‹‹ Retour

IA ACT - A quoi s’attendre et comment adapter sa stratégie cyber ?

ia act

IA Act et gestion du risque fournisseur : un nouveau défi pour les programmes TPRM

L’intelligence artificielle bouleverse en profondeur la chaîne d’approvisionnement et les processus métiers des entreprises et administrations. Son usage devient de plus en plus courant et soulève des interrogations liées à la gestion des risques cyber et à la conformité. Avec l’adoption du règlement européen sur l’intelligence artificielle (IA Act), les entreprises doivent non seulement être responsables de leurs propres systèmes d’IA, mais aussi surveiller ceux de leurs fournisseurs.

Le règlement IA Act complète un cadre légal et normatif exigeant autour de la cybersécurité. Décryptage de son périmètre, de ses obligations et de ses impacts directs sur les programmes de Third Party Risks Management (TPRM).

L’IA Act, sécuriser les usages de l’intelligence au sein de l’Union Européenne

Une gestion étendue des risques IA

L’IA Act est le nouveau règlement européen qui encadre l’usage de l’intelligence artificielle au sein des organisations. Son objectif n’est pas seulement juridique : il vise avant tout à créer un cadre de confiance pour tous les acteurs économiques, y compris leurs partenaires et fournisseurs. En effet, certains usages sont considérés comme à risque élevé (secteurs de la santé, finance…). Les entreprises publiques comme privées doivent donc s’assurer que leurs modèles IA sont sécurisés et supervisés par l’humain.

L’IA Act introduit des exigences qui entrent dans le cadre du TPRM (Third-Party Risk Management). En effet, il impose une attention particulière à l’usage de l’IA dans toute la chaîne d’approvisionnement. Par conséquent, l’évaluation des risques IA chez les tiers devient aussi indispensable que la sécurisation de l’usage de l’IA au sein des équipes internes. Cette maîtrise du risque cyber s’impose à tous les prestataires, quel que soit leur typologie et leur rôle : ****fournisseurs de matériel, prestataire de services, logiciels SaaS…

Des obligations qui impactent la gouvernance cyber

L’IA Act complète les méthodes en place en matière d’évaluation de la conformité cyber. Elle impose une analyse des solutions IA au sein de l’entreprise mais également de leurs prestataires. Les systèmes jugés à haut risque doivent faire l’objet d’un contrôle rigoureux (documentation technique, supervision, évaluation des données, traçabilité...).

Pour les directions achats et juridiques, ces obligations impliquent de nouvelles pratiques dans le pilotage des fournisseurs.

  • Intégrer des clauses contractuelles de conformité IA,
  • Exiger la transparence sur les algorithmes et les jeux de données,
  • Vérifier la présence d’un marquage CE pour les systèmes à haut risque,
  • Documenter les processus de décision et de supervision,

La finalité est de mieux maîtriser les risques cyber liés à l’IA, qui pourraient être introduits par les tiers.

Dans la pratique, cette nouvelle réglementation pousse les acteurs économiques à renforcer leur démarche de Third Party Risk Management (TPRM). En effet, la cartographie des risques doit inclure les systèmes et process s’appuyant sur l’IA, ainsi que les prestataires qui en font usage.

En effet, l’IA Act ne se cantonne pas à un périmètre technologique. Les exigences de transparence, de documentation et de gestion des risques rejoignent celles de NIS2 et de DORA. Les entreprises et entités publiques doivent désormais piloter un cadre de conformité unifié. Le TPRM devient alors le fil conducteur.

IA Act et stratégie cyber : un nouvel enjeu pour la gestion des risques tiers (TPCRM)

L’IA Act comme levier de maturité cyber

L’IA Act renforce l’exigence de sécurité sur l’ensemble de la supply chain, à l’image des obligations imposées par la certification ISO 27001 ou du RGPD. Les organisations sont invitées à auditer et documenter leurs modèles d’intelligence artificielle, et à démontrer la robustesse des algorithmes face aux menaces.

L’IA Act impose de :

  • tracer l’origine des données,
  • vérifier l’intégrité des processus d’entraînement,
  • d’assurer une supervision humaine.

DSI, RSSI et responsables conformité sont directement mobilisés pour assurer des usages conformes et sécurisés de l’intelligence artificielle. Ils deviennent garants de son usage au sein de chaque département de l’entreprise. L’encadrement des pratiques et le renforcement de la sécurité deviennent la clé de voûte de la maturité cyber de l’entreprise.

L’arrivée de l’IA Act vient enrichir la démarche de gestion des risques fournisseurs. Au-delà de la vérification de la conformité technique ou financière, les RSSI doivent désormais évaluer la conformité des systèmes d’intelligence artificielle intégrés au sein des solutions technologiques des prestataires.

En effet, la transparence autour des modèles d’IA utilisés par des tiers devient un incontournable du TPRM. D'abord, concernant les données qui les alimentent. D’où proviennent-elles ? Sont-elles fiables ? Comment sont-elles sécurisées ? La pertinence des data, leur qualité et leur mise à jour doivent faire l’objet d’une attention particulière à la fois pour fiabiliser l’usage des systèmes IA mais aussi pour s’assurer de leur intégrité.

Ensuite, les méthodes d’entraînement doivent être traçables, reproductibles et intégrées dans la gestion des risques. Chaque nouveau scénario doit inclure des tests de biais et de robustesse et être intégrés dans les programmes TPRM et de cybersécurité (questionnaires fournisseurs, tests cyber…)

Enfin, la supervision des technologies IA impose des mécanismes de surveillance par l’humain, tels que la validation des résultats, l’arrêt du système et des audits réguliers, afin de limiter les risques cyber sur la supply chain.

IA Act au cœur de la démarche TPCRM et de l’analyse des risques cyber

La conformité IA devient un critère incontournable dans les processus d’évaluation, de sélection et de contractualisation avec les fournisseurs. Les programmes de Third Party Cyber Risk Management (TPCRM) doivent donc intégrer l’IA Act à leurs grilles d’analyse, audits et pentests récurrents. Cette cartographie des risques cyber des tiers amène une analyse précise de l’exposition aux risques IA de chaque fournisseur.

Plus globalement, le renforcement de la démarche TPCRM par l’étude des risques IA des fournisseurs s’inscrit dans une approche plus large de Cyber Threat Exposure Management (CTEM). In fine, il s’agit de surveiller en continu la surface d’attaque externe et d’anticiper les menaces cyber issues de la supply chain.

L’arrivée de l’intelligence artificielle et son déploiement massif au sein des fournisseurs SaaS fragilise la surface d’attaque externe des entreprises. Les entreprises doivent dorénavant engager une démarche proactive pour piloter efficacement leur stratégie cyber. Pour cela, les RSSI s’équipent d’outils capables de les aider à mieux identifier et corriger une vulnérabilité, notamment issue d’un tiers. Un risque exacerbé par la multiplication des prestataires au sein de la chaîne d’approvisionnement. Les RSSI cherchent donc à mesurer et identifier le niveau de dépendance afin de comprendre l’impact d’une défaillance d’un tiers sur l’activité globale de l’entreprise.

Cette démarche engage également les équipes juridiques. Dès la phase de contractualisation avec le fournisseur, l’ajout de clauses de sécurité permet d’encadrer la responsabilité du prestataire et de l’inviter à mener les actions adéquates pour réduire les risques et se conformer aux exigences, notamment de l’IA Act.

Board of Cyber, des solutions au service de votre stratégie cyber

Dans ce contexte, les solutions SaaS délivrées par Board of Cyber accompagnent les entreprises dans l’amélioration de leur sécurité informatique. Elles créent une boite à outils efficace pour analyser et améliorer la résilience cyber des entreprises et administrations publiques. Véritable plateforme de pilotage, elles apportent une vision détaillée du niveau de criticité et permettent d’identifier les écarts avec les principales réglementations françaises et européennes.

La combinaison des solutions de notation cyber, d’analyse de la surface d’attaque et de gouvernance cyber constitue le socle d’une démarche TPRM efficace. L’identification des failles cyber issues des tiers représente un enjeu à la fois de conformité et de résilience cyber.

Avec Security Rating, les organisations peuvent automatiser l’analyse de leurs tiers et ainsi monter à l’échelle (de plusieurs dizaines à quelques milliers). Une note de 0 à 1000 est attribuée en quelques secondes et permet d’identifier les fournisseurs jugés « à risque ». Cette notation en continu aboutit à un rapport détaillé, utile pour orienter les actions de correction auprès des fournisseurs.

L’IA Act est le premier cadre légal dédié à l’intelligence artificielle. Ce règlement s’inscrit dans la continuité des textes en vigueur comme DORA et NIS 2, eux-mêmes fondés sur la mesure du risque cyber. L’intelligence artificielle est source d’opportunités pour les entreprises. Elles s’engagent donc massivement dans son déploiement, sans toujours en mesurer les véritables méfaits sur la sécurité et le traitement des données. C’est pourquoi, il devient indispensable pour les organisations d’intégrer la conformité IA de leurs tiers au sein de leur stratégie globale de cybersécurité. En jeu : conformité, résilience cyber et gouvernance des données.

Conformité & règlementations | tprm Rédigé le 19 Dec 25

Cet article vous a plu ? Inscrivez-vous à notre newsletter pour ne manquer aucune nouvelle publication !

S'inscrire
Newsletter
Mentions Légales
Gérer les cookies