auxlo
Start free assessment
Système de management de l'IA

ISO/IEC 42001 : la première norme de management de l'IA certifiable au monde.

L'ISO/IEC 42001:2023 offre aux organisations un cadre défendable et auditable pour gouverner l'IA tout au long de son cycle de vie. Nous concevons des systèmes de management de l'IA (SMAI) qui s'intègrent aux programmes ISO 27001 ou SOC 2 existants, satisfont aux attentes du NIST AI RMF et vous préparent aux obligations de la loi européenne sur l'IA.

Book a 30-min scoping callRun a free self-assessment
Norme publiée
Décembre 2023
S'intègre avec
ISO 27001 · SOC 2
S'aligne sur
NIST AI RMF · Loi UE sur l'IA

Ce qu'exige l'ISO 42001

L'ISO/IEC 42001:2023 définit les exigences pour établir, mettre en oeuvre, maintenir et améliorer en continu un système de management de l'IA. Elle suit la structure de haut niveau partagée par l'ISO 27001 et l'ISO 9001, ce qui permet aux organisations dotées d'un système de management existant d'étendre plutôt que de reconstruire.

La norme introduit des obligations propres à l'IA : une politique d'IA, une méthode d'évaluation des risques et des impacts liés à l'IA, des contrôles sur l'ensemble du cycle de vie de l'IA (données, modèle, déploiement, surveillance, décommissionnement), la gouvernance des fournisseurs et de l'IA tierce, des exigences de transparence et d'explicabilité, ainsi que des rôles et responsabilités spécifiques au développement et à l'utilisation de l'IA.

Comment nous construisons un SMAI

  1. Inventaire et classification des systèmes d'IA. Chaque système d'IA, qu'il soit interne, orienté client ou une capacité de fournisseur intégrée, est catégorisé par risque et cas d'usage.
  2. Politique et objectifs d'IA. Alignés sur la stratégie d'entreprise, l'exposition réglementaire et les engagements éthiques.
  3. Évaluation des risques liés à l'IA. Utilisation du NIST AI RMF comme méthode, calibrée selon votre secteur et votre appétit pour le risque.
  4. Évaluation des impacts liés à l'IA. Pour chaque système à haut risque : personnes concernées, préjudices prévisibles, mesures d'atténuation, risque résiduel.
  5. Contrôles du cycle de vie. Gouvernance des données, documentation des modèles, évaluation, conditions de déploiement, surveillance, détection de dérive, réponse aux incidents, décommissionnement.
  6. Gouvernance de l'IA tierce. Diligence raisonnable auprès des fournisseurs, exigences contractuelles, supervision continue des fournisseurs de modèles de fondation.
  7. Audit interne et revue de direction. La même rigueur de système de management que pour l'ISO 27001.

Pourquoi la certification ISO 42001 précoce est importante

Les acheteurs et les régulateurs convergent vers une approche de système de management pour l'IA. La loi européenne sur l'IA attend des fournisseurs à haut risque qu'ils opèrent un système de management de la qualité; les normes harmonisées prévues sous la loi s'alignent étroitement sur l'ISO 42001. Les organisations canadiennes qui vendent de l'IA dans des secteurs réglementés, à des ministères fédéraux ou sur des marchés européens seront de plus en plus appelées à démontrer la maturité de leur gouvernance de l'IA. La certification ISO 42001 est la réponse la plus claire.

En complément de l'ISO 27001 ou du SOC 2

Si vous opérez déjà un SMSI ISO 27001 ou un programme SOC 2 mature, l'ISO 42001 est une extension : instances de gouvernance partagées, audit interne partagé, méthode de gestion des risques partagée. Nous concevons des programmes intégrés pour que le SMAI ne devienne pas une bureaucratie parallèle.

FAQ

Common questions

Qu'est-ce que l'ISO/IEC 42001?
L'ISO/IEC 42001:2023 est la première norme mondiale de système de management certifiable pour l'intelligence artificielle. Elle définit les exigences d'un système de management de l'IA (SMAI) : leadership, politique d'IA, évaluation des risques et des impacts, contrôles du cycle de vie, gouvernance de l'IA tierce et amélioration continue. Sa structure est similaire à celle de l'ISO 27001 et s'intègre aux systèmes de management existants.
Qui devrait se certifier selon l'ISO 42001?
Les organisations qui développent, déploient ou fournissent des systèmes d'IA, en particulier celles qui vendent dans des secteurs réglementés, au secteur public ou à des acheteurs européens soumis à la loi européenne sur l'IA. Une certification précoce est un signal de marché fort indiquant que l'organisation prend la gouvernance de l'IA au sérieux.
Quel est le lien entre l'ISO 42001 et le NIST AI RMF?
Le cadre de gestion des risques liés à l'IA du NIST est un document d'orientation volontaire pour gérer les risques d'IA. L'ISO 42001 est un système de management certifiable qui opérationnalise les mêmes concepts. Nous utilisons généralement le NIST AI RMF comme méthode d'évaluation des risques au sein d'un SMAI ISO 42001 : ils sont complémentaires, non concurrents.
L'ISO 42001 satisfait-elle à la loi européenne sur l'IA?
Pas à elle seule. La loi européenne sur l'IA impose des obligations spécifiques aux fournisseurs et déployeurs d'IA à haut risque. La certification ISO 42001 démontre que l'organisation possède la maturité de gouvernance nécessaire pour identifier et respecter ces obligations, et les normes harmonisées prévues sous la loi sur l'IA devraient s'aligner étroitement sur l'ISO 42001.
Combien de temps prend la mise en oeuvre de l'ISO 42001?
Pour les organisations déjà certifiées ISO 27001 ou dotées d'un système de management de la sécurité mature, prévoyez 4 à 6 mois pour ajouter une couche SMAI. En partant de zéro, 8 à 12 mois est plus réaliste.

Your next enterprise contract is waiting on this.

  • Flat fee, total cost known up front
  • Canadian data residency available on paid engagements
Book a free intro call