Les entités financières doivent gérer les actifs de données, évaluer les risques et garantir la transparence pour se conformer à la DORA et à la loi sur l'IA lorsqu'elles déploient des solutions d'IA à haut risque. © Getty Images
Les entités financières font des efforts supplémentaires pour répondre aux exigences de conformité du
Digital Operational Resilience Act (DORA), un règlement de l'Union européenne visant à renforcer la
cyber-résilience du secteur financier de la région. La date butoir du 17 janvier 2025 approche à grands pas. D'ici là, les entités financières soumises au règlement devraient avoir mis en place un cadre et une stratégie de gestion des risques liés aux Technologies de l’Information et de la Communication (TIC), conformément aux exigences de la loi DORA.
Alors que les entités financières sont occupées à mettre en œuvre des programmes de conformité à la loi DORA, l'UE a introduit une nouvelle réglementation révolutionnaire : la loi sur l'IA. Entré en vigueur le 2 août de cette année, l'AI Act établit des règles visant à garantir des produits d'IA plus fiables,
plus sûrs et plus robustes, en particulier ceux qui sont considérés comme "à haut risque".
Bien que ces deux réglementations traitent de sujets différents, elles ont de nombreux points communs et un objectif commun : rendre les nouvelles technologies plus sûres. Les entités financières doivent donc prendre
en compte les obligations découlant de la loi sur l'IA qui auront un impact sur leur cadre de gestion des risques liés aux TIC et les intégrer dans leur programme de cybersécurité.
Quels sont les éléments à prendre en compte par les entités financières ?
Pour comprendre l'interaction entre la loi DORA et la loi sur l'IA, prenons l'exemple d'une entité financière qui déploie une solution d'IA pour l'évaluation de la solvabilité des personnes ou pour la tarification
de l'assurance maladie. Ce type de solution est considéré comme présentant un risque élevé au sens de la loi sur l'IA (annexe II). Dans de tels cas, l'entité financière doit prendre en compte
et se préparer à des obligations découlant à la fois du DORA et de la loi sur l'IA :
Connaître les données
Une solide gouvernance des données est le fondement de la conformité à la DORA et à la loi sur l'IA. La loi DORA exige des entités financières qu'elles dressent l'inventaire de leurs actifs en matière
de TIC et d'information, en particulier ceux qui sont essentiels au soutien des fonctions de l'entreprise. Une entité financière ne peut pas évaluer et atténuer correctement les risques associés sans une
compréhension claire de ses actifs. Parallèlement, la loi sur l'IA impose de cartographier les données utilisées pour alimenter la solution d'IA, de mettre en œuvre des mesures de sécurité et
d'assurer la conformité avec les règles du RGPD (Règlement général sur la protection des données) et la règle de l'ABE (Autorité bancaire européenne) sur l'origination et le suivi
des prêts. Plus précisément, une nouvelle directive sur les prêts à la consommation ajoutera des exigences en matière de protection des données. Par exemple, lors du déploiement d'une solution
d'évaluation du crédit, l'entité financière doit suivre les informations relatives aux comptes de crédit des clients, à l'historique des paiements, à l'utilisation du crédit et à
l'encours de la dette, qui alimentent le modèle d'IA d'évaluation du crédit. Dans le cadre de ces deux réglementations (et de la directive GDPR + crédit), une vision claire des actifs informationnels est
le point de départ pour garantir la conformité de l'utilisation des données.
Évaluer les risques
La loi DORA prévoit une évaluation continue des risques liés aux TIC et impose des exigences strictes en matière de gestion des risques. Simultanément, la loi sur l'IA prévoit des exigences en matière
d'évaluation des risques des systèmes d'IA et de leurs finalités afin de prévenir les dommages potentiels pour les utilisateurs ou les infrastructures. Dans l'exemple ci-dessus, l'entité financière
qui utilise une solution d'évaluation du crédit doit évaluer et gérer les risques numériques associés dans le cadre de la loi DORA et de la loi sur l'IA. Les risques liés à l'intégrité
et à la disponibilité des données, aux données de mauvaise qualité qui alimentent l'algorithme d'IA, aux biais algorithmiques, etc. sont importants non seulement du point de vue de la sécurité,
mais aussi pour garantir que les résultats sont équitables et qu'aucun droit n'est lésé. Il est essentiel que le système d'IA soit conforme aux normes de sécurité et de résilience définies
par le DORA et la loi sur l'IA, et que les processus de gestion des risques liés aux TIC du DORA soient intégrés à l'évaluation des risques liés à l'IA.
Gérer les risques de la chaîne d'approvisionnement
En raison de l'absence de centralisation, il peut être difficile de suivre les risques posés par les services d'IA à une organisation. La loi DORA et la loi sur l'IA définissent des règles strictes pour la gestion
des risques liés à la chaîne d'approvisionnement. En vertu de la loi DORA, l'entité financière qui utilise une solution d'évaluation du crédit doit faire preuve de diligence raisonnable en matière
de TIC avant de conclure un contrat avec le fournisseur de la solution. En outre, elle doit gérer le risque TIC découlant du fournisseur d'IA (et de ses sous-traitants), pour lequel l'entité financière est tenue
responsable. La loi sur l'IA exige de l'entité financière qu'elle utilise correctement le système d'évaluation du crédit, qu'elle en surveille les performances et qu'elle signale tout risque ou incident,
y compris ceux liés à des fournisseurs tiers. En outre, l'entité financière est implicitement tenue de faire preuve de diligence raisonnable à l'égard des solutions d'IA de tiers dans le cadre de sa
responsabilité globale de garantir l'utilisation sûre et conforme des systèmes d'IA à haut risque. Par conséquent, la mise en place d'un cadre approprié de gestion des risques liés aux tiers
et de pratiques de diligence raisonnable est essentielle pour se conformer aux deux réglementations.
Test et audit
Les deux réglementations mettent l'accent sur la surveillance continue par le biais de tests et d'audits. La loi DORA impose des tests de résilience opérationnelle numérique et des audits réguliers, tandis que
la loi sur l'IA exige une validation régulière des systèmes d'IA. La solution d'évaluation du crédit doit être soumise à des tests de performance afin de déterminer si elle peut fournir
des évaluations du crédit précises et en temps voulu dans diverses conditions opérationnelles. Ce type de test est essentiel pour détecter les faiblesses des TIC, comme l'exige le DORA, et pour garantir,
conformément à la loi sur l'IA, que le modèle d'IA reste précis et fiable dans diverses conditions et qu'il ne se dégrade pas avec le temps.
Faire preuve de transparence et de responsabilité
Deux principes communs à la plupart des réglementations numériques récentes sont la transparence et la responsabilité (le GDPR sert de modèle ici). Ces principes devraient guider les organisations financières
qui déploient des solutions d'évaluation du crédit lorsqu'elles traitent de la conformité à la loi DORA et à la loi sur l'IA. La loi DORA met l'accent sur la transparence des processus de gestion des
risques liés aux TIC et sur les incidents liés aux TIC susceptibles d'affecter la solution d'évaluation du crédit. Parallèlement, la loi sur l'IA exige de l'entité financière qu'elle fasse preuve
de transparence dans l'utilisation qu'elle fait de cette dernière. Dans les deux cas, l'entité financière sera tenue pour responsable. À cette fin, l'entité financière doit veiller à cartographier,
documenter, mettre à jour et rendre compte de tous les processus TIC et IA pertinents. Une gouvernance solide sera essentielle pour respecter ces deux principes.
Élaboration d'une feuille de route complète intégrant les exigences de la DORA et de la loi sur l'IA
La DORA et la loi sur l'IA peuvent être deux alliés formidables pour renforcer votre posture de sécurité. Toutefois, pour parvenir à une cyber-résilience solide et garantir la conformité, il est
crucial de considérer ces réglementations non pas comme des mandats autonomes, mais comme des éléments complémentaires d'un cadre global. Intégrer les deux dès le départ peut s'avérer
difficile.
Chez Sopra Steria, nous pensons que cette vision devrait déjà être intégrée dans la feuille de route des entreprises de services financiers. Nous travaillons sur une stratégie, de la conception à
la mise en œuvre, qui vous aidera à :
- Adopter une approche réglementaire globale.
- Renforcez votre gouvernance et votre gestion des risques liés aux TIC en intégrant les exigences de l'IA et de la DORA.
- Élaborer des procédures de documentation et de diligence raisonnable et mener des activités d'audit dans le cadre de la gestion des risques liés aux tiers.
Définir votre stratégie de test de résilience et soutenir sa mise en œuvre
Notre approche pratique est construite de manière transversale par une équipe d'experts multidisciplinaires combinant des connaissances en matière de conformité et de cybersécurité, capitalisant sur nos
outils, cadres et solutions internes déjà déployés dans de nombreux projets liés au DORA.