Le NIST AI Risk Management Framework est la référence de fait pour la gouvernance de l'IA aux États-Unis et bien au-delà. Ce modèle vous guide à travers les 19 catégories des fonctions GOVERN, MAP, MEASURE et MANAGE : notez votre maturité, recueillez les preuves, consignez les écarts et construisez une feuille de route de remédiation priorisée, avec un volet dédié au profil IA générative.
L'AI RMF 1.0 organise la gestion des risques de l'IA en quatre fonctions. GOVERN est transversale et soutient les trois autres, qui s'appliquent à des systèmes et cas d'usage d'IA spécifiques.
Établit les politiques, les structures de responsabilité et la culture du risque dont dépend le reste du cadre. Évaluée une seule fois, au niveau de l'organisation.
Établit le contexte de chaque système d'IA et identifie ses risques : finalité prévue, catégorisation, capacités et coûts, composants tiers et impacts sur les personnes.
Transforme les risques identifiés en évaluations : métriques, tests des caractéristiques d'une IA digne de confiance, suivi des risques dans le temps et vérification de l'efficacité de la mesure elle-même.
Alloue les ressources aux risques mis en évidence par MAP et MEASURE : décisions de traitement, stratégies de bénéfices, gestion des risques liés aux tiers et plans de réponse et de reprise.
Un document d'évaluation opérationnel, pas un simple plan : chaque tableau est prêt à recevoir vos notations, preuves et responsables.
Les 19 catégories avec une note de maturité et des colonnes preuves, écarts, actions et responsable.
Non démarré, Partiellement atteint, Largement atteint et Pleinement atteint, avec des définitions claires pour des notations cohérentes entre équipes.
Les douze risques d'IA générative du NIST AI 600-1 comme contrôle de pertinence et de couverture en complément de l'évaluation de base.
Une vue consolidée de toutes les notes par catégorie pour le reporting exécutif et la comparaison entre cycles.
Un tableau unique avec priorités, responsables, échéances et conseils de séquencement.
Quels systèmes inclure, quelles équipes impliquer et à quelle fréquence réévaluer.
Les deux référentiels se complètent : la plupart des programmes matures de gouvernance de l'IA utilisent le NIST AI RMF pour structurer l'analyse des risques et ISO 42001 pour certifier le système de management qui l'entoure.
| Critère | NIST AI RMF | ISO 42001 |
|---|---|---|
| Nature | Cadre volontaire de gestion des risques publié par le NIST (janvier 2023) | Norme internationale certifiable de système de management (décembre 2023) |
| Structure | 4 fonctions (GOVERN, MAP, MEASURE, MANAGE) et 19 catégories | Chapitres 4 à 10 plus les contrôles de l'annexe A |
| Certification | Aucune ; auto-évaluation par rapport au cadre | Certification tierce accréditée disponible |
| Orientation | Identifier, mesurer et traiter les risques des systèmes d'IA | Un système de management de l'IA à l'échelle de l'organisation avec amélioration continue |
| Premier pas idéal | Base rapide et flexible ; solide pour les organisations exposées au marché américain | Quand clients ou régulateurs attendent une assurance certifiée |
Mener les deux analyses d'écarts vous donne à la fois une vue risques et une vue système de management du même programme. Le complément naturel de ce modèle : Modèle d'analyse d'écarts ISO 42001
GOVERN 1 exige un inventaire complet de l'IA et MAP 4 demande ce qu'il contient. Aona découvre chaque outil d'IA utilisé dans votre organisation, surveille les données qui y circulent et maintient des preuves prêtes pour l'audit.