La vision de Cyber Academy
La gouvernance de l'IA est la discipline qui consiste à exploiter des systèmes d'IA sous contrôle : risque, transparence, biais, validation, sécurité et exposition réglementaire. Le système de management de référence est l'ISO/IEC 42001, publié en décembre 2023, l'équivalent pour l'IA de l'ISMS de l'ISO 27001. Le paysage des certifications se divise en deux : ISO 42001 (PECB) pour la couche système de management, et les certifications ISACA Advanced in AI (AAIA pour l'audit, AAIR pour le risque, AAISM pour la sécurité) pour la couche disciplinaire professionnelle. Toutes deux se rattachent au EU AI Act et au NIST AI RMF.
TL;DR
- 1L'ISO/IEC 42001 est la norme de système de management pour l'IA (un système de management de l'IA, ou AIMS), publiée en décembre 2023. Elle est l'équivalent AIMS de l'ISMS de l'ISO 27001. PECB délivre le parcours Foundation, Lead Implementer et Lead Auditor.
- 2La filière Advanced in AI de l'ISACA est la couche disciplinaire professionnelle : AAIA (audit), AAIR (risque), AAISM (sécurité). Chacune suppose une certification ISACA existante (CISA, CRISC, CISM).
- 3Le EU AI Act vous indique ce qu'il faut démontrer pour un système à haut risque. L'ISO 42001 vous indique comment organiser la preuve. Le NIST AI RMF est la méthode de risque opérationnel qui l'alimente.
- 4Choisissez selon le rôle : construire le système, ISO 42001 Lead Implementer. Auditer l'IA, AAIA. Gérer le risque IA, AAIR ou PECB AI Risk Manager. Sécuriser les modèles, AAISM. Piloter la livraison de l'IA, CAIP.
- 5Il n'existe pas de « certification de gouvernance de l'IA » unique. Un praticien senior associe la certification système de management ISO 42001 à une certification disciplinaire.
Posez à cinq prestataires la question de la certification de gouvernance de l'IA et vous obtiendrez cinq réponses différentes, car le marché ne s'est pas stabilisé. Il n'existe pas de certificat de gouvernance de l'IA unique comme il existe une CISM unique ou une CISA unique. Il existe deux couches distinctes, délivrées par deux organismes différents, répondant à deux questions différentes : comment gouverner l'IA en tant qu'organisation, et comment l'auditer, en évaluer le risque ou la sécuriser en tant que praticien.
Cette page rattache les deux couches à la norme (ISO/IEC 42001), à la réglementation (le EU AI Act) et au cadre américain (NIST AI RMF), puis vous indique quelle certification correspond à quel rôle et comment former une équipe sans envoyer tout le monde sur le même cours de cinq jours. Elle est écrite pour le CISO, le responsable GRC ou l'auditeur qui doit trancher.
Les deux couches des certifications de gouvernance de l'IA
Toute certification de gouvernance de l'IA présente sur le marché se situe dans l'une de deux couches.
- La couche système de management répond à la question « comment l'organisation gouverne-t-elle son IA ? ». La référence est l'ISO/IEC 42001, la norme internationale de système de management de l'IA. PECB délivre un parcours Foundation, Lead Implementer et Lead Auditor à son égard, exactement comme elle le fait pour l'ISO 27001.
- La couche disciplinaire professionnelle répond à la question « que fait ce praticien avec l'IA ? ». La référence est la filière Advanced in AI de l'ISACA : AAIA pour les auditeurs, AAIR pour les gestionnaires de risque, AAISM pour les responsables de la sécurité. Chacune est de niveau avancé et suppose que vous détenez déjà la certification ISACA correspondante.
Les deux couches sont complémentaires. Une fonction de gouvernance de l'IA mature détient les deux : une certification système de management ISO 42001 pour construire et exploiter le système, et une certification disciplinaire ISACA par fonction qui opère en son sein.
ISO/IEC 42001 : le système de management de l'IA
L'ISO/IEC 42001:2023, publiée en décembre 2023, est la première norme internationale pour un système de management de l'IA (AIMS). Elle est l'équivalent pour l'IA de l'ISMS de l'ISO 27001 : une politique, des rôles définis, un processus d'appréciation du risque IA, des contrôles sur le cycle de vie du système d'IA, une Annexe A de contrôles spécifiques à l'IA, et un cycle de revue de direction qui maintient l'ensemble cohérent.
Le parcours de certification PECB à son égard reflète celui de l'ISO 27001 :
- ISO 42001 Foundation (2 jours) donne le vocabulaire et le modèle du système de management. C'est le prérequis des certifications senior.
- ISO 42001 Lead Implementer (5 jours) vous apprend à construire l'AIMS : périmètre, appréciation du risque IA, la Déclaration d'applicabilité, les contrôles, le cycle d'exploitation. C'est la certification pour quiconque porte la gouvernance de l'IA.
- ISO 42001 Lead Auditor (5 jours) vous apprend à auditer un AIMS : preuves, échantillonnage, technique d'entretien, constats. C'est la certification pour l'audit interne et pour les auditeurs d'organismes de certification.
La filière ISACA Advanced in AI : AAIA, AAIR, AAISM
Les certifications Advanced in AI de l'ISACA sont la couche disciplinaire professionnelle. Elles sont avancées par conception : chacune suppose que vous détenez déjà la certification ISACA fondamentale de cette discipline, et chacune est rattachée à l'ISO 42001 et aux obligations haut risque du EU AI Act plutôt qu'enseignée dans le vide.
| Certification | Discipline | Suppose | Conçue pour |
|---|---|---|---|
| AAIA, Advanced in AI Audit | Auditer les systèmes, modèles et la gouvernance de l'IA | CISA | Auditeurs IT seniors, responsables conformité |
| AAIR, Advanced in AI Risk | Appréciation, quantification, traitement, surveillance du risque IA | CRISC | Gestionnaires de risque IT, CRO |
| AAISM, Advanced in AI Security Management | Modélisation des menaces IA, cycle de vie sécurisé des modèles, opérations de sécurité de l'IA | CISM | CISO, architectes sécurité |
Les trois cours à Cyber Academy sont AAIA, AAIR et AAISM. Choisissez selon ce que vous faites, pas selon le plus récent.
Où s'insèrent PECB AI Risk Manager et CAIP
Deux autres certifications PECB s'insèrent aux côtés du parcours ISO 42001. AI Risk Manager est une certification risque ciblée pour les praticiens qui pilotent des programmes de risque spécifiques à l'IA (risque de modèle, biais, dérive, risque lié aux modèles tiers) sans le périmètre complet de système de management de Lead Implementer. Certified Artificial Intelligence Professional (CAIP) est la certification praticien plus large, destinée à ceux qui construisent et déploient l'IA de façon responsable tout au long du cycle de vie, utile aux responsables techniques qui ont besoin du vocabulaire de gouvernance sans porter l'AIMS.
Si vous exploitez déjà un programme de risque ISO 27001 et souhaitez l'étendre à l'IA, AI Risk Manager est la passerelle la plus courte. Si vous pilotez la livraison de l'IA et avez besoin de la littératie de gouvernance que l'AI Act exige désormais de vous, CAIP convient mieux.
Comment les certifications se rattachent à l'AI Act et au NIST AI RMF
Aucune de ces certifications n'existe de façon isolée. Elles sont enseignées en regard de la réglementation et des cadres qu'une fonction de gouvernance de l'IA doit réellement satisfaire.
| Instrument | Ce que c'est | Certifiable ? | Rôle dans votre programme |
|---|---|---|---|
| EU AI Act | Regulation (EU) 2024/1689 | Non, évaluation de conformité, pas certification | Ce qu'il faut démontrer pour un système à haut risque |
| ISO/IEC 42001 | Norme de système de management de l'IA | Oui, certification AIMS + certifications PECB | Comment organiser la preuve |
| NIST AI RMF | Cadre de risque volontaire américain (Govern, Map, Measure, Manage) | Non | Méthode de risque opérationnel qui alimente le système |
| ISO/IEC 23894 | Guide de management du risque IA | Non | Méthodologie de risque, alignée ISO, au sein de l'AIMS |
Le parcours canonique pour une organisation européenne : construire l'AIMS avec ISO 42001 Lead Implementer, rattacher les obligations haut risque de l'AI Act aux contrôles de l'AIMS, et utiliser le NIST AI RMF ou l'ISO 23894 comme méthodologie de risque. La certification ISACA Advanced équipe ensuite la fonction (audit, risque ou sécurité) qui doit opérer au sein de ce système.
Comment former une équipe à la gouvernance de l'IA
L'erreur est d'envoyer tout le monde sur le même cours. La gouvernance de l'IA est transverse, et les fonctions ont besoin de profondeurs différentes.
- Commencez par un socle commun. ISO 42001 Foundation, ou un briefing de littératie de l'AI Act qui satisfait l'obligation de littératie de l'IA de l'Article 4 de l'Act, donne à chacun le même vocabulaire avant qu'il ne se spécialise.
- Envoyez les responsables de la gouvernance et de la conformité vers ISO 42001 Lead Implementer. Ils construisent et exploitent l'AIMS.
- Envoyez l'audit interne vers AAIA, la fonction risque vers AAIR et la fonction sécurité vers AAISM. Chacune opère au sein de l'AIMS sous son propre angle.
- Ajoutez ISO 42001 Lead Auditor uniquement si vous exploitez un programme d'audit interne en regard de l'AIMS ou siégez dans un organisme de certification.
La décision, en une ligne
Construire le système : ISO 42001 Lead Implementer. Auditer l'IA : AAIA. Gérer le risque IA : AAIR ou PECB AI Risk Manager. Sécuriser les modèles : AAISM. Piloter la livraison de l'IA et avoir besoin de littératie de gouvernance : CAIP. Il n'existe pas de certificat de gouvernance de l'IA unique, et quiconque vous en vend un vous vend une tranche.
Frequently asked questions
01Existe-t-il une certification de gouvernance de l'IA, et laquelle dois-je suivre ?
Il n'existe pas de certification de gouvernance de l'IA unique. Le domaine se divise en deux couches. La couche système de management est l'ISO/IEC 42001 : PECB délivre Foundation (2 jours), Lead Implementer (5 jours, construire l'AIMS) et Lead Auditor (5 jours, en auditer un). La couche disciplinaire professionnelle est la filière Advanced in AI de l'ISACA : AAIA pour auditer l'IA, AAIR pour le risque IA, AAISM pour le management de la sécurité de l'IA.
Pour qui gouverne l'IA à l'échelle de l'organisation, ISO 42001 Lead Implementer est la pierre angulaire. Pour qui audite, évalue le risque ou sécurise l'IA dans le cadre d'un rôle GRC existant, la certification ISACA Advanced correspondante est le signal le plus fort. La plupart des praticiens seniors détiennent une certification de chaque.
02Qu'est-ce que l'ISO/IEC 42001 et comment se rattache-t-elle au EU AI Act ?
L'ISO/IEC 42001:2023 est la norme internationale pour les systèmes de management de l'IA, publiée en décembre 2023. Elle définit comment une organisation établit, exploite et améliore la gouvernance de ses systèmes d'IA : politique, rôles, appréciation du risque IA, cycle de vie du système d'IA, une Annexe A de contrôles spécifiques à l'IA et le cycle de revue de direction. Elle est l'équivalent AIMS de l'ISMS de l'ISO 27001.
La norme ne satisfait pas le EU AI Act à elle seule : l'Act comporte des exigences techniques spécifiques au produit pour les systèmes à haut risque. Mais l'ISO 42001 fournit le socle système de management que les auditeurs et les organismes notifiés reconnaissent. Le parcours canonique est ISO 42001 pour construire l'AIMS, puis rattacher les obligations haut risque de l'AI Act aux contrôles de l'AIMS.
03AAIA, AAIR ou AAISM : quelle certification IA de l'ISACA ?
Trois prismes sur l'IA, supposant tous une certification ISACA existante. AAIA (Advanced in AI Audit) s'adresse aux auditeurs : auditer les systèmes, modèles et la gouvernance de l'IA, en cohérence avec l'ISO 42001 et l'AI Act. Détenue généralement avec la CISA.
AAIR (Advanced in AI Risk) s'adresse aux praticiens du risque : appréciation, quantification, traitement et surveillance du risque IA. Détenue généralement avec la CRISC. AAISM (Advanced in AI Security Management) s'adresse aux responsables de la sécurité : modélisation des menaces IA, cycle de vie sécurisé des modèles et opérations de sécurité de l'IA. Détenue généralement avec la CISM.
04Comment former toute une équipe à la gouvernance de l'IA ?
Séquencez par fonction. Commencez par un socle commun (ISO 42001 Foundation ou un briefing de littératie de l'AI Act satisfaisant l'Article 4). Envoyez les responsables de la gouvernance et de la conformité vers ISO 42001 Lead Implementer ; l'audit interne vers AAIA ; la fonction risque vers AAIR ; la fonction sécurité vers AAISM.
Pour un déploiement à travers les équipes, une cohorte interne se tarife par cohorte et adapte les exercices à votre parc d'IA. L'appel de cadrage détermine quels rôles ont besoin de quelle certification en priorité : la plupart des équipes achètent trop de places Lead Implementer et pas assez de certifications disciplinaires.
05Où se situe le NIST AI RMF aux côtés de l'ISO 42001 ?
Le NIST AI Risk Management Framework (AI RMF 1.0, janvier 2023) est le cadre volontaire américain structuré autour de Govern, Map, Measure et Manage. Il n'est ni certifiable ni une norme de système de management : c'est un guide opérationnel pour la fonction risque.
L'ISO 42001 et le NIST AI RMF sont complémentaires. L'ISO 42001 fournit le système de management certifiable ; le NIST AI RMF fournit la méthode de risque opérationnel qui l'alimente. Les organisations exposées à la fois aux contextes européen et américain exploitent un AIMS ISO 42001 avec le NIST AI RMF, et le guide associé ISO/IEC 23894, comme méthodologie de risque en son sein.
