What is a third-party AI risk assessment?

A third-party AI risk assessment is a structured evaluation of the risk an external vendor's AI capability introduces to your organisation. It goes beyond a standard vendor security questionnaire by covering AI-specific concerns: whether the vendor uses your data to train models, how they handle prompt injection, what explainability they offer, and whether their model documentation meets regulatory requirements. Output is a scored, weighted recommendation: approve, conditionally approve, or reject.

When is a third-party AI risk assessment required?

Run a formal assessment before onboarding any new AI vendor handling internal or regulated data, when an existing SaaS vendor adds AI features to a product you already use, at contract renewal, and after any material change (new model, data-handling change, incident). Assessments are also required evidence for ISO 42001 Annex A.10 (third-party relationships) and EU AI Act provider-deployer obligations.

How does this differ from a standard vendor security questionnaire?

A standard security questionnaire focuses on SOC 2-style controls, access, encryption, incident response. An AI-specific assessment adds categories that a security-only review will miss: model transparency (model cards, training data sources, explainability), ethical AI practices (bias testing, human oversight), and AI-specific contractual protections (no-training clauses, IP ownership of outputs, model-change notifications). Use this assessment in addition to, not instead of, your existing vendor security questionnaire.

How do the weights work?

The default weighting places the highest emphasis on data privacy and sovereignty (25%) and security posture (20%), because these drive immediate exposure. Model transparency and regulatory compliance (15% each) support longer-term audit-readiness. Operational resilience and ethical AI practices sit at 10% each, with contractual protections at 5%, strong contracts matter but cannot compensate for weak underlying controls. Adjust the weights to match your industry: regulated sectors typically raise the Compliance weight.

Profitez de 90 jours d'essai gratuit pour cartographier vos risques d'IA générative :90 jours d'essai gratuit, risques IA générative :Commencer

Demander une démo

Modèle gratuit · Risque fournisseur

AI tierce
Évaluation des risques

Une évaluation pondérée des fournisseurs d'AI tierce sur 7 catégories, de la souveraineté des données et de la sécurité jusqu'à l'explicabilité, l'éthique et la protection contractuelle.

Télécharger le modèle Réserver une démo

0 categories

couverture pondérée des risques

0+ criteria

points de contrôle fournisseurs notés

0 frameworks

NIST, ISO 42001, EU AI Act

Free

à utiliser et personnaliser

Pourquoi l'AI tierce mérite sa propre évaluation

Aujourd'hui, la majeure partie de l'exposition à l'AI au sein des entreprises provient de tiers. Chaque outil SaaS que vous utilisez déjà se précipite pour ajouter des fonctionnalités d'AI, et chacune redéfinit discrètement votre surface de risque. Un questionnaire de sécurité fournisseur standard ne permet pas de détecter si le fournisseur entraîne ses modèles sur vos données, si les sorties des modèles peuvent être expliquées à un auditeur, ou si sa posture d'AI responsable résiste à l'examen. Cette évaluation couvre ce que les revues purement sécuritaires laissent de côté.

7 categories

couverture des risques spécifiques à l'AI

Souveraineté des données, transparence des modèles, sécurité, conformité, résilience, éthique et contrats, chacun pondéré pour refléter l'exposition réelle.

ISO 42001

preuves de l'Annexe A.10

Les évaluations de l'AI tierce constituent des preuves attendues au titre de l'Annexe A.10 d'ISO 42001 (Relations avec les tiers) pour le système de management de l'AI.

SaaS AI

l'AI intégrée va plus loin

Les fonctionnalités d'AI sont désormais livrées au sein des outils que vos équipes utilisent déjà. Chacune qui est significative nécessite une nouvelle évaluation, la revue de sécurité de 2023 ne les couvre pas.

Decision

résultat d'approbation prêt pour un audit

Produit un score pondéré global, une bande de classification et une décision documentée d'approbation / conditionnelle / refus, et non une note qualitative.

Les catégories d'évaluation

Sept catégories, chacune pondérée pour refléter le risque réel. Notez chaque critère de 1 à 5 avec des preuves documentées, puis appliquez les pondérations pour produire une décision globale.

La catégorie la plus fortement pondérée. La façon dont le fournisseur traite, stocke, transfère et, point essentiel, s'il entraîne ses modèles sur vos données.

Accord de traitement des données en place

Un DPA spécifique à l'AI (ou un avenant AI) a été signé. Le libellé d'un DPA standard couvre rarement l'usage des données d'entraînement, le risque de mémorisation par le modèle ou les sous-traitants du fournisseur.

Les données NE sont PAS utilisées pour l'entraînement des modèles

Le fournisseur s'engage contractuellement à ce que vos données ne soient pas utilisées pour entraîner, affiner ou évaluer ses modèles de fondation. Vérifié par écrit, pas sur une diapositive commerciale.

Exigences de résidence des données respectées

L'endroit où le fournisseur traite les données géographiquement est aligné avec vos obligations de résidence (les données de l'UE restent dans l'UE, etc.) et toutes les garanties de transfert transfrontalier sont documentées.

Politique de journalisation des entrées/sorties documentée

La journalisation des prompts et des complétions par le fournisseur est documentée : ce qui est journalisé, pour combien de temps, qui peut y accéder, et si elle peut être désactivée pour les flux de travail sensibles.

Chiffrement au repos et en transit

Le fournisseur chiffre les données stockées et toutes les communications réseau selon les standards. La gestion des clés est soit assurée par le fournisseur avec attestation, soit gérée par le client (BYOK).

Processus DSAR pour les données traitées par l'AI

Le fournisseur dispose d'un processus défini pour les demandes d'accès et de suppression émanant des personnes concernées, couvrant les données traitées par l'AI, y compris toute donnée d'entraînement mémorisée.

Télécharger le modèle complet

Comment mener l'évaluation

Cinq étapes pour produire une décision fournisseur notée qui résiste à l'examen de la sécurité, du juridique, des achats et, le jour venu, d'un régulateur.

Recueillir le contexte du fournisseur et du cas d'usage

Consignez le fournisseur, le produit, les capacités d'AI utilisées, les types de données traitées, le responsable métier et les dates du contrat. Un même fournisseur peut obtenir des notes très différentes selon les cas d'usage, évaluez par cas d'usage, pas par fournisseur.

Rassembler les preuves avant la notation

Demandez les rapports SOC 2 / ISO 27001 / ISO 42001 du fournisseur, le DPA, la documentation du modèle, le résumé des tests d'intrusion et la politique d'AI responsable. Noter sans preuves produit une liste de souhaits, pas une évaluation.

Noter chaque catégorie de 1 à 5

Parcourez les 7 catégories. Notez chaque critère de 1 (risque critique) à 5 (risque minimal) avec des preuves documentées. Les critères sans réponse devraient par défaut être notés 1, l'absence de preuve n'est pas une preuve de contrôle.

Appliquer les pondérations et calculer le score global

Appliquez les pondérations par défaut (25% données / 20% sécurité / 15% transparence / 15% conformité / 10% résilience / 10% éthique / 5% contrats) pour produire un pourcentage global. Relevez les pondérations pour les secteurs réglementés.

Émettre une recommandation et recueillir la validation

En fonction du score global, recommandez Approuver (85%+), Approuver sous conditions (70 à 84%) ou Non approuvé (en dessous de 70%). Recueillez la validation de l'évaluateur, de la sécurité, du juridique, du responsable métier et du comité de gouvernance de l'AI selon les besoins.

FAQ

Questions fréquentes

Une évaluation des risques liés à l'AI tierce est une évaluation structurée du risque que la capacité d'AI d'un fournisseur externe introduit dans votre organisation. Elle va au-delà d'un questionnaire de sécurité fournisseur standard en couvrant des préoccupations spécifiques à l'AI : si le fournisseur utilise vos données pour entraîner des modèles, comment il gère l'injection de prompt, quelle explicabilité il offre, et si la documentation de son modèle répond aux exigences réglementaires. Le résultat est une recommandation notée et pondérée : approuver, approuver sous conditions ou refuser.

Télécharger l'Évaluation des risques liés à l'AI tierce

Modèle .docx gratuit avec 7 catégories pondérées. Notez vos fournisseurs d'AI et produisez une décision d'approbation prête pour un audit.

Télécharger le DOCX

Obtenez les 25 modèles dans un seul ZIP. Politiques, registres, listes de contrôle et plans de déploiement.

Commencer

De l'évaluation à la visibilité continue sur les fournisseurs

Le risque lié à l'AI tierce n'est pas un problème ponctuel. De nouvelles fonctionnalités d'AI sont livrées chaque semaine au sein des outils SaaS existants. Aona découvre en continu l'AI tierce utilisée dans votre organisation et signale lorsqu'un fournisseur non évalué commence à traiter des données sensibles.

Réserver une démo

Ressources connexes

Plateforme Aona AI Cadre de gouvernance de l'AI Grille d'évaluation des fournisseurs d'AI Questionnaire de sécurité des fournisseurs d'AI Clauses contractuelles pour fournisseurs d'AI Liste de contrôle d'audit de sécurité de l'AI Tous les modèles

AI tierceÉvaluation des risques

Télécharger l'Évaluation des risques liés à l'AI tierce

De l'évaluation à la visibilité continue sur les fournisseurs

AI tierce
Évaluation des risques