Comment mettre en œuvre des systèmes d'IA en toute sécurité

20 mars 2024

Perspectives Une IA digne de confiance

Par John Knechtel

L'exploitation de l'IA dans les systèmes de gestion établis sera la clé du succès pour les entreprises canadiennes qui aspirent à un leadership mondial dans la croissance induite par l'IA.

C'est l'avis consensuel des participants à une série d'ateliers de l'Institut Vecteur au cours desquels les professionnels des services financiers ont discuté des voies à suivre pour mettre en œuvre en toute sécurité les systèmes d'IA et d'apprentissage machine (ML). Depuis 2022, le projet Managing Al Risk Thought Leadership de l'Institut Vecteur a facilité une série de discussions approfondies sur les défis actuels liés à l'adoption par le secteur privé de modèles d'IA et de ML, et a développé les principes de confiance et de sécurité de l'IA de l'Institut Vecteur.

Comment les professionnels canadiens des services financiers - dont le secteur est internationalement reconnu pour sa bonne gestion des risques - envisagent-ils une mise en œuvre sûre de l'IA ? Leur point de vue est, en un mot, pragmatique. Les participants ont estimé que c'est précisément parce que l'IA est si puissante que son adoption nécessite l'adaptation, et non la réinvention, des opérations normales.

Plusieurs personnes ont souligné que les nouvelles technologies, telles que les PC, les tableurs et l'Internet, ont déjà transformé les entreprises par le passé. "Le problème n'est pas nouveau", a déclaré un participant.

Ce qui est nouveau, c'est la vitesse et la facilité avec lesquelles l'IA se répand "partout, d'un seul coup", comme l'a dit un participant. "C'est l'une de ces choses où tout le monde a la possibilité d'aller de l'avant et de la toucher. Il n'y a pas de barrières, il suffit de commencer", a déclaré un autre participant. Les participants ont noté que cette dynamique - une technologie qui se répand rapidement et s'intègre de manière invisible - façonne la manière dont les entreprises se comporteront vis-à-vis de l'IA.

Jusqu'à présent, l'IA était le domaine des experts techniques, des personnes qui comprennent l'apprentissage automatique, comme les informaticiens et les mathématiciens. Il s'agissait d'un domaine très étroit. Aujourd'hui, avec l'IA générative, "vous la mettez sur le bureau d'absolument tous les employés", a déclaré un participant. "En ce sens, c'est similaire à la transformation que vous avez connue avec Excel, par exemple, où tout d'un coup, vous avez des employés qui n'ont aucune formation en informatique et qui sont maintenant capables de coder.

S'affranchir de l'informatique centralisée

La grande rupture dans le paradigme de l'informatique centralisée s'est produite lorsque les responsables ont réalisé que les gens faisaient des macros sur Excel qui étaient réellement utiles. Lorsque Excel a été largement adopté dans les années 90, une banque canadienne a découvert que, sans que personne au siège ne le sache, une division internationale avait discrètement créé une application Excel critique. Cette application comptait plus de 5 000 utilisateurs et était essentielle aux opérations quotidiennes de la division, qui s'est restructurée autour d'elle : si cette application n'existait pas, elle n'aurait soudainement pas eu assez de personnel pour faire face à la charge de travail.

"Cela présente beaucoup d'avantages, mais aussi beaucoup de risques, car ils ne savent pas vraiment ce qu'ils font", a-t-il déclaré. "Ce sont des experts dans leur domaine. Ils ne sont pas experts en informatique et ne connaissent donc pas les meilleures pratiques. Ils ne savent peut-être pas quelles règles s'appliquent en termes, par exemple, de politique d'entreprise. Et vous ne savez pas qui ils sont du point de vue de la gouvernance".

En gardant ces préoccupations à l'esprit, les participants ont discuté en termes pratiques de la manière d'obtenir les avantages potentiels de la démocratisation de l'IA tout en gérant les risques. Le consensus a été qu'une approche pragmatique et axée sur les résultats créera le plus de valeur. "Nous n'avons pas besoin de réinventer la roue", a fait remarquer une personne. Tout au long des ateliers, les participants ont avancé l'idée que les entreprises réussiront grâce à ce que l'un d'entre eux a appelé les "vertus traditionnelles" : auditer ce que font les gens, tester les projets en fonction de leur valeur commerciale et confirmer les systèmes existants de gestion des risques et de gouvernance.

Voici quelques-unes des approches proposées par les participants à l'atelier, ce que l'un d'entre eux a appelé les "vérités fondamentales" de l'adoption de l'IA.

Prolifération

Esquissant ce qu'ils considèrent comme un dilemme majeur, les participants ont expliqué comment les technologies de l'IA avaient captivé l'imagination de leur personnel et inspiré un grand nombre d'idées que les gens développent par eux-mêmes. "Nous risquons de prendre de l'avance sur nos skis dans ce domaine", a déclaré un participant.

Les participants ont fait remarquer que le fait que la technologie soit disponible dans le commerce crée en soi des risques, car le battage médiatique se répercute dans l'organisation. "Si vous avez des attentes déraisonnables", a déclaré un participant, "vous allez gaspiller beaucoup de ressources".

Les employés étant largement inspirés par l'IA et cherchant des moyens de l'utiliser, le premier défi consistera simplement à savoir qui fait quoi avec l'IA au sein de l'organisation. "Si vous pensez à l'entreprise et essayez de trouver ces innovateurs, c'est vraiment difficile", a déclaré un participant. "Si vous pensez aux aspects informatiques traditionnels, bien sûr, vous parcourez l'organigramme, vous voyez où se trouve le département informatique et vous trouvez où se trouvent les programmeurs. Mais ces innovateurs de la nouvelle génération de l'IA ne se trouvent pas dans le département informatique - ils sont partout.

Selon plusieurs participants, le suivi d'un portefeuille de projets d'IA qui se multiplie rapidement nécessite une approche proactive en collaboration avec les équipes chargées des risques et des technologies de l'information. L'une des suggestions consiste à rechercher les activités par le biais des enquêtes existantes auprès des employés et des canaux de communication. La mise à jour des pratiques informatiques des utilisateurs finaux pour s'assurer que les activités et les rapports liés à l'IA sont inclus dans les règles en est une autre.

Valeur commerciale

Étant donné que l'IA peut faire tant de choses, une grande partie de la discussion a porté sur la manière de s'assurer que l'adoption de l'IA est concrètement utile à l'entreprise. "Nous devons nous concentrer sur les cas d'utilisation", a déclaré l'un d'entre eux. "Nous devons nous demander ce que nous essayons de faire, plutôt que de laisser des gens essayer des choses au hasard avec des outils d'IA.

L'importance d'un état d'esprit axé sur les résultats est un thème récurrent. "Nous nous concentrons vraiment sur les aspects pragmatiques", a déclaré l'un d'entre eux. Les participants ont par conséquent mis en évidence ce qu'ils appellent un risque crucial qui est souvent négligé - ce que l'un d'entre eux a appelé le "risque de ne pas fournir de valeur aux clients" - et ont discuté de la manière dont les projets d'IA pourraient être contrôlés en ce qui concerne les résultats pour l'entreprise.

Gestion des risques

Tout au long des ateliers, les participants ont souligné la nécessité d'une stratégie de gestion des risques agile et informée par l'IA. 

Le potentiel de perturbation du marché a été au centre des préoccupations. Les participants ont noté que l'IA donnera un avantage concurrentiel aux entreprises qui seront les mieux à même de l'intégrer dans leurs activités. "L'intégration de l'IA ne consiste pas à remplacer l'effort humain, mais à l'augmenter. Cela conduira à un changement significatif du marché où les entreprises qui exploitent l'IA dépasseront celles qui ne le font pas", a fait remarquer un participant. D'autres ont décrit comment la sélection de projets d'IA conçus pour produire des résultats concrets - tels qu'une meilleure efficacité opérationnelle, de meilleurs produits ou une expérience client plus personnalisée - permettra aux entreprises de naviguer à leur avantage dans les perturbations du marché.

Lors de la discussion sur les risques de réputation posés par l'adoption de l'IA, les participants ont souligné que l'intégration de la sécurité dès le début d'un projet fournit un cadre permettant d'être transparent sur la manière dont l'IA est utilisée, de garantir la protection de la vie privée et de s'engager de manière éthique avec la technologie. Les participants ont convenu que seule une approche proactive et agressive de la conception des projets peut créer la clarté nécessaire pour naviguer en toute sécurité. "Nous devons toujours nous demander ce que l'IA pourrait faire qui nous ferait courir le risque de ne pas respecter nos principes", a déclaré l'un des participants. "Même si nous disposons de données valables collectées de manière responsable, l'IA va faire ce qu'elle veut. Un point de données conforme peut ne plus l'être après avoir été associé à d'autres données." 

De même, les participants ont discuté de la manière dont l'ingénierie proactive de la sécurité peut contribuer à garantir qu'un produit prospérera dans n'importe quel paysage réglementaire : "Nous ne savons pas vraiment où la roue va s'arrêter", a déclaré l'un des participants. "Cela crée des risques. Il faut prendre les devants.

Dans le domaine de la gouvernance, les participants ont envisagé des solutions pour adapter les systèmes et les outils existants plutôt que de procéder à des changements majeurs. La mise en œuvre de l'IA "n'est qu'une bonne gestion du changement", a déclaré un participant. Les participants ont suggéré de nommer un groupe interfonctionnel chargé d'examiner les contrôles existants, tels que le code de conduite, les politiques, les systèmes et les logiciels, afin de déterminer les améliorations à apporter.

Tout en affirmant les principes fondamentaux de la gouvernance et de la gestion des risques, les participants ont également discuté de la manière dont l'IA introduit de nouveaux défis. Il est nécessaire d'aligner et d'intégrer les systèmes et les silos afin de réaliser des évaluations complètes de la conformité en matière de protection de la vie privée, par exemple. Et ils ont partagé le point de vue selon lequel, dans sa configuration actuelle, la direction de l'entreprise est souvent dépourvue de ces capacités clés. "Nous n'avons pas vraiment la capacité d'évaluer les risques liés à l'IA", a déclaré un participant, "et nous n'avons pas de processus pour appliquer des contrôles dans l'ensemble de l'entreprise pour toutes les activités liées à l'IA".

Mettre en œuvre avec succès les technologies de l'IA

La mise en œuvre sûre et productive des technologies de l'IA - et l'exploitation de leur puissance pour faire progresser l'entreprise - va clairement nécessiter une capacité organisationnelle substantielle allant au-delà des compétences techniques en matière d'IA. Pour réussir, il faudra adopter une approche holistique de la gouvernance de l'IA :

  • Des PRINCIPES clairs pour faciliter la prise de décision dans cet environnement extrêmement dynamique.
  • Une large alphabétisation en IA de toutes les parties prenantes afin de leur permettre de prendre les bonnes décisions.
  • Une GOUVERNANCE prête pour l'IA afin de fournir une visibilité et des conseils d'experts sur les applications de l'IA.
  • Des OUTILS ET PRATIQUES D'IA dédiés qui permettront d'évaluer l'équité, l'explicabilité et la dérive des modèles, ainsi que d'autres considérations éthiques et techniques, et qui constitueront l'infrastructure de base pour la mise en œuvre des principes de l'IA.

Nous vous invitons à tenir compte de ces piliers lorsque vous concevrez la gouvernance de votre stratégie d'IA.  

En rapport :

Recherche
Une IA digne de confiance

Des experts de renommée mondiale en matière de confiance et de sécurité de l'IA publient un article majeur sur la gestion des risques liés à l'IA dans la revue Science

Des protocoles normalisés sont essentiels pour un déploiement responsable des modèles linguistiques

Les inconnues connues : Geoff Pleiss, chercheur chez Vector, se penche sur l'incertitude pour rendre les modèles de ML plus précis.