NIST AI Risk Management Framework
Le NIST AI RMF 1.0 (janvier 2023, complété par le Generative AI Profile de juillet 2024) est le cadre volontaire américain d'évaluation du risque IA, largement repris à l'international et utilisé par beaucoup d'entreprises européennes comme porte d'entrée pratique vers ISO 42001.
Le cadre s'organise autour de quatre fonctions : Govern (gouverner), Map (cartographier), Measure (mesurer) et Manage (gérer). Chaque fonction se décline en catégories et sous-catégories. Le Generative AI Profile 2024 ajoute douze risques propres aux systèmes génératifs : risques NRBC, données confidentielles, vie privée, propriété intellectuelle, biais, hallucinations, contenus nuisibles, conflits de valeurs et davantage.
Pour les entreprises européennes, le NIST AI RMF n'est pas obligatoire, mais deux usages dominent : premièrement comme passerelle vers les affaires américaines et les auditeurs américains ; deuxièmement comme outil de correspondance entre ISO 42001 et le Règlement IA. Les tables de crosswalk NIST d'avril 2024 facilitent les deux. Dans notre méthodologie TRACE, nous utilisons le Profile comme base de check-list pour les systèmes génératifs.