Une piste d’audit de l’IA est un journal complet et inviolable des interactions avec les systèmes d’IA, qui consigne qui a utilisé quels outils d’IA, quand, quelles données étaient concernées, quelles sorties ont été générées et quelles actions ont été entreprises sur la base de ces sorties.
Les composantes d’une piste d’audit de l’IA comprennent : l’identification de l’utilisateur (qui a initié l’interaction avec l’IA), l’horodatage et la durée, l’outil ou le modèle d’IA utilisé, les données d’entrée (requêtes, fichiers ou appels d’API, potentiellement caviardés pour les contenus sensibles), les données de sortie (réponses ou décisions générées par l’IA), la classification des données en entrée et en sortie, les évaluations de politique (les règles de gouvernance déclenchées) et les actions entreprises sur les sorties de l’IA.
Les pistes d’audit de l’IA remplissent plusieurs fonctions essentielles : la conformité réglementaire (démontrer le respect des réglementations sur la protection des données et l’IA), l’investigation d’incidents (retracer l’origine et l’impact des événements de sécurité liés à l’IA), la responsabilité (établir la responsabilité des décisions assistées par l’IA), l’analyse de l’usage (comprendre l’adoption de l’IA et les possibilités d’optimisation) et la communication de pièces en justice (fournir des preuves dans les litiges ou les enquêtes réglementaires).
Les organisations devraient veiller à ce que leurs pistes d’audit de l’IA soient immuables, conservées de manière adéquate (conformément aux exigences réglementaires), accessibles pour une revue autorisée et intégrées aux plateformes SIEM et de conformité existantes.