La vision de Cyber Academy
AI Risk Manager est la certification (PECB / ISACA, en cours de développement) destinée aux praticiens qui pilotent des programmes de gestion des risques propres à l'IA : risque modèle, biais, dérive, transparence, risque tiers lié aux modèles. Couche opérationnelle qui complète ISO/IEC 42001 (niveau système) et l'AI Act (couche réglementaire). Complément courant du CISO ou du Lead AI Auditor.
AI Risk Manager est le rôle opérationnel et la certification émergente pour les personnes qui pilotent au quotidien le programme de gestion des risques liés à l'IA d'une organisation. Là où ISO 42001 met en place le système de management et où le EU AI Act fixe le socle juridique, l'AI Risk Manager est la personne qui transforme ces cadres en un registre opérationnel : identifier les défaillances possibles d'un modèle, décider des contrôles à mettre en place autour de lui, et rendre compte du risque résiduel à la direction. C'est le cousin spécifique à l'IA du responsable des risques en sécurité de l'information, et il emprunte l'essentiel de sa méthode à la gestion des risques classique tout en y ajoutant les modes de défaillance propres à l'apprentissage automatique.
Ce que recouvre réellement le rôle
Le risque informatique traditionnel se demande si un système est disponible, confidentiel et intègre. Le risque IA conserve tout cela et ajoute une couche de questions auxquelles les contrôles classiques n'ont jamais eu à répondre. Un AI Risk Manager intervient sur l'ensemble du cycle de vie du modèle et prend généralement en charge les familles de risques suivantes.
- Risque modèle : le modèle se trompe de manière difficile à détecter, donne de bons résultats en phase de test mais de mauvais sur des entrées réelles, ou échoue silencieusement sur des cas limites.
- Biais et équité : le modèle produit des résultats systématiquement moins favorables pour certains groupes, souvent hérités des données d'entraînement.
- Dérive : les données d'entrée ou le monde réel évoluent après le déploiement, de sorte que la précision se dégrade dans le temps et que le modèle nécessite une surveillance et des déclencheurs de réentraînement.
- Transparence et explicabilité : les parties prenantes, les auditeurs ou les régulateurs ont besoin de comprendre comment une décision a été prise, en particulier pour les cas d'usage à fort impact.
- Risque modèle tiers et lié à la chaîne d'approvisionnement : modèles de fondation, API et jeux de données que vous n'avez pas conçus mais dont vous êtes responsable.
Comment il se positionne par rapport à ISO 42001 et à l'AI Act
La manière la plus claire de situer le rôle consiste à raisonner par couches. L'AI Act est la couche réglementaire qui indique quelles obligations s'appliquent à quel niveau de risque. ISO 42001 est la couche du système de management qui fournit la structure de gouvernance, la responsabilité et la boucle d'amélioration continue permettant de répondre à ces obligations. L'AI Risk Manager est la couche opérationnelle située sous les deux, qui réalise le travail récurrent d'évaluation alimentant en preuves le AIMS et démontrant que les obligations à haut risque sont respectées dans la pratique. C'est pourquoi le rôle vient généralement compléter, et non remplacer, un CISO ou un Lead AI Auditor.
| Couche | Artefact | Question à laquelle elle répond |
|---|---|---|
| Réglementaire | EU AI Act | Quelles obligations légales s'appliquent à ce système d'IA ? |
| Système de management | ISO/IEC 42001 (AIMS) | Comment l'organisation gouverne-t-elle l'IA de manière responsable ? |
| Opérationnel | Registre des risques IA et contrôles | Où ce modèle peut-il échouer et qu'est-ce qui réduit ce risque ? |
| Assurance | Audit IA (par exemple le périmètre AAIA) | Ce qui précède fonctionne-t-il comme prévu ? |
Le paysage des certifications
Le titre est encore en cours de consolidation. PECB et ISACA sont les deux organismes les plus associés à la formalisation des compétences en risque IA, et le marché de la certification est plus récent que pour des disciplines établies comme le CISA ou le ISO 27001 Lead Implementer. En pratique, les employeurs se soucient moins du badge que vous détenez que de votre capacité à mener une évaluation des risques IA défendable, à justifier un ensemble de contrôles et à relier votre travail aux clauses de ISO 42001 et aux niveaux de l'AI Act. Considérez la certification comme une preuve de méthode, et non comme le métier lui-même.
Frequently asked questions
01En quoi un AI Risk Manager diffère-t-il d'un responsable des risques informatiques ou de sécurité généraliste ?
Même méthode de fond, surface de risque plus large. Un AI Risk Manager conserve la confidentialité, l'intégrité et la disponibilité, mais ajoute des modes de défaillance propres aux modèles tels que les biais, la dérive, les lacunes d'explicabilité et le risque lié aux modèles tiers, que les contrôles de sécurité classiques ne traitent pas.
02Dois-je avoir mis en place ISO 42001 avant de nommer un AI Risk Manager ?
Non. Le rôle est utile même sans AIMS formel. Cela dit, ISO 42001 fournit la structure de gouvernance que le travail sur les risques vient alimenter, de sorte que les deux se renforcent mutuellement et que de nombreuses organisations les construisent ensemble.
03L'AI Risk Manager est-il un rôle d'audit ?
Non. Le risk manager construit et fait fonctionner le programme de risques ; l'auditer relève d'une fonction distincte et indépendante. Une certification comme l'AAIA couvre le volet audit. Les deux sont complémentaires et ne doivent pas être détenus par la même personne pour un même système.
04Quelle certification devrais-je viser ?
PECB et ISACA sont les organismes les plus associés à la formation formelle en risque IA et en gouvernance de l'IA. Choisissez en fonction du cadre avec lequel vous travaillez le plus et de vos certifications existantes, car les employeurs valorisent la méthode démontrée davantage que le badge spécifique.