Solutions

Trustworthy AI - Assurer

A travers cette partie, nous vérifions et validons les critères de performance tels que la précision, l’équité et la transparence. Les décisions de conception sont constamment remises en question tout au long du processus afin d’assurer leur faisabilité. Des tests de contrôle sont effectués régulièrement pour limiter l'impact des modes de défaillance potentiels. Les technologies basées sur les algorithmes et l’Intelligence Artificielle s'imposent dans presque tous les secteurs et aspects de la vie.

Les seuls systèmes d'IA qui connaîtront un succès à long terme sont ceux qui abordent directement et de manière décisive les risques majeurs, gagnant ainsi la confiance des entreprises et de la société.

Le "Trustworthy AI Framework" de Deloitte expose clairement les risques associés à la mise en œuvre de l'IA ainsi que la manière de les identifier et de les gérer efficacement.

Nos use cases en fonction des stratégies adoptées

Défi

Une grande entreprise de télécommunications souhaite automatiser davantage ses processus et a lancé un projet conjoint entre les RH et l'informatique afin de développer un système d'IA pour évaluer les candidatures. Ce système vise à présélectionner les candidats en évaluant divers indicateurs d'aptitude (par exemple, l'ouverture d'esprit, les compétences en communication) sur la base de courts extraits vidéo soumis par les candidats.

La direction veut s'assurer que le système d'IA évalue de manière équitable les candidatures, à la fois pour produire une liste restreinte et pour éviter que d’éventuels critères nuisent à la réputation de l’entreprise.


Solution

La direction commande un audit indépendant, comprenant une évaluation de la qualité des données, une analyse du prétraitement, un examen du modèle de métadonnées et un « black-box test ».

L'un de ces tests révèle une discrimination à l'égard des femmes. L'enquête de Deloitte sur la qualité des données d'entraînement permet de remonter jusqu'à un ensemble d'apprentissage déséquilibré et épars.

Cet aspect est mis en évidence en combinant l'outil innovant de détection des préjugés Model Guardian avec un moteur de reconnaissance d'image pour extraire les caractéristiques visuelles des vidéos. Le large éventail de mesures de l'outil facilite l'interprétation et l'analyse de ces caractéristiques.


Résultat

Les résultats du test montrent que si les caractéristiques faciales indiquant le sexe sont effectivement supprimées, le modèle déduit le sexe à partir de caractéristiques de substitution, par exemple des vêtements tels que des foulards.

Les images d'arrière-plan de la vidéo du candidat jouent également un rôle important dans les classifications effectuées par le système. Sur la base des résultats de notre audit, l'entreprise modifie le système d'IA afin de réduire le risque involontaire de discrimination et de garantir un traitement équitable de tous les candidats.

Défi

Un hôpital universitaire collabore avec une start-up tech pour développer un logiciel de reconnaissance d'images qui caractérise une tumeur comme bénigne ou maligne en se basant uniquement sur les résultats du scanner.

Ce système d'IA est considéré comme particulièrement risqué pour l'hôpital, car les diagnostics erronés peuvent non seulement porter atteinte à la santé des patients, mais aussi entraîner des poursuites judiciaires et nuire à sa réputation. Après avoir obtenu des résultats favorables dans un environnement de test, la direction de l'hôpital accepte de déployer le logiciel et de l'utiliser pour des patients.

Comme dernière mesure de précaution, la direction doit s'assurer que les prédictions faites par le système d’IA obtiennent une marge d'erreur acceptable. Le système doit généralement être plus performant que le diagnostic humain, mais en aucun cas dépasser la marge d'erreur humaine. Comme il s'agit du premier outil d'IA utilisé à l'hôpital, les enjeux sont particulièrement élevés.


Solution

Pour répondre aux préoccupations de l'hôpital, nos experts ont testé la robustesse du système d'IA, en utilisant une série de techniques allant des stress tests aux “white-box attacks”, ainsi qu'une analyse comparative avec des modèles dits “challenger”.

Les tests révèlent une anomalie concernant la pertinence des images d’apprentissage : comme la qualité d'un scanner varie d'une machine à l'autre dans la pratique, le système doit mettre les images à l'échelle afin de permettre au modèle d'IA entraîné sur celles-ci de fournir des prédictions fiables.

Un audit est effectué sur la qualité et la rigueur de la validation du modèle, ainsi que la qualité de la documentation. Les stress tests déterminent si le modèle est capable de fournir des résultats fiables même dans des situations atypiques.


Résultat

Les résultats du stress test ont révélé que le modèle présentait un comportement parfois aléatoire dans des conditions de stress. Deloitte a entre autres partagé cette information avec la direction de l'hôpital, qui a chargé l'équipe de développement d’implémenter les ajustements recommandés. Après une seconde phase de test, les failles du modèle d'IA ont été résolues. L'hôpital peut désormais utiliser le nouveau système d’IA en toute confiance.

Défi

Plusieurs actionnaires d'une entreprise de location saisonnière de taille moyenne ont pris connaissance, grâce aux médias, des sanctions à l'encontre des entreprises qui ne respectent pas le Règlement Général sur la Protection des Données (RGPD).

Ils ont donc demandé à la direction de vérifier que les systèmes d'IA utilisés dans l'entreprise (pour la tarification par exemple) soient conformes à la réglementation sur la protection des données. N'ayant pas une vision précise et nette sur la thématique de confidentialité des données, la direction a du mal à évaluer les potentiels risques.


Solution

Deloitte réalise un audit indépendant de la conformité de l'entreprise au Règlement Général sur la Protection des Données (RGPD), non seulement pour exposer les éventuels manquements au règlement, mais aussi pour sensibiliser la direction à l'impact que ce règlement peut avoir sur son activité. L’expérience du Centre Deloitte pour la Confidentialité des Données (Deloitte Center for Data Privacy) permet d'adapter l'audit spécifiquement aux besoins de l'entreprise.

L'équipe de vérification identifie les lois qui s'appliquent et évalue ensuite le système actuel sur cette base. Les privilèges d'accès et les données sous-jacentes font partie de la portée de cet audit afin d'éviter le risque d'accorder certains accès à des collaborateurs non habilités. L'équipe de Deloitte inspecte les données sous-jacentes pour vérifier si le client a donné son consentement et si l’anonymisation est suffisant lorsque le consentement n'est pas accordé. L'équipe tente de " désanonymiser " les données du client afin d'évaluer le risque de réidentification.

L’entreprise a accès au Navigateur RGPD de Deloitte afin d'accroître sa sensibilisation et de renforcer sa gouvernance autour de la protection des données : réglementations ou exigences actuelles pour des aspects spécifiques.


Résultat

Notre enquête révèle que le processus d'anonymisation est inadéquat : l'équipe d'audit est capable d'identifier les noms liés aux données avec un effort modeste. Lors de notre audit du processus de location, nous constatons que le système ne respecte pas uniformément les réglementations et les normes étrangères.

La direction commence à aborder les problèmes de manière méthodique, aidée par sa nouvelle prise de conscience au sujet de la protection des données. Des solutions basées sur l'IA et conformes au RGPD sont à sa portée.

Défi

Une grande entreprise de logistique utilise un outil propriétaire basé sur l'IA pour analyser et prévoir les commandes. Cet outil contient des données hautement sensibles et critiques pour l'entreprise, relatives aux clients, au volume des commandes et aux conditions de l'offre. Cet outil commence à montrer des signes de faiblesse et peut être vulnérable face à la nouvelle génération de cyber-attaques.

Or, la sécurité du système demeure primordiale. L'entreprise ne dispose pas de sa propre équipe de cybersécurité et n'est donc pas en mesure d'apprécier pleinement l'étendue de son risque cybernétique.


Solution

L'entreprise de logistique nous charge d’auditer l'outil en fonction des normes du « Trustworthy AI Framework ». Un test de pénétration (ou "PenTest") constitue une partie importante de l'audit, puisqu'il balaie l'ensemble du réseau de l'entreprise. Des spécialistes expérimentés sous licence du « PenTest Lab » de Deloitte lancent une attaque ciblée et simulée de vulnérabilités prédéfinies.

Nous effectuons également des tests spécifiques à l'IA ainsi que des tests plus génériques liés aux logiciels afin de déterminer si le système d'IA est potentiellement vulnérable aux attaques par empoisonnement de données (« data-poisoning ») ou par attaques détournées.


Résultat

L'audit a permis de découvrir une vulnérabilité dans une personnalisation de la configuration du cloud qui pourrait permettre à des personnes malveillantes de s’introduire. Une fois cette vulnérabilité identifiée, les experts rédigent une liste de recommandations et un plan séquentiel pour combler ces failles.

L'enquête et les recommandations renforcent la sécurité de l'outil existant, ce qui permet à l'entreprise d'avoir l'esprit tranquille en ce qui concerne les cyberattaques et de se concentrer à nouveau sur l'analyse et la prévision des commandes.

Défi

Une banque conçoit un modèle de risque basé sur l'IA pour évaluer la solvabilité des demandeurs de prêt. La banque se considérant comme un prêteur responsable et une institution financière axée sur le client, souhaite expliquer le processus de prise de décision de manière transparente pour ses clients.


Solution

Deloitte apporte un soutien important à l’initiative de la banque visant à offrir une expérience client répondant à la fois aux besoins fonctionnels et aux attentes élevées des clients vis-à-vis de l'institution.

Nous mettons en place une boucle de rétroaction vers les clients qui rend le processus décisionnel plus transparent et fournit un accès instantané aux facteurs de décision pertinents.

Si les clients signalent une expérience négative, la banque peut utiliser la boucle de rétroaction intégrée pour établir un contact direct avec le membre du personnel responsable.


Résultat

La banque dispose d'un système de contrôle à l'échelle de l'entreprise pour garantir le fonctionnement sans erreur de tous les processus et d'un système de surveillance de l'IA pour s'assurer que toutes les décisions sont transparentes et documentées. Pour des raisons éthiques, la banque informera également les demandeurs de prêts que leurs demandes ont été traitées à l'aide d'un système utilisant l'IA, pour une relation de confiance.

Défi

Dans le cadre de son activité de prêt, une grande banque allemande cherche à améliorer ses prévisions de risque de crédit et à offrir aux clients des services plus personnalisés. Le système d'IA développé par la banque à cette fin (basé sur une approche IRB) utilise les données des clients pour calculer et émettre des scores de crédit ainsi qu'un montant seuil de crédit pour chaque client.

Le système s'appuie sur un modèle d'IA sous-jacent qui a été entraîné avec des données historiques et nécessite une évaluation annuelle axée sur les risques de tous les aspects des systèmes IRB. Comme il s'agit d'un nouveau système, la banque fait appel à un cabinet externe pour réaliser un audit.


Solution

Deloitte a une grande expérience des audits de ce type. Nous exposons les moteurs d'un modèle à l'aide de techniques et d'outils de pointe, tels que le LUCID [ML] développé par l'aiStudio de Deloitte, afin d'expliquer de manière intuitive le fonctionnement interne du modèle ainsi que des décisions individuelles.

A cet audit vient s’ajouter des mesures supplémentaires qui constituent une partie importante, comme l'entretien avec un panel de clients pour déterminer si les décisions prises par le système d'IA sont explicites.

Afin de se conformer aux normes réglementaires, l'audit doit également identifier les algorithmes utilisés par le système et établir si les résultats du modèle peuvent être entièrement expliqués/justifiés.


Résultat

Les explications comportent de multiples éléments, notamment des analyses de l'importance des caractéristiques, des modèles de substitution et des explications contre factuelles. Notre audit du système d'IA de la banque révèle l'absence de certains paramètres nécessaires à l'articulation des décisions, ce qui signifie qu'il ne peut pas fournir une information complète.

En outre, les paramètres utilisés restent opaques ; ainsi, même si les utilisateurs reçoivent les bons chiffres, ils ne peuvent pas les interpréter correctement. Nous présentons les résultats de notre audit à la banque, et celle-ci prend des mesures pour corriger les lacunes éventuelles.

Après ces ajustements, nous émettons un rapport d'audit positif et le soumettons à l'autorité financière BaFin. La banque peut désormais être assurée que les résultats de son système d'IA répondront aux exigences réglementaires en matière de transparence.

Agissez maintenant !

Le "Trustworthy AI Framework" de Deloitte donne à nos auditeurs un avantage pour s'assurer que votre système d'IA fonctionne non seulement selon vos normes et vos attentes, mais qu'il est également conforme à toutes les exigences réglementaires applicables à votre entreprise.

Pour s'assurer que vos systèmes d'IA sont dignes de confiance, nous pouvons vous accompagner au travers de services d'audit personnalisés sur les différentes phases de projet ainsi que des services de bout en bout pour l'ensemble du cycle de vie du projet.

Cela va de la stratégie et de la gouvernance de l'IA jusqu'à la mise en service, en passant par la surveillance du système d'IA et les mécanismes de contrôle intégrés.

Nos offres Trustworthy AI

Vous souhaitez en savoir plus sur notre Trustworthy AI Framework ?

Nos experts

Grégory Abisror

Grégory Abisror

Associé Risk Advisory

Grégory dispose de plus de 22 ans d’expérience dans les domaines de la data, des analytics, du risk management et de la cyber sécurité. Il est responsable des services Technology & Data Risk de Deloit... En savoir plus

Richard Eudes

Richard Eudes

Directeur, Risk Advisory

Directeur au sein des activités Data, Technology & Analytics, Richard accompagne de nombreuses organisations dans leurs projets Data et d'Intelligence Artificielle, pour différents secteurs d'activité... En savoir plus