Prochain webinaire "ISO 27001 + ISO 9001 : Deux certifications, un seul projet" - 22 mai à 14h
Inscrivez-vous
Après avoir défini le contexte (Chapitre 4 : analyse stratégique, parties prenantes, périmètre) et définit les objectifs et la vision - le leadership (Chapitre 5 : politique IA, rôles, responsabilités), le Chapitre 6 apour fonction de transformer la stratégie en plan d’action.
Ce chapitre demande :
- d’identifier, d'évaluer et de traiter les risques afin de prioriser les actions
- la réalisation des analyses d'impact
- la définition des objectifs de sécurité opérationnels
Lors de la planification du SMIA, l’organisation s’appuie sur le contexte (4.1) et les exigences des parties intéressées (4.2) pour déterminer risques et opportunités à traiter, afin de :
L'organisation définit et maintient des critères de risque IA permettant de distinguer l’acceptable du non acceptable, de conduire l’évaluation et le traitement des risques, et d’apprécier les impacts.
Les risques/opportunités sont déterminés en fonction du domaine et du contexte d’application, de l’usage prévu, et du contexte interne/externe. L’organisation planifie des actions pour traiter ces risques/opportunités, leur intégration dans les processus du SMIA, et l’évaluation de leur efficacité. Elle conserve une traçabilité documentaire des actions.
Vous devez conduire une analyse des risques liés à l'IA. Cela commence par choisir des catégories de risques (les sources de risques de l'annexe C doit être utilisée) en fonction du périmètre choisi et des objectifs de haut niveaux.
Nous recommandons l'utilisation des mêmes méthodes que dans les analyses de risques de sécurité même s'il peut y avoir des spécificités liées aux scénarios de risques.
Il vous faudra rédiger cette méthode afin de produire des analyses de risques reproductibles.
L’organisation établit un processus d’évaluation des risques IA :
a) aligné sur la politique IA (5.2) et les objectifs IA (6.2) ;
b) reproductible, pour des résultats cohérents et comparables ;
c) identifiant les risques qui favorisent ou entravent l’atteinte des objectifs ;
d) analysant conséquences pour l’organisation, les individus et la société, la vraisemblance (si applicable) et le niveau de risque ;
e) évaluant les risques au regard des critères (6.1.1) pour prioriser le traitement.
Les preuves documentaires sont requises
Note (synthèse). L’analyse des conséquences peut utiliser l’évaluation d’impact IA (6.1.4).
On attend un processus méthodique et reproductible qui doit être formalisé.
Les risques ne sont pas seulement des risques “techniques” : ils incluent biais, atteintes aux droits, sécurité, robustesse, réputation, conformité.
Sur la base de l’évaluation, l’organisation définit un processus de traitement pour :
a) choisir les options (éviter, réduire, transférer, accepter) ;
b) déterminer tous les contrôles nécessaires, les comparer à l’Annexe A pour vérifier qu’aucun contrôle requis n’est omis ;
c) considérer les contrôles pertinents de l’Annexe A ;
d) identifier des contrôles additionnels si besoin ;
e) utiliser l’Annexe B comme guide d’implémentation ;
f) produire une déclaration d’applicabilité (SoA) listant les contrôles nécessaires, avec justification des inclusions/exclusions ;
g) formaliser un plan de traitement.
La direction approuve le plan et l’acceptation des risques résiduels. Les contrôles sont alignés sur les objectifs (6.2), documentés, communiqués, et accessibles aux parties intéressées selon le besoin. Traçabilité requise.
Notes (synthèse). Les contrôles de l’Annexe A sont de référence, non exhaustifs ; l’organisation peut concevoir ses contrôles ; on peut intégrer la gestion des risques IA dans d’autres SMS.
Une fois les évaluation des risques réalisées, vous allez choisir les risques à traiter et les modalités de traitement.
Tous les risques ne sont pas à traiter. Vous allez choisir les contrôles à implémenter en vous appuyant sur l’annexe A ou d’autres guides.
L’ensemble des contrôles vont être formalisés dans le SoA (déclaration d’applicabilité) ainsi que leur avancement.
L’organisation définit un processus pour apprécier les conséquences des systèmes d’IA sur individus, groupes et société, liées au déploiement, à l’usage prévu et aux usages détournés prévisibles, en tenant compte du contexte technique/sociétal et des juridictions. Les résultats sont documentés et, le cas échéant, partagés avec les parties intéressées pertinentes. Ils sont pris en compte dans l’évaluation des risques (6.1.2).
Note (synthèse). Dans certains contextes (sécurité, vie privée, etc.), des évaluations d’impact disciplinaires peuvent être requises.
C’est le chaînon qui relie le risque technique aux impacts humains et sociétaux. Il couvre aussi les usages détournés prévisibles. Cette analyse alimente directement la priorisation des risques mais aussi les impacts règlementaires et les exigences règlementaires.
Ce champ est largement relié à l'IA ACT qui doit être vérifié dans le cadre de l'ISO 42001.
L’organisation définit des objectifs IA aux niveaux/fonctions pertinents, qui sont :
a) cohérents avec la politique IA (5.2) ;
b) mesurables (si possible) ;
c) tenants compte des exigences applicables ;
d) suivis ;
e) communiqués ;
f) actualisés au besoin ;
g) documentés.
Pour les atteindre, elle précise : comment faire, ressources nécessaires, responsables, échéances, méthode d’évaluation des résultats.
Note (synthèse). L’Annexe C propose des objectifs liés au risque ; A.6.1 et A.9.3 (et B.6.1/B.9.3) guident les objectifs et mesures pour un développement et un usage responsables.
Les objectifs sont le lien entre la stratégie et l’exécution : ils traduisent en cibles opérationnelles ce que la politique exige et ce que l’analyse de risques priorise.
L'idée est d'adopter un ou deux objectifs principaux par catégories de risques, ce qui permet de relier en objectifs opérationnels et de guider l'action.
Les changements apportés au SMIA sont réalisés de manière planifiée.
Explication.
Le SMIA évolue (nouveaux cas d’usage, nouvelles exigences, incidents, leçons apprises). Chaque changement doit être préparé, évalué (impacts/risques), approuvé, documenté, puis communiqué.
Exemples & conseils pratiques.
Le Chapitre 6 a pour objectif de prioriser les actions à conduire soit en termes de projet ou des contrôles à mettre en place. À la suite de cette étape, vous avez défini les objectifs opérationnels de sécurité et les contrôles.
Les étapes suivantes (chapitre 7 et 8) vont se concentrer sur la façon dont on va décliner ces actions et objectifs et fournir les ressources adéquates.
Les Chapitres 7 et 8 se concentre sur les moyens (Chapitre 7 : ressources, compétences, sensibilisation, documentation) et les opérations (Chapitre 8 : cycle de vie, mise en œuvre, surveillance). Ces deux chapitres seront traités ensemble pour montrer comment le plan doit être mis en oeuvre.
Pour construire votre analyse des risques, votre SoA et vos objectifs IA avec méthode, découvrez notre accompagnement à la certification ISO 42001.
