Modèles d’évaluation et méthodologies d’évaluation des risques

  • Rversion finale: Australia
  • Mis à jour 17 juin 2026
  • 23 minutes de lecture

    • L’application Risque et conformité de l'IA utilise des modèles d’évaluation et des méthodologies d’évaluation des risques (RAM) pour évaluer les actifs IA en matière de risque, de conformité réglementaire et d’alignement éthique.

    Vue d’ensemble des méthodologies d’évaluation et d’évaluation des risques

    Les modèles d’évaluation définissent les questionnaires et les critères d’évaluation utilisés lors des évaluations d’IA. Les RAM définissent les cadres de notation et les critères de classification utilisés lors des évaluations des risques.

    Moteur d’évaluation intelligente

    SAE est la plateforme d’évaluation sous-jacente que Risque et conformité de l'IA (AIRC) utilise pour créer, gérer et terminer toutes les évaluations d’IA. SAE fournit l’infrastructure pour les modèles d’évaluation, la conception des questions, l’organisation basée sur les sections, la notation et les workflows d’évaluation collaboratifs.

    AIRC utilise les composants installés avec l’application pour prendre en charge la SAE création, la notation et l’automatisation Contenu Risque et conformité de l'IA des évaluations.

    Espace de travail d’évaluation

    Les gestionnaires AIRC [sn_grc_ai_gov.ai_risk_and_compliance_manager] gèrent les modèles d’évaluation via l’espace de travail d’évaluation. Accédez à la Espaces de travail > Espace de travail d'évaluation pour afficher, modifier et publier des modèles d’évaluation. L’espace de travail affiche le nom du modèle, l’état publié et les métadonnées associées pour chaque modèle.

    Utilisez l’espace de travail d’évaluation pour effectuer les actions suivantes :

    • Affichez tous les modèles d’évaluation disponibles et leur état de publication.
    • Ouvrez un modèle pour examiner ou modifier ses sections, ses questions et sa logique de notation.
    • Publiez des brouillons de modèles afin qu’ils puissent être utilisés dans des évaluations.
    • Créez des modèles d’évaluation pour prendre en charge les exigences d’évaluation personnalisées.
    Remarque :
    Vous devez publier un modèle avant de pouvoir lancer des évaluations qui l’utilisent. Pour plus d'informations, consultez Publier les modèles d’évaluation. Pour plus d’informations sur la création et la modification d’évaluations à l’aide de Moteur d'évaluation intelligente, consultez Créer un modèle d’évaluation et Automatisations post-évaluation.

    Structure du modèle d’évaluation

    Chaque modèle d’évaluation définit les composants suivants :

    Sections
    Regroupements logiques qui organisent les questions connexes au sein de l’évaluation. Les sections fournissent une structure et une navigation pendant l’achèvement de l’évaluation.
    Questions
    Critères d’évaluation individuels auxquels les évaluateurs répondent au cours de l’évaluation. Les questions peuvent inclure des questions à choix multiples, de texte libre, d’échelles d’évaluation et d’autres types de réponses.
    Logique de notation
    Règles qui calculent les scores en fonction des réponses d’évaluation. La logique de notation détermine la façon dont les réponses individuelles contribuent aux résultats globaux de l’évaluation.
    Mappages des risques et contrôles
    Associations entre des réponses spécifiques et des déclarations de risque ou des objectifs de contrôle prédéfinis. Ces mappages entraînent la génération automatique d’enregistrements de gouvernance par le biais d’actions de post-évaluation.

    Actions de post-évaluation

    Actions de post-évaluation pour les évaluations intelligentes (sn_smart_imp_auto) fournit le cadre de travail d’automatisation qui génère des enregistrements de gouvernance basés sur les réponses d’évaluation. Lorsqu’un utilisateur termine une évaluation, le système évalue les réponses par rapport aux règles d’automatisation configurées et crée les risques, les contrôles et d’autres enregistrements applicables.

    Bien que les déclarations de risque et les objectifs de contrôle prédéfinis soient fournis par le biais de la bibliothèque de contenu, les conditions qui déclenchent leur application sont configurables et doivent être examinées et validées par chaque organisation.

    Ce cadre de travail est essentiel au workflow d’évaluation. Sans actions post-évaluation, les réponses d’évaluation ne génèrent pas automatiquement les déclarations de risque et les objectifs de contrôle qui régissent les activités de gouvernance en aval.

    L’application sn-reusable-impact-framework (sn_impact_fwk), installée avec Post Assessment Actions for Smart Assessments, fournit les composants de cadre de travail réutilisables que Post Assessment Actions utilise dans Risque et conformité de l'IA.

    Remarque :
    Le contenu fourni avec le produit est destiné à faciliter l’utilisation uniquement. Votre organisation est responsable de veiller au respect des lois, réglementations, directives et normes applicables, et de valider que tout contenu utilisé est précis et à jour. Les organisations peuvent remplacer ou adapter le contenu fourni pour s’aligner sur leurs exigences réglementaires, de gouvernance et opérationnelles.

    Comment fonctionnent les actions post-évaluation dans Risque et conformité IA

    Lorsqu’un propriétaire d’actif IA [sn_ai_asset_mgmt.ai_asset_owner] répond aux questions d’une évaluation de l’impact sur les droits fondamentaux (FRIA), les actions post-évaluation peuvent évaluer les réponses par rapport aux règles d’automatisation configurées. Si les critères de la règle sont satisfaits, la séquence suivante se produit :

    1. Le système évalue les réponses à l’évaluation par rapport aux règles d’automatisation configurées pour le modèle d’évaluation.
    2. En fonction des réponses, le système identifie les déclarations de risque et les objectifs de contrôle applicables à partir de la bibliothèque de contenu.
    3. Le système associe les déclarations de risque et les objectifs de contrôle identifiés à l’enregistrement d’évaluation.
    4. Une fois que l’analyste des risques et de la conformité IA [sn_grc_ai_gov.ai_risk_and_compliance_analyst] a marqué l’évaluation comme fermée terminée, le système génère des enregistrements de risque et de contrôle et les mappe à l’actif IA.

    Avant que les enregistrements de gouvernance ne soient finalisés, un analyste des risques et de la conformité de l’IA examine la liste prescrite des risques générés et des objectifs de contrôle. Cette étape de révision permet de s’assurer que les enregistrements générés automatiquement sont exacts, pertinents et appropriés pour le système d’IA spécifique.

    Remarque :
    Les modèles d’évaluation personnalisés nécessitent une configuration séparée des règles d’automatisation.

    Configuration d’entreprise

    La configuration d’entreprise permet aux organisations de personnaliser l’automatisation des évaluations et le comportement d’évaluation des risques à leurs besoins de gouvernance, réglementaires et opérationnels. Ces configurations sont généralement effectuées par les administrateurs des risques et de la conformité de l’IA.

    Configuration des actions post-évaluation

    L’administrateur des risques et de la conformité IA [sn_grc_ai_gov.ai_risk_and_compliance_admin] configure des règles d’automatisation post-évaluation qui déterminent comment les réponses d’évaluation déclenchent l’association et la classification des éléments de gouvernance pour un système d’IA. Ces règles régissent la façon dont les objectifs de contrôle, les déclarations de risque et les caractéristiques du système sont automatiquement appliqués une fois qu’une évaluation est terminée et marquée comme Fermée terminée.

    Les actions post-évaluation prennent en charge les types d’actions suivants, qui traduisent les réponses à l’évaluation en classifications et associations de gouvernance pour les systèmes d’IA :

    Actions Description
    Mapper les objectifs de contrôle aux systèmes d’IA Relie les objectifs de contrôle applicables de votre inventaire au système d’IA en réponse aux questions profilées pour l’évaluation de l’impact.
    Mapper les déclarations de risque aux systèmes d’IA Relie les déclarations de risque applicables de votre registre au système d’IA en réponse aux questions profilées pour l’évaluation de l’impact.
    Mapper la zone où le système d'IA est utilisé : services clientèle Classe le système d’IA comme étant utilisé dans les services clientèle pour prendre en charge l’évaluation de l’impact, la classification des risques réglementaires et la génération de rapports de gouvernance.
    Mapper la zone où le système d'IA est utilisé : écosystème de partenaires externes Classe le système d’IA comme étant utilisé au sein de l’écosystème de partenaires externes pour prendre en charge l’analyse des risques, l’évaluation de l’impact de tiers et la génération de rapports de conformité.
    Mapper la zone où le système d'IA est utilisé : finances et comptabilité Classe le système d’IA comme prenant en charge les activités financières et comptables afin de prendre en charge la classification des risques réglementaires, l’applicabilité des contrôles et la supervision de la gouvernance.
    Mapper la zone où le système d'IA est utilisé : RH et effectifs Classe le système d’IA comme étant utilisé dans les contextes des RH et des effectifs pour prendre en charge l’évaluation de l’impact sur les effectifs, les obligations de conformité et les exigences de gouvernance.
    Mapper la zone où le système d'IA est utilisé : opérations internes Classe le système d’IA comme prenant en charge les opérations internes pour soutenir l’évaluation de l’impact, les exigences de contrôle et la génération de rapports de gouvernance.
    Mapper la zone où le système d'IA est utilisé : informatique et sécurité Classe le système d’IA comme étant utilisé dans les fonctions informatiques et de sécurité pour prendre en charge l’évaluation des risques opérationnels, l’applicabilité des contrôles et l’état de préparation de la gouvernance.
    Mapper la zone où le système d'IA est utilisé : ventes et marketing Classe le système d’IA comme étant utilisé dans les ventes et le marketing pour prendre en charge l’évaluation de l’impact, l’évaluation des risques et la génération de rapports de gouvernance.
    Mapper la zone où le système d'IA est utilisé : chaîne d'approvisionnement Classe le système d’IA comme étant utilisé dans les activités de la chaîne d’approvisionnement pour soutenir l’évaluation de l’impact, la classification des risques réglementaires et la supervision de la gouvernance.
    Mapper les données utilisées par le système : données comportementales ou d'utilisation Associe les données comportementales ou d’utilisation au système d’IA pour documenter les catégories de données utilisées pour l’évaluation de l’impact, l’évaluation des risques et l’analyse de conformité.
    Mapper les données utilisées par le système : données opérationnelles d'entreprise Associe les données opérationnelles business au système d’IA pour prendre en charge l’évaluation des risques liés aux données, l’applicabilité des contrôles et les exigences de conformité.
    Mapper les données utilisées par le système : données d'interaction client Associe les données d’interaction client au système d’IA pour prendre en charge l’évaluation de l’impact sur le client, les considérations relatives à la protection des données et la génération de rapports de gouvernance.
    Mapper les données utilisées par le système : données de profil ou de compte Associe les données de profil ou de compte au système d’IA pour documenter l’utilisation des données identifiables pour l’évaluation des risques, de l’impact et de la conformité.
    Mapper les données utilisées par le système : informations publiques ou générales Associe des informations publiques ou générales au système d’IA pour documenter les sources de données utilisées et soutenir la transparence et l’évaluation des risques.
    Mapper les données utilisées par le système : données business sensibles Associe des données business sensibles au système d’IA pour prendre en charge une évaluation accrue des risques, des exigences de contrôle et une surveillance de la gouvernance.
    Résultat escompté de la carte du système d'IA Capture le résultat et l’objectif escomptés du système d’IA pour soutenir l’évaluation de l’impact, la classification des risques et la prise de décision de gouvernance.
    Mapper le type d'interaction avec les utilisateurs finaux Capture la façon dont les utilisateurs finaux interagissent avec le système d’IA pour soutenir l’évaluation de la transparence, de l’impact sur les utilisateurs et des exigences de gouvernance.
    Mapper le niveau d'implication humaine Capture le degré de supervision ou d’intervention humaine associé au système d’IA afin de soutenir la responsabilisation, l’applicabilité des contrôles et la préparation de la gouvernance.
    Personnes affectées par le système d'IA : partenaires externes Identifie les partenaires externes en tant que parties prenantes affectées pour soutenir l’évaluation de l’impact, l’évaluation des risques et l’analyse de la redevabilité.
    Personnes affectées par le système d'IA : base de clientèle générale Identifie la clientèle générale en tant que personnes concernées pour soutenir l’évaluation de l’impact sur le client, des risques et des obligations de conformité.
    Personnes affectées par le système d'IA : équipe interne Identifie les équipes internes en tant que personnes concernées pour soutenir l’évaluation de l’impact sur les effectifs et la responsabilité de la gouvernance.
    Personnes affectées par le système d'IA : public ou grandes audiences Identifie un public ou un large public comme personnes concernées pour soutenir l’évaluation de l’impact général, de l’exposition réglementaire et du risque de gouvernance.
    Type de résultat produit : décisions automatisées Classe le système d’IA comme produisant des décisions automatisées pour soutenir l’évaluation des risques réglementaires, les exigences de supervision humaine et les contrôles de gouvernance.
    Type de résultat produit : contenu généré Classe le système d’IA comme produisant du contenu généré pour soutenir l’évaluation de la transparence, du risque d’utilisation abusive et des exigences de conformité.
    Type de résultat produit : aperçu et résumés Classe le système d’IA comme produisant des aperçus ou des résumés pour soutenir l’évaluation des risques d’aide à la décision et la supervision de la gouvernance.
    Type de résultat produit : classement et scores Classe le système d’IA comme produisant des classements ou des scores pour soutenir l’évaluation de l’équité, du risque de biais et des exigences de gouvernance.
    Type de résultat produit : recommandations Classe le système d’IA comme produisant des recommandations pour soutenir l’évaluation de l’impact en aval, des besoins de surveillance et des obligations de conformité.
    Type de résultat produit : alertes simples Classe le système d’IA comme produisant des alertes simples pour soutenir l’évaluation de l’impact opérationnel et de la pertinence de la gouvernance.
    Type de résultat produit : actions du système Classe le système d’IA comme étant à l’origine d’actions du système pour prendre en charge l’évaluation du risque d’automatisation, des exigences de contrôle et de l’état de préparation de la gouvernance.

    Ces types d’actions permettent aux organisations d’associer de manière cohérente les exigences de gouvernance aux systèmes d’IA en fonction de la façon dont les questions d’évaluation sont répondues, ce qui permet de garantir la traçabilité entre les résultats de l’évaluation et les artefacts de risque et de conformité.

    Les modèles d’évaluation fournis dans le cadre du système de base incluent des objectifs de contrôle et des déclarations de risque prédéfinis dans la bibliothèque de contenu. Toutefois, la logique de mappage détermine quels éléments de gouvernance sont associés à un système d’IA est définie via la configuration de l’action post-évaluation.

    Remarque :
    Le contenu fourni avec le produit est destiné à faciliter l’utilisation uniquement. Votre organisation est responsable de veiller au respect des lois, réglementations, directives et normes applicables, et de valider que tout contenu utilisé est précis et à jour. Les organisations peuvent remplacer ou adapter le contenu fourni pour s’aligner sur leurs exigences réglementaires, de gouvernance et opérationnelles.

    La configuration est effectuée dans l’espace de travail d’évaluation par la modification du modèle d’évaluation et la définition de règles d’automatisation qui évaluent les réponses d’évaluation. Chaque règle spécifie les objectifs de contrôle ou les déclarations de risque à associer lorsqu’une condition de réponse particulière est remplie.

    Après la configuration, effectuez une évaluation de test et vérifiez que les objectifs de contrôle attendus et les déclarations de risque sont générés et mappés au système d’IA une fois que l’évaluation est marquée comme Fermée terminée.

    Pour plus d’informations sur les automatisations et les configurations post-évaluation, reportez-vous à la section Automatisations post-évaluation et Configurer les actions de post-évaluation.

    Exemple de configuration de l’action post-évaluation

    L’exemple suivant illustre comment une action post-évaluation peut être configurée sur un modèle d’évaluation et appliquée une fois l’évaluation terminée.

    Dans l’espace de travail d’évaluation, un administrateur des risques et de la conformité IA examine un modèle d’évaluation de l’impact IA publié et configure une action post-évaluation qui évalue les réponses à une question relative à la confidentialité.

    Condition : la règle d’automatisation évalue la réponse à la question d’évaluation « Votre système d’IA utilise-t-il des données personnelles ? »

    Réponse : Oui.

    Action : lorsque la réponse est Oui, l’action post-évaluation mappe automatiquement les éléments de gouvernance prédéfinis au système d’IA associé.

    Objectifs de contrôle mappés :

    • Garantir la qualité des données
    • Collecter et analyser les données
    • Analyser les données des champs

    Déclarations de risque mappées :

    • Continuité opérationnelle et temps d’immobilisation
    • Conséquences fortuites
    • Atteintes à la réputation
    • Non-conformité aux réglementations
    • Violations de la vie privée (confidentialité)
    • Surajustement et sous-ajustement
    • Empoisonnement du modèle (data poisoning)
    • Dégradation des performances du modèle (dérive du modèle)
    • Manque de transparence et de responsabilisation
    • Manque de transparence et d’explicabilité
    • Protection inadéquate des données
    • Manquement au respect des normes éthiques
    • Sécurité des données
    • Biais de données
    • Intégrité des données
    • Biais et discrimination algorithmiques
    • Violations de données et atteinte à la propriété intellectuelle
    • Attaques contradictoires
    • Accès non autorisé aux modèles d’IA
    Figure 1. Vue de règle d’automatisation pour une évaluation de l’impact
    Exemple de règle d’automatisation de mappage de définition du risque

    Lorsque l’évaluation est soumise et marquée comme Fermée terminée, ces mappages sont évalués et les enregistrements de risque et de contrôle correspondants sont automatiquement associés au système d’IA.

    Remarque :
    Le contenu fourni avec le produit est destiné à faciliter l’utilisation uniquement. Votre organisation est responsable de veiller au respect des lois, réglementations, directives et normes applicables, et de valider que tout contenu utilisé est précis et à jour. Les organisations peuvent remplacer ou adapter le contenu fourni pour s’aligner sur leurs exigences réglementaires, de gouvernance et opérationnelles.
    Configuration de la méthodologie d’évaluation des risques

    Les administrateurs peuvent configurer les méthodologies d’évaluation des risques (RAM) appliquées pendant les workflows d’admission, d’évaluation et d’évaluation des risques.

    Les options de configuration incluent la spécification de RAM par défaut pour les systèmes, modèles et ensembles de données d’IA, ainsi que l’activation d’un comportement de calcul automatisé ou avancé des risques.

    Pour configurer la RAM par défaut pour la classification des risques du système d’IA lors de l’admission, définissez la propriété sn_grc_ai_gov.ai_system_risk_classification_ram .

    Pour configurer la classification automatisée des risques lors de l’admission, spécifiez la propriété sn_grc_ai_gov.ai_system_automated_risk_classification_asmt_ram .

    Pour définir la RAM par défaut utilisée pour les évaluations des risques dans les systèmes d’IA, définissez la propriété sn_grc_ai_gov.aisystem_primary_ram .

    Pour plus d'informations, consultez Configuration des propriétés de Risque et conformité de l'IA.

    Important :
    Pour activer le déploiement du score de risque sur les actifs IA, installez l’application Advanced Risk et définissez la propriété Migrer vers les évaluations Advanced Risk sur Oui. Il s’agit d’un changement de configuration unidirectionnel qui transfère de manière permanente le calcul du risque et le comportement de déploiement vers le cadre de travail Advanced Risk. Consultez Configurer les Risque avancé propriétés des évaluations.

    Modèles d'évaluations

    La table suivante répertorie les modèles d’évaluation disponibles pour les systèmes d’IA, les modèles d’IA et les tickets d’IA. Les modèles livrés avec Risque et conformité de l'IA sont fournis à l’état Brouillon . Un utilisateur disposant du rôle de gestionnaire des risques et de la conformité IA [sn_grc_ai_gov.ai_risk_and_compliance_manager] publie des brouillons de modèles via l’espace de travail d’évaluation. Pour obtenir des instructions, consultez Publier les modèles d’évaluation.

    Tableau 1. Modèles d'évaluations
    Nom Description Concerne État par défaut Quand l’utiliser
    Évaluation de l'impact IA Évalue l’impact potentiel d’un système d’IA sur les individus, la société et l’organisation. Identifie les risques liés à la confidentialité, à la non-discrimination, à l’équité et à d’autres droits fondamentaux à l’aide d’une approche basée sur un questionnaire. Les réponses sont automatiquement mappées aux déclarations de risque et aux objectifs de contrôle prédéfinis à partir du pack de contenu via les actions de post-évaluation. Examinez les déclarations de risque et les objectifs de contrôle générés automatiquement pour l’utilisation et l’applicabilité dans votre organisation. Rôle requis : propriétaire des actifs IA ou utilisateur métier des risques et de la conformité IA [sn_grc_ai_gov.ai_risk_and_compliance_business_user]. Systèmes d'IA Brouillon Après la soumission du cas d’utilisation de l’IA, pendant la phase d’évaluation.
    Évaluation de l'impact IA pour l'évaluation de la conformité à la loi de l'UE sur l'IA Évalue si un système d’IA peut être soumis à la loi de l’UE sur l’intelligence artificielle (loi sur l’IA). Se concentre sur la classification des risques, les droits fondamentaux, la sécurité et les exigences de transparence. Les résultats de l’évaluation déterminent si des activités de gouvernance supplémentaires sont nécessaires, telles qu’une évaluation complète de la conformité avec le règlement européen relatif à l’IA (EU AI Act) ou une évaluation de l’impact sur les droits fondamentaux (FRIA). Rôle requis : propriétaire des actifs IA ou utilisateur métier des risques et de la conformité IA [sn_grc_ai_gov.ai_risk_and_compliance_business_user]. Systèmes d'IA Brouillon Lorsqu’un système d’IA peut être soumis à la législation de l’UE sur l’IA, en particulier lorsqu’une classification à haut risque est possible.
    Évaluation de la conformité avec le règlement européen relatif à l’IA (EU AI Act) Fournit une évaluation complète de la conformité d’un système d’IA à haut risque aux exigences applicables du règlement européen relatif à l’IA (EU AI Act), y compris la gestion des risques, la gouvernance des données, la documentation technique, la transparence, la supervision humaine, l’exactitude et la robustesse. Rôle requis : analyste des risques et de la conformité de l’IA [sn_grc_ai_gov.ai_risk_and_compliance_analyst] ou gestionnaire des risques et de la conformité de l’IA [sn_grc_ai_gov.ai_risk_and_compliance_manager]. Systèmes d'IA Brouillon Après l’évaluation initiale du règlement européen relatif à l’IA (EU AI Act), le système est classé comme à haut risque, et avant l’examen préalable au déploiement.
    Analyse de l’impact sur les droits fondamentaux (FRIA) Évalue la manière dont un système d’IA à haut risque peut affecter des droits fondamentaux tels que la vie privée, la non-discrimination, la liberté d’expression, l’accès à la justice et la dignité humaine. Remplir l’analyse FRIA avant le déploiement afin de documenter et d’atténuer les effets négatifs potentiels. Rôle requis : analyste des risques et de la conformité de l’IA [sn_grc_ai_gov.ai_risk_and_compliance_analyst] ou utilisateur métier des risques et de la conformité de l’IA [sn_grc_ai_gov.ai_risk_and_compliance_business_user]. Systèmes d'IA Brouillon Après l’évaluation de la conformité, il identifie les implications potentielles en matière de droits fondamentaux et avant le déploiement.
    Questionnaire sur l'évaluation IA à risque élevé capture des informations détaillées sur les systèmes d’IA marqués comme présentant un risque potentiellement élevé, y compris la conception, le traitement des données, la prise de décision et les préjudices potentiels. Les résultats déterminent les contrôles de gouvernance, les exigences de surveillance et les processus d’examen qui s’appliquent tout au long du cycle de vie du système d’IA. Rôle requis : propriétaire des actifs IA ou utilisateur métier des risques et de la conformité IA [sn_grc_ai_gov.ai_risk_and_compliance_business_user]. Systèmes d'IA Brouillon Lorsqu’un système d’IA est signalé comme présentant un risque potentiellement élevé lors de la sélection initiale ou de l’évaluation de l’impact.
    Évaluation de l'impact de l'IA sur l'inventaire des actifs IA Évalue les risques associés à un modèle d’IA spécifique indépendamment de son système d’IA parent. Prend en charge la gouvernance au niveau du modèle lorsqu’un modèle est partagé entre les systèmes ou présente un profil de risque distinct. Rôle requis : propriétaire des actifs IA ou analyste des risques et de la conformité IA [sn_grc_ai_gov.ai_risk_and_compliance_analyst]. Modèles d'IA Brouillon Lorsqu’un modèle nécessite une évaluation de gouvernance indépendante (par exemple, un modèle partagé ou des facteurs de risque de modèles distincts).
    Questionnaire d'évaluation des tickets d'IA Fournit un cadre de travail d’évaluation standardisé pour les tickets d’IA signalés par e-mail , Espace de travail Risque et conformité de l'IACentre des employés ou . Prend en charge une évaluation, une hiérarchisation des tickets et une analyse de la cause première cohérents. Rôle requis : analyste de tickets d’IA [sn_ai_case_mgmt.ai_case_analyst] ou analyste des risques et de la conformité d’IA [sn_grc_ai_gov.ai_risk_and_compliance_analyst]. Tickets d'IA Brouillon Pendant la phase d’enquête, une fois le ticket trié et affecté à un analyste.
    Remarque :
    Les modèles d’évaluation des tickets d’IA sont fournis dans le cadre de l’application Gestion des tickets d’IA et ne sont pas inclus dans Risque et conformité de l'IA les modèles d’évaluation.

    Méthodologies d'évaluation des risques

    Les méthodologies d’évaluation des risques (RAM) définissent les cadres de travail de notation, les critères de classification et les facteurs contributifs utilisés pour évaluer les risques associés aux actifs d’IA.

    Les RAM sont utilisés lors des projets d’admission, d’évaluation des risques au niveau des actifs et d’évaluation des risques en bloc. Le pack de contenu fournit des RAM par défaut et les administrateurs peuvent créer des RAM personnalisées pour répondre aux besoins de l’organisation.

    Tableau 2. Méthodologies d’évaluation des risques par défaut
    RAM Concerne Objectif En cas d’utilisation
    Classification des risques pour le système IA Systèmes d'IA Classe les systèmes d’IA par niveau de risque réglementaire en fonction des facteurs capturés lors de l’admission ou de l’évaluation. Au cours de l’évaluation initiale ou de l’évaluation préliminaire pour déterminer la classification initiale du risque réglementaire.

    Lorsqu’elle est configurée et appliquée au formulaire de demande de cas d’utilisation de l’IA, cette RAM évalue les réponses dans la section Utilisation et finalité et attribue une classification de risque telle que Élevé, Moyen, Faible ou Inacceptable.

    Si l’administrateur des risques et de la conformité IA ne termine pas les étapes de configuration requises, la classification est définie par défaut sur À déterminer.
    Classification automatisée des risques pour les systèmes d'IA Systèmes d'IA Affecte automatiquement une classification des risques réglementaires initiale en fonction des réponses d’utilisation et de finalité. Lors de l’admission, lorsque le dépistage automatisé est activé.
    Évaluation des risques pour l'inventaire IA Systèmes, modèles, ensembles de données d’IA Évalue les risques individuels à l’aide de la probabilité, de l’impact et de l’efficacité du contrôle pour calculer les scores de risque inhérent et résiduel. Lors de projets d’évaluation des risques au niveau des actifs et en bloc.

    Les scores de risque individuels se déploient pour former un score de risque agrégé visible sur l’enregistrement de l’actif IA et le tableau de bord de risque et conformité.

    Cette RAM est la valeur par défaut pour les projets d’évaluation des risques en bloc. Vous pouvez également la spécifier comme RAM primaire par défaut pour toutes les évaluations des risques à l’aide de la propriété sn_grc_ai_gov.aisystem_primary_ram .
    Classification des risques pour le modèle ou l’ensemble de données IA Modèles et ensembles de données d’IA Classe les modèles et les ensembles de données par niveau de risque en fonction des caractéristiques, de la sensibilité des données et de l’utilisation prévue. Lorsque les modèles ou les ensembles de données nécessitent une évaluation de gouvernance indépendante.

    Contrairement aux RAM de classification des systèmes d’IA, cette RAM n’est pas appliquée par le biais d’une propriété globale.

    Elle est sélectionnée lors du lancement d’une évaluation des risques sur un modèle ou un ensemble de données d’IA et évalue des caractéristiques telles que la sensibilité des données, l’utilisation prévue et les facteurs de risque associés.

    Pour plus d’informations sur la coordination conjointe de plusieurs évaluations des risques, reportez-vous à la section Projet d’évaluation des risques dans Risque et conformité de l'IA.

    Important :
    Le comportement de notation automatisé et avancé dépend de la configuration de la RAM. Pour activer le déploiement du score de risque sur les actifs IA, installez l’application Advanced Risk et migrez vers les évaluations Advanced Risk. Il s’agit d’un changement de configuration unidirectionnel.

    Classification automatisée des risques alimentée par la soumission de l’utilisation et de la finalité, l’évaluation intelligente et l’évaluation des risques

    La classification automatisée des risques connecte la sélection initiale, les évaluations et l’évaluation des risques dans un flux de gouvernance unique. Les informations capturées au cours de la demande d’admission, en particulier les réponses fournies par le propriétaire du produit dans la section Utilisation et finalité, sont réutilisées dans les évaluations ultérieures et contribuent directement à la façon dont les systèmes d’IA sont classés comme risque élevé, moyen ou faible.

    Les modèles d’évaluation, les RAM et les actions post-évaluation fonctionnent ensemble pour garantir que le contexte qualitatif, l’impact réglementaire et le score de risque quantitatif sont appliqués de manière cohérente tout au long du cycle de vie de la gouvernance de l’IA.

    Une séquence d’évaluation typique d’un système d’IA montre comment ces composants sont interconnectés :

    1. Lors de l’admission, la classification automatisée des risques pour la RAM du système d’IA évalue les réponses capturées dans la section Utilisation et finalité de la demande de ticket d’utilisation d’IA et attribue une classification des risques réglementaires initiale.
    2. Au cours de la phase d’évaluation, l’évaluation des risques recueille des informations sur l’impact potentiel du système sur la confidentialité, l’équité et d’autres droits fondamentaux. Les réponses de la section Utilisation et finalité sont reportées pour assurer la continuité et réduire la saisie de données en double.
    3. Les actions post-évaluation évaluent les réponses à l’évaluation des risques et associent automatiquement les déclarations de risque et les objectifs de contrôle applicables à l’enregistrement d’évaluation en fonction des règles d’automatisation configurées.
    4. Un analyste des risques et de la conformité de l’IA examine la liste prescrite des risques générés et des objectifs de contrôle pour valider l’exactitude, la pertinence et l’applicabilité avant que les enregistrements de gouvernance ne soient finalisés.
    5. Une fois l’évaluation marquée comme fermée terminée, le système génère des enregistrements de risque et de contrôle et les mappe à l’actif IA. L’évaluation des risques pour la RAM d’inventaire d’IA évalue ensuite chaque risque identifié à l’aide d’un score quantitatif pour calculer les scores de risque inhérent et résiduel.
    6. Pour les systèmes d’IA soumis à la législation de l’UE sur l’IA, des évaluations supplémentaires telles que l’évaluation de la conformité avec la loi de l’UE sur l’IA et l’analyse de l’impact sur les droits fondamentaux (FRIA) fournissent une évaluation réglementaire spécialisée.

    Tout au long de cette progression, les résultats des évaluations et les scores des risques éclairent les décisions de gouvernance quant à la possibilité pour un système d’IA de passer à la phase de cycle de vie suivante. Pour une vue d’ensemble de la façon dont ces activités s’alignent sur les étapes du cycle de vie, reportez-vous à la section Cycle de vie de gouvernance IA.

    Remarque :
    La classification automatisée des risques fournit uniquement un contexte de risque précoce. Elle n’approuve pas le déploiement, ne lance pas de workflows de cycle de vie et ne remplace pas les évaluations de l’impact ou des risques en aval.