Plus de 50 questions pour évaluer n'importe quel fournisseur d'IA avant l'achat. Libre d'utilisation et personnalisable.
Lorsque votre équipe adopte un fournisseur d'IA, elle lui confie certaines des données les plus sensibles de votre organisation : des invites contenant des dossiers clients, des analyses financières, des documents juridiques et de la propriété intellectuelle. La plupart des équipes achats utilisent des questionnaires de sécurité fournisseurs standard conçus bien avant l'apparition des outils d'IA.
Le risque est réel : l'adoption du Shadow AI dépasse les contrôles des achats. Les collaborateurs utilisent des outils d'IA avant que les équipes de sécurité ne les aient évalués. Des fournisseurs entraînent des modèles sur les données des clients sans divulgation claire. Et l'exposition réglementaire liée aux violations de données impliquant l'IA augmente, à mesure que l'application du RGPD, l'EU AI Act et l'Australian Privacy Act s'appliquent de plus en plus au traitement par l'IA.
Ce questionnaire fournit aux équipes de sécurité, aux RSSI et aux responsables des achats les questions spécifiques à l'IA que les référentiels standard négligent. Utilisez-le avant de signer tout contrat avec un fournisseur d'IA, et reprenez-le chaque année ou après des changements importants chez le fournisseur.
Cliquez sur chaque section pour développer les questions. Notez chaque section de 0 à 10 selon l'exhaustivité et la crédibilité des réponses du fournisseur.
Le fournisseur dispose-t-il d'une politique d'éthique de l'IA ou d'IA responsable publiée ?
Qui est responsable de la gouvernance de l'IA chez le fournisseur ? (CAIO, CTO, équipe dédiée ?)
Le fournisseur tient-il un registre des risques IA ou un inventaire des systèmes d'IA ?
Publie-t-il des fiches de modèle (model cards) ou des rapports de transparence pour ses modèles d'IA ?
Existe-t-il un processus de divulgation des incidents IA : vous informera-t-il des événements de sécurité liés à l'IA ?
Quelle est sa politique concernant l'utilisation des données client pour l'entraînement ou l'affinage des modèles ?
Dispose-t-il d'un processus de supervision humaine des décisions d'IA à fort enjeu ?
A-t-il réalisé une analyse d'impact de l'IA ou une revue éthique ?
Existe-t-il un processus permettant aux clients de contester ou de faire appel des décisions générées par l'IA ?
Dispose-t-il d'un processus documenté de gestion des changements IA pour les mises à jour de modèles ?
Notez chacune des cinq sections de 0 à 10 selon la qualité et l'exhaustivité des réponses du fournisseur. Additionnez les notes pour un total sur 50. Utilisez le tableau ci-dessous pour déterminer votre recommandation d'achat.
Une note totale est un point de départ, pas une décision finale. Un fournisseur obtenant 40 au global peut tout de même présenter une lacune critique dans le traitement des données, créant un risque réglementaire. Examinez toujours les notes de chaque section et signalez toute question pour laquelle le fournisseur ne fournit aucune preuve ou refuse de répondre : ce sont vos zones à plus haut risque, quel que soit le total.
Téléchargez le questionnaire complet de sécurité des fournisseurs d'IA sous forme de PDF mis en forme, prêt à être envoyé à vos fournisseurs. Comprend des colonnes de notation, des notes d'orientation et une checklist de demande de preuves.