Mieux comprendre l’efficacité des mesures d’atténuation des risques de l’IA

Sur son blog, le professeur de mathématiques appliquées, Arthur Charpentier, revient sur les deux rapports de l’International AI Safety Report, publiés par le AI Security Institute britannique en octobre et novembre. « Le premier raconte comment des changements techniques déplacent la frontière des usages possibles, et donc des dommages plausibles. Le second raconte comment le secteur tente de fabriquer de la sûreté (par couches, par procédures, par audits) tout en reconnaissant explicitement que l’efficacité des mesures reste incertaine et variable selon les contextes ».

Le premier rapport explique que la vitesse de changement des technologies d’IA « dépasse la vitesse de contrôle, le risque n’est pas seulement dans les “mauvais événements” possibles, il est dans la désynchronisation entre innovation, déploiement et apprentissage collectif ». Le second se demande comment acteurs publics et privés organisent la gestion du risque depuis « des mécanismes de maîtrise qui s’inventent, avec des trous, des asymétries et des angles morts ». Le cœur du second rapport estime qu’aucun garde-fou ne suffit et qu’il faut donc empiler les couches de mesures pour atténuer les risques dans un environnement où les menaces ne cessent de changer.  

Mais pour passer d’une gouvernance basée sur les risques à une gouvernance fondée sur les faits, il manque encore la base des incidents permettant de comprendre la fréquence, la sévérité, la causalité des défaillances et l’efficacité des contrôles, comme l’envisage d’ailleurs un rapport de l’OCDE : Towards a common reporting framework for AI incidents. Comme le dit Charpentier : « sans vision systémique et sans boucle d’apprentissage (monitoring, reporting, amélioration), le risk management IA restera un exercice cosmétique ». Pour améliorer l’efficacité des mitigations, c’est-à-dire des mesures d’atténuations des risques, nous devons mieux comprendre leur efficacité.