientations en matière de gouvernance de l'IA. Les législations sur l'IA au niveau des États, telles que le Colorado AI Act, font également référence aux normes du NIST.

Exigences clés

1

GOVERN : Établir des structures de gouvernance de l'IA avec des rôles, des responsabilités et une obligation de rendre compte clairs

2

GOVERN : Élaborer des politiques et des processus organisationnels de gestion des risques liés à l'IA

3

GOVERN : Favoriser une culture de développement et d'utilisation responsables de l'IA

4

MAP : Inventorier et catégoriser tous les systèmes d'IA selon le contexte, la finalité et le risque

5

MAP : Identifier les impacts intentionnels et non intentionnels des systèmes d'IA sur les personnes et les communautés

6

MAP : Comprendre les exigences juridiques, réglementaires et éthiques pour chaque système d'IA

7

MEASURE : Élaborer et appliquer des indicateurs pour les caractéristiques de fiabilité de l'IA

8

MEASURE : Évaluer la performance, l'équité, les biais et la fiabilité des systèmes d'IA

9

MEASURE : Surveiller les systèmes d'IA pour détecter la dérive, la dégradation et les risques émergents

10

MANAGE : Hiérarchiser les risques d'IA identifiés en fonction de l'impact et de la probabilité

11

MANAGE : Mettre en œuvre des stratégies de réponse aux risques (atténuer, transférer, accepter, éviter)

12

MANAGE : Établir des plans de réponse aux incidents et de communication en cas de défaillance de l'IA

13

Mobiliser des parties prenantes diverses tout au long du cycle de vie de l'IA

14

Documenter et communiquer les activités et les décisions de gestion des risques liés à l'IA

Dates clés et calendrier

July 2021
Le NIST publie une demande d'informations sur le NIST AI RMF
March 2022
Publication du projet initial du NIST AI RMF pour consultation publique
August 2022
Publication du deuxième projet
26 January 2023
Publication officielle de l'AI RMF 1.0
January 2023
Publication du AI RMF Playbook en complément du cadre
October 2023
L'Executive Order on AI des États-Unis fait référence au NIST AI RMF
April 2024
Le NIST publie le profil complémentaire AI RMF Generative AI Profile
2025
Mises à jour continues du Playbook et des profils
March 2025
Le NIST publie une mise à jour élargie de la taxonomie traitant des vulnérabilités de l'IA générative et des LLM ; il intègre le NIST AI RMF à d'autres cadres du NIST
January 2026
Le NIST publie le GCR-26-069 : A Possible Approach for Evaluating AI Standards Development
February 2026
Le Trésor américain publie le Financial Services AI Risk Management Framework, adaptant le NIST AI RMF aux exigences du secteur financier

Qui est concerné

  • Les agences fédérales américaines (citées dans l'Executive Order on AI)
  • Les développeurs et déployeurs d'IA recherchant un cadre de gouvernance
  • Les organisations répondant à la législation sur l'IA au niveau des États américains
  • Les contractants gouvernementaux développant ou acquérant des systèmes d'IA
  • Toute organisation cherchant à démontrer des pratiques d'IA responsables
  • Les organisations internationales recherchant un alignement sur les attentes américaines en matière de gouvernance de l'IA

Questions fréquentes

Le NIST AI RMF est-il juridiquement obligatoire ?

Le NIST AI RMF est un cadre volontaire. Toutefois, il est cité dans l'Executive Order on AI des États-Unis et il est de plus en plus utilisé comme référence dans les marchés publics fédéraux, la législation des États et les normes sectorielles. Son adoption témoigne d'une pratique responsable de l'IA.

En quoi le NIST AI RMF diffère-t-il de l'EU AI Act ?

Le NIST AI RMF est un cadre volontaire de gestion des risques, tandis que l'EU AI Act est une loi contraignante. Le RMF fournit des orientations souples pour gérer les risques liés à l'IA ; l'EU AI Act impose des obligations juridiques spécifiques assorties de sanctions. De nombreuses organisations utilisent les deux : le RMF pour la gouvernance et l'EU AI Act pour la conformité juridique.

Le NIST AI RMF traite-t-il de l'IA générative ?

Oui. Le NIST a publié le Generative AI Profile en April 2024, fournissant des orientations spécifiques pour gérer les risques associés aux systèmes d'IA générative, notamment la provenance des contenus, l'intégrité de l'information et des risques inédits tels que l'hallucination et les informations CBRN.

Regulation Updates

Stay Ahead of AI Regulations

Get notified when new AI regulations are introduced or updated. Join 500+ compliance professionals.