Cet article est co-écrit par Philippe NIEUWBOURG ( Decideo ), Julien Soulard ( smartcockpit ) et Estelle Riboni-Cordelier ( OXIBI SA )
Nous l’avons déjà mentionné dans les chapitres précédents. L’Intelligence Artificielle n’est pas sans risques. Mais quels sont-ils, comment les identifier, les évaluer et les représenter ? Partager avec vous quelques éléments de méthode simples, c’est l’objectif que nous nous fixons aujourd’hui.
IA symbolique, connexionniste ou générative, aucune des formes d’IA n’est exempte de risques. Vivre sans risque est d’ailleurs, de manière générale, impossible. Le plus important est de les connaitre, de les mesurer, puis de tenter de les mitiger.
Avant de dévoiler notre méthode, nous en profitons pour glisser quelques lignes préalables sur notre philosophie en matière de gestion des risques.
La gestion des risques à l’ère digitale : une révolution nécessaire
Traditionnellement, les organisations gèrent les risques de manière défensive, en compartiments séparés, et parfois sans lien avec leurs objectifs stratégiques. Cette méthode génère des rapports qui finissent souvent dans un tiroir, sans impact réel sur les décisions quotidiennes.
L’avenir appartient à une philosophie qui vise à passer d’une approche « centrée sur les risques » à une démarche « centrée sur les objectifs ». Cette transformation implique d’intégrer la gestion des risques avec le pilotage de la performance, créant ainsi une vision à 360° de la santé organisationnelle. Prenons l’exemple d’un aéroport : se concentrer uniquement sur la performance pourrait réduire les temps d’attente en négligeant la sécurité, tandis qu’une approche purement sécuritaire pourrait paralyser les opérations. L’équilibre réside dans une prise de décision éclairée qui concilie efficacité et sécurité.
L’innovation majeure réside dans l’abandon de la logique de minimisation des risques au profit de leur optimisation. Il ne s’agit plus de chercher le risque zéro, mais de trouver le niveau de risque optimal qui permet d’atteindre les objectifs tout en respectant les seuils de tolérance. Cette approche doit être collaborative, pour briser les silos organisationnels et instaurer une culture de prise de décision partagée.
Pour les dirigeants, cette évolution doit se résumer par des tableaux de bord synthétiques répondant aux questions essentielles : « Sommes-nous alignés sur nos objectifs ? », « Notre organisation est-elle en bonne santé ? », « Maîtrisons-nous nos risques ? ». Cette vision globale permet une gouvernance plus agile et des décisions plus rapides face aux changements d’environnement.
Risques liés à l’IA : par quoi commencer ?
Zoom sur l’identification des risques
La norme ISO 31000 fournit un cadre méthodologie permettant d’identifier, cartographier et évaluer les risques susceptibles de peser sur une entreprise. Elle ne fournit pas de liste exhaustive, mais les grandes catégories suivantes peuvent servir de base au risk manager.
Une autre référence possible est celle du MIT[1], qui en 2024, avait réalisé un travail colossal d’identification de 777 risques potentiels liés à l’IA (passé aujourd’hui à près de 1600 !). Un travail gigantesque et pourtant encore incomplet, qui peut servir de base à une réflexion d’entreprise.
Certains préféreront partir de la feuille blanche et réfléchir à leurs propres risques, d’autres seront plus motivés à l’idée de partir d’une liste importante et d’éliminer ce qui ne concerne pas l’entreprise.
Appliquée à l’IA, voici une illustration de catégories que nous proposons :
Zoom sur l’évaluation des risques
Elle s’appuie sur deux variables :
- Le risque de survenance : En gestion des risques, le risque de survenance désigne la probabilité (ou vraisemblance) qu’un événement indésirable se produise. Le risque de survenance correspond à la probabilité d’occurrence d’un événement redouté dans un contexte donné.
- L’impact métier : En gestion des risques, l’impact d’un risque désigne les conséquences potentielles qu’aurait la survenance de ce risque sur l’organisation. L’impact (ou gravité) d’un risque représente la sévérité des dommages possibles (financiers, humains, juridiques, opérationnels, environnementaux ou réputationnels).
Pour chaque risque, ces deux métriques devront être évaluées. Quelques référentiels existent, parfois proposés par les organisations professionnelles de certains secteurs d’activité, mais s’ils peuvent servir de base à la réflexion, les copier conduirait à ne pas tenir compte des particularités de chaque entreprise… Attention !
La formule habituelle d’évaluation des risques est :
Niveau de risque = Probabilité de survenance × Impact métier
Identifier, évaluer, cartographier… et maintenant mitiger. Car connaitre ses risques est un premier pas indispensable, qui permet ensuite de les traiter un par un, des plus importants aux moins importants et de mettre en place des mesures (humaines, organisationnelles ou informatiques) pour en diminuer les effets et/ou les risques de survenance.
Un conseil ! Ne faites pas cela tout seul ! Les professionnels de la gestion des risques sont familiers de ce processus ; des consultants spécialisés peuvent vous aider ; et les métiers sont les meilleurs connaisseurs de leurs propres risques… à condition parfois de parvenir à les faire parler !
A vous de choisir la méthode qui vous sied le plus !