Le NIST AI Risk Management Framework (AI RMF) est un cadre volontaire développé par le National Institute of Standards and Technology (NIST) des États-Unis pour aider les organisations à identifier, évaluer et gérer les risques associés aux systèmes d’intelligence artificielle tout au long de leur cycle de vie. Publié en janvier 2023, le cadre offre une approche flexible et non prescriptive que les organisations peuvent adapter à leur contexte spécifique, à leur tolérance au risque et à leurs cas d’usage de l’IA.
Le NIST AI RMF s’articule autour de quatre fonctions essentielles, représentées par l’acronyme GOVERN, MAP, MEASURE et MANAGE. La fonction GOVERN établit les politiques, les rôles et les responsabilités de l’organisation en matière de gestion des risques liés à l’IA, garantissant la responsabilité des dirigeants à l’égard des décisions relatives à l’IA. La fonction MAP identifie le contexte, les catégories de préjudice et les impacts potentiels de systèmes d’IA spécifiques. La fonction MEASURE quantifie les risques à l’aide d’indicateurs et de méthodes d’évaluation adaptés au profil de risque du système. La fonction MANAGE applique des réponses au risque, à savoir l’atténuation, le transfert, l’acceptation ou l’évitement, et en suit l’efficacité dans le temps.
Le cadre s’applique à tous les types de systèmes d’IA, des outils de recrutement automatisés aux applications d’IA générative, et il est conçu pour compléter d’autres approches de gestion des risques telles qu’ISO 42001, SOC 2 et les réglementations sectorielles. Pour les organisations opérant dans des secteurs réglementés, le NIST AI RMF fournit une base structurée qui peut être mise en correspondance avec les exigences de conformité, réduisant ainsi la charge liée à la gestion de plusieurs cadres distincts.
Les principaux avantages de la mise en œuvre du NIST AI RMF incluent une meilleure visibilité sur les risques liés à l’IA (les organisations acquièrent une compréhension plus claire de leurs expositions liées à l’IA), de meilleures structures de gouvernance (la fonction GOVERN renforce la responsabilité des dirigeants), une gestion améliorée des fournisseurs (le cadre fournit des critères structurés pour évaluer les outils d’IA tiers) et une préparation réglementaire (l’alignement sur le NIST AI RMF simplifie la conformité avec les réglementations émergentes en matière d’IA, notamment l’EU AI Act et l’US Executive Order on Safe, Secure, and Trustworthy AI).