Scrydon
Conformité

Gouvernance de l'IA

Artefacts de cycle de vie propres à l'IA attendus par les auditeurs — évaluations d'impact, évaluations des risques, inventaire des systèmes, TEVV, surveillance post-déploiement.

Cette section couvre les artefacts de cycle de vie propres à l'IA qu'attendent ISO 42001, l'EU AI Act, le NIST AI RMF et AIUC-1. Chaque artefact dispose d'un modèle que la plateforme maintient et d'une piste d'audit qui capture les modifications.

Le cycle de vie

Un système d'IA dans Scrydon (un workflow, une automatisation, un agent) suit un cycle de vie défini :

   Pilote → Bêta → Production → Maintenu → Déprécié → Retiré

Chaque étape déclenche des artefacts. La plateforme enregistre l'artefact dans les métadonnées du workflow et produit un événement d'audit à chaque transition.

Artefacts requis

ArtefactQuandResponsable
Déclaration d'objectifPilotePropriétaire du workflow
Évaluation d'impactPilote → BêtaPropriétaire du workflow + représentant des parties prenantes
Évaluation des risquesPilote → BêtaPropriétaire du workflow + responsable des risques IA
Entrée dans l'inventaire des systèmesBêtaGénérée automatiquement
Enregistrement TEVVBêta → ProductionQA / validateur
Journal des décisionsTout au longContinu
Profil de surveillance post-déploiementProductionPropriétaire du workflow
Enregistrement d'amélioration continueMaintenuContinu
Enregistrement de mise hors serviceRetiréPropriétaire du workflow + auditeur

Modèles

Déclaration d'objectif

  • Ce que fait le système.
  • Qui l'utilise.
  • Quel problème il résout.
  • Ce qu'il ne fait explicitement pas.

Évaluation d'impact

  • Parties prenantes concernées (employés, clients, régulateurs, partenaires).
  • Impact direct vs. indirect.
  • Gravité (faible, modérée, élevée, grave).
  • Réversibilité (réversible, partiellement réversible, irréversible).
  • Mesures d'atténuation.

Évaluation des risques

  • Catalogue des risques (hallucination, biais, injection de prompt, fuite de données, dérive du modèle, …).
  • Score probabilité × impact.
  • Traitement par risque (atténuer, accepter, transférer, éviter).
  • Risque résiduel + validation.

Entrée dans l'inventaire des systèmes

Auto-remplie à partir des métadonnées du workflow :

  • ID, propriétaire, classification, stade de déploiement.
  • Intégrations utilisées (fournisseurs de modèles, sources de données).
  • Bases de connaissances référencées.
  • Tables gérées lues / écrites.
  • Lien vers le journal des décisions.

Enregistrement TEVV

Tester, Évaluer, Vérifier, Valider :

  • Cas de test exécutés.
  • Scores des évaluateurs (exactitude, robustesse, équité).
  • Couverture des cas limites.
  • Validation par le validateur.

Journal des décisions

Un journal continu des décisions de conception : choix de modèles, modifications de prompts, choix d'intégrations, modifications de seuils. Chaque entrée comprend :

  • Date.
  • Décision.
  • Justification.
  • Alternatives envisagées.
  • Approbateur.

Profil de surveillance post-déploiement

  • Métriques suivies (latence, taux d'erreur, distribution des scores d'évaluateur, coût).
  • Seuils et alertes.
  • Cadence de révision.

Enregistrement d'amélioration continue

Capture trimestrielle de :

  • Problèmes observés.
  • Améliorations mises en œuvre.
  • Améliorations différées (avec justification).

Enregistrement de mise hors service

  • Raison de la mise hors service.
  • Disposition des données.
  • Notification des parties prenantes.
  • Entrée finale dans le journal d'audit.

Où se trouvent ces artefacts

Les artefacts résident sur l'entité workflow / automatisation dans la plateforme. Ils sont modifiables depuis la page de détail du workflow et visibles par toute personne disposant du bon accès.

Chaque création, modification et approbation d'artefact émet un événement d'audit. Voir Journalisation des audits.

Automatisation Vanta

Certains artefacts sont récupérés automatiquement par Vanta (inventaire des systèmes, enregistrements TEVV, événements d'audit). D'autres sont des preuves manuelles qui résident dans la plateforme mais ne sont pas synchronisées automatiquement. Les pages de frameworks indiquent quels contrôles Vanta récupère.

Voir aussi

ISO 42001

Correspondance de chaque artefact avec une clause.

EU AI Act

Prise en charge article par article.

NIST AI RMF

Correspondances Gouverner / Cartographier / Mesurer / Gérer.

AIUC-1

Attestations au niveau du cas d'usage.

Sur cette page

Sur cette page

Le cycle de vieArtefacts requisModèlesDéclaration d'objectifÉvaluation d'impactÉvaluation des risquesEntrée dans l'inventaire des systèmesEnregistrement TEVVJournal des décisionsProfil de surveillance post-déploiementEnregistrement d'amélioration continueEnregistrement de mise hors serviceOù se trouvent ces artefactsAutomatisation VantaVoir aussi
Edit on GitHubCréer un ticket de documentation