La vision de Cyber Academy
AAIA est le credential avancé ISACA pour l'audit des systèmes d'IA, des modèles et de la gouvernance. Lancé en 2024. Nécessite un CISA ou équivalent. Conçu pour les auditeurs seniors souhaitant intégrer une compétence IA, aligné sur ISO 42001 et les obligations de l'AI Act relatives aux systèmes à haut risque.
À quoi sert la certification AAIA
Advanced in AI Audit (AAIA) est une certification ISACA conçue pour les auditeurs expérimentés qui doivent étendre leur pratique à l'intelligence artificielle. C'est un ajout récent au portefeuille ISACA, introduit au moment où l'IA est passée des projets pilotes à des systèmes en production que les conseils d'administration, les régulateurs et les clients attendent désormais d'auditer. Le postulat est étroit et délibéré : il suppose que vous savez déjà auditer. AAIA ne réenseigne pas le processus d'audit. Elle vous apprend à appliquer la discipline d'audit aux systèmes d'IA, aux modèles qui les sous-tendent et à la gouvernance qui les entoure.
C'est pourquoi AAIA se positionne comme une certification avancée et non d'entrée de gamme. Elle s'adresse aux auditeurs qui détiennent déjà une certification d'audit et une maîtrise opérationnelle des contrôles, des preuves et du reporting, et qui doivent désormais répondre à des questions qu'un audit informatique traditionnel n'a jamais été conçu pour poser. Les données d'entraînement sont-elles adaptées à l'usage prévu ? Le comportement du modèle peut-il être expliqué ? Existe-t-il une supervision humaine réelle là où le système prend des décisions lourdes de conséquences ? L'IA est-elle utilisée uniquement pour sa finalité déclarée ? Ce sont les lacunes que AAIA entend combler.
Prérequis et positionnement
AAIA est conçue pour s'appuyer sur une base d'audit existante plutôt que pour fonctionner seule. ISACA la positionne pour les auditeurs seniors, et en pratique les candidats sont censés détenir CISA ou une certification d'audit reconnue équivalente avant de s'y engager. La logique est la même que celle qu'ISACA applique à l'ensemble de ses offres avancées : la certification ajoute une spécialisation par-dessus une base éprouvée, elle ne remplace pas cette base. Un auditeur qui n'a jamais mené de mission tirera peu de profit de AAIA, tandis qu'un titulaire CISA chevronné y trouvera une méthode structurée pour rendre les missions d'IA défendables.
Comment elle s'articule avec ISO 42001 et le règlement européen sur l'IA
Ce qui rend AAIA pratique plutôt qu'académique, c'est qu'elle s'ancre dans les référentiels que les auditeurs sont désormais appelés à tester. Elle s'articule avec ISO/IEC 42001, la norme de système de management dédiée à l'IA, qui donne à l'auditeur une structure de contrôle reconnue pour la gouvernance de l'IA : redevabilité, qualité des données, transparence, supervision humaine et évaluation d'impact. Elle s'aligne également sur les obligations que l'EU AI Act impose aux systèmes à haut risque, où les fournisseurs doivent exploiter un système de gestion des risques, tenir une documentation technique, garantir une supervision humaine et assurer une surveillance après commercialisation. AAIA outille l'auditeur pour rassembler des preuves au regard précisément de ces attentes.
C'est là que AAIA se distingue d'une qualification générale en gouvernance de l'IA. Un certificat de gouvernance vous apprend à concevoir et à exploiter un système de management de l'IA. AAIA vous apprend à l'évaluer de façon indépendante : planifier un audit d'IA, le cadrer autour de la finalité prévue et du risque, tester les contrôles, évaluer les preuves et restituer des constats sur lesquels un conseil d'administration ou un régulateur peut agir. C'est la contrepartie en assurance des compétences de conception et d'exploitation que des référentiels comme ISO 42001 installent.
Ce que font concrètement les titulaires de AAIA
En pratique, un auditeur doté des compétences AAIA suit généralement une séquence reconnaissable lors d'une mission d'IA :
- Cadrer l'audit autour de la finalité prévue du système d'IA, de sa classification de risque et du rôle de l'organisation en tant que développeur, fournisseur ou déployeur.
- Évaluer la gouvernance : si la redevabilité est attribuée, si des évaluations des risques et des impacts de l'IA existent, et si elles sont tenues à jour.
- Tester les contrôles qui comptent pour l'IA, notamment la gouvernance des données, la documentation des modèles, la transparence envers les utilisateurs concernés et la supervision humaine.
- Évaluer la surveillance post-déploiement, le traitement des incidents et la boucle de rétroaction qui maintient le système dans ses limites déclarées.
- Restituer les constats dans un langage d'audit qui correspond proprement aux contrôles ISO 42001 et aux obligations de l'AI Act, afin que l'organisation puisse combler ses lacunes avec des preuves.
La valeur pour une organisation, c'est l'indépendance. Une équipe de gouvernance de l'IA peut attester que les contrôles existent ; un auditeur outillé par AAIA peut fournir une assurance de type tierce partie attestant que ces contrôles fonctionnent réellement, ce que les régulateurs, les acheteurs grands comptes et les fonctions achats demandent de plus en plus à voir.
Frequently asked questions
01Dois-je détenir CISA avant de passer AAIA ?
AAIA est conçue pour les auditeurs seniors et suppose une certification d'audit existante telle que CISA ou une certification équivalente. Elle s'appuie sur une base d'audit éprouvée plutôt que d'enseigner le processus d'audit à partir de zéro ; les candidats sont donc censés arriver avec cette base déjà en place.
02En quoi AAIA diffère-t-elle de la certification ISO 42001 ?
Elles se situent de part et d'autre de la même table. ISO 42001 est une norme de système de management qui aide une organisation à construire et exploiter une gouvernance de l'IA. AAIA est une certification d'auditeur qui vous outille pour évaluer cette gouvernance de façon indépendante et rendre compte de l'efficacité des contrôles.
03AAIA est-elle pertinente pour l'EU AI Act ?
Oui. AAIA s'aligne sur les obligations que l'AI Act impose aux systèmes à haut risque, telles que la gestion des risques, la documentation technique, la supervision humaine et la surveillance après commercialisation. Elle prépare l'auditeur à rassembler et à évaluer des preuves au regard de ces attentes.
04À qui s'adresse AAIA ?
Aux auditeurs informatiques et internes expérimentés qui doivent ajouter l'assurance de l'IA à leur pratique. C'est une spécialisation avancée, et non une introduction à l'audit ; elle convient donc aux praticiens qui mènent déjà des missions et qui font désormais face à des systèmes d'IA dans leur périmètre.