Dans de nombreuses organisations aujourd’hui, les solutions d’intelligence artificielle (IA) sont fondamentalement différentes des actifs informatiques traditionnels. Alors qu’un actif informatique classique peut être un serveur, une application ou un logiciel sous licence, une solution d’IA comprend souvent de nombreux sous-systèmes en interaction, des pipelines de données, des systèmes d’entraînement et de déploiement de modèles, des API, des interfaces utilisateur, des systèmes de surveillance, des boucles de rétroaction, des services de fournisseurs, etc. En vertu des nouvelles directives législatives, les organisations doivent tenir compte de l’utilisation de l’IA, du type de cas d’utilisation et du LLM sous-jacent. Plus précisément, du risque potentiel que le cas d’utilisation de l’IA pourrait présenter pour la société. Comme dans le secteur financier, lorsque les transactions sont dynamiques et en constante évolution, la surveillance et le contrôle en temps réel sont essentiels. En raison de cette complexité et de ce dynamisme, les organisations ont besoin d’un système de gestion de l’IA dédié plutôt que de traiter l’IA comme « une simple application statique de plus ». Parmi les principaux facteurs à l’origine de ce besoin, on peut citer :

• Visibilité et gestion des risques : sans savoir quels systèmes d’IA existent, comment ils sont utilisés et à qui ils appartiennent, vous opérez essentiellement à l’aveugle. Un article affirme que « sans une gestion claire de l’inventaire de l’IA, les risques ne sont pas maîtrisés ».[1]
• Préparation en matière de réglementation et de gouvernance : à mesure que des réglementations telles que la loi européenne sur l’IA voient le jour, les organisations seront tenues de démontrer la gouvernance, la responsabilité et la transparence des systèmes d’IA. Un inventaire en est un élément fondamental.[2]
• Contrôle opérationnel et gestion du cycle de vie : les systèmes d’IA évoluent — les modèles sont réentraînés, les sources de données changent, les cas d’utilisation métier évoluent. Une liste statique d’actifs ne suffira pas ; vous avez besoin d’un système pour prendre en charge la gestion du cycle de vie et du changement. [3]
• Innovation et évolutivité : pour faire évoluer l’IA en toute sécurité, les organisations doivent trouver un équilibre entre innovation et gouvernance. Un système de gestion permet de standardiser la manière dont les nouveaux systèmes d'IA sont introduits, examinés et suivis.[4]

En bref, traiter l'IA comme l'informatique traditionnelle ne suffit pas. Vous avez besoin d'une infrastructure, de processus et d'une supervision dédiés. Et l'un des premiers éléments de cette infrastructure est l'inventaire de l'IA.

Qu'est-ce qu'un inventaire de l'IA ?

Au sein du système de gestion de l'IA au sens large, l'un des composants fondamentaux est l'inventaire de l'IA (également appelé registre de l'IA). Clarifions ce que c'est, pourquoi c'est important et en quoi cela diffère d'un inventaire traditionnel des actifs informatiques. Un inventaire de l'IA est un référentiel ou un catalogue qui recense et conserve des informations détaillées sur chaque outil, modèle, système ou cas d'utilisation de l'IA au sein de l'organisation. Il comprend :

• Nom du système, version, état de déploiement
• Objectif du système
• Entrées et sorties de données
• La propriété (unité opérationnelle, organisation responsable)
• Les coordonnées du fournisseur/tiers, le cas échéant
• La classification des risques, la fréquence d'utilisation
• Les métadonnées techniques (type de modèle, licence, API, etc.)

Par exemple, un guide définit un inventaire IA comme « une liste détaillée des systèmes d'IA développés et utilisés au sein de votre organisation, y compris les cas d'utilisation spécifiques de ces systèmes ». La création d'un inventaire des actifs IA est la première étape essentielle pour mettre en place une gouvernance de l'IA. Les cadres réglementaires tels que la loi européenne sur l'IA, la norme ISO 42001 et le cadre de gestion des risques liés à l'IA du NIST (AI RMF) en font désormais une exigence fondamentale. Il ne s'agit plus seulement d'une bonne pratique, mais d'une attente en matière de conformité.

Pourquoi est-ce important ?

• Visibilité : sans inventaire, vous risquez d'ignorer l'existence de nombreux systèmes d'IA en usage (y compris l'« IA fantôme », lorsque des unités opérationnelles adoptent des outils sans supervision formelle).
• Gouvernance et contrôle des risques : Grâce à l'inventaire, vous pouvez évaluer quels systèmes présentent un risque élevé (données sensibles, prise de décision automatisée, boîte noire du fournisseur) et hiérarchiser la gouvernance en conséquence.
• Préparation à la conformité : Disposer de données d'inventaire précises et à jour permet de satisfaire aux exigences d'audit, de réglementation et de contrôle interne.
• Responsabilité opérationnelle : Il clarifie qui est propriétaire de quoi, quel est l’objectif du système, à quelle fréquence il est utilisé et quelles données il traite — rendant ainsi possible la gestion du cycle de vie.
• Facilitation de l’innovation : Plutôt que d’étouffer l’innovation, une bonne structure d’inventaire contribue à la guider en rendant transparent le processus par lequel de nouveaux cas d’utilisation sont introduits, évalués et suivis.

En quoi cela diffère-t-il de l'inventaire traditionnel des actifs informatiques ?

Alors que les inventaires d'actifs informatiques (matériel, logiciels, serveurs, licences) capturent des détails importants, un inventaire IA doit aller plus loin à plusieurs égards :

• Les systèmes d'IA couvrent souvent plusieurs composants (modèles, pipelines, données, interfaces utilisateur) et évoluent au fil du temps ; les actifs traditionnels sont plus statiques.
• L'IA nécessite des métadonnées sur les sources de données, les versions des modèles, les environnements de formation/de service, la dérive/la surveillance, qui sont largement absentes du suivi classique des actifs informatiques.
• Les cas d'utilisation de l'IA peuvent être intégrés dans des processus métier présentant une plus grande variété (par exemple, la sélection des ressources humaines, les bots de service client, l'analyse prédictive) et des profils de risque différents. Les actifs traditionnels présentent souvent un risque plus homogène au sein d'une classe d'actifs donnée.
• On observe une incidence plus élevée d'adoption fantôme, d'expérimentation rapide et de propriété décentralisée dans le domaine de l'IA, ce qui rend la découverte et la gouvernance plus difficiles.

Par conséquent, l'inventaire doit être conçu en tenant compte de la nature unique de l'IA.

Objectif et procédure d'inventaire

Une organisation peut aborder l'objectif et la procédure de création et de maintenance d'un inventaire de l'IA en s'alignant sur les pratiques existantes d'inventaire des actifs informatiques, mais en les adaptant à l'IA.

Objectif

• Recenser tous les systèmes/outils d'IA utilisés dans l'entreprise (y compris les systèmes internes, ceux des fournisseurs, de développement/test et les projets pilotes).
• Fournir une source unique de vérité pour les actifs d'IA : ce qui existe, où, comment utilisé, par qui, avec quelles données, sous quel risque.
• Permettre la gouvernance : supervision, classification des risques, gestion du cycle de vie (déploiement, retrait, réentraînement).
• Soutenir la communication avec les parties prenantes (responsables métier, conformité, audit, juridique et direction).
• Rassurer et impliquer les employés et les unités opérationnelles (voir la section suivante) afin que l'utilisation soit transparente, sûre et soutenue.
• S'intégrer aux structures existantes de gestion des actifs et de gouvernance informatique, plutôt que de tout réinventer.

Procédure

La procédure pour élaborer une feuille de route de haut niveau peut être la suivante :

1. Découverte/audit – Commencez par identifier les unités opérationnelles, les équipes et les fonctions où l'IA pourrait être utilisée (y compris les outils pilotes ou informels).
2. Définir le schéma des métadonnées – Déterminez les champs que votre inventaire devra couvrir (par exemple : nom du système, version, licence, coût, type de déploiement [interface web/installé/API], objectif, fréquence d'utilisation, parties prenantes, organisation responsable, coordonnées du fournisseur/tiers) — comme dans le modèle fourni.
3. Tirez parti du processus existant d'inventaire des actifs informatiques – Si vous gérez déjà un registre des actifs informatiques, tirez parti de cette infrastructure (par exemple, en établissant des liens vers ServiceNow, Jira ou d'autres CMDB). Les recommandations préconisent de calquer l'inventaire de l'IA sur les inventaires existants des actifs informatiques et de suivre des processus similaires.
4. Collecte des données – Utilisez plusieurs méthodes pour alimenter l'inventaire initial, puis maintenez-le à jour (voir la section suivante).
5. Classification et hiérarchisation des risques – Pour chaque entrée, attribuez un niveau de risque (faible/moyen/élevé) en fonction de critères tels que la sensibilité des données, l'impact des décisions automatisées et l'exposition réglementaire.
6. Intégration de la gouvernance – Reliez les entrées de l'inventaire aux processus de gouvernance : qui effectue les révisions, à quelle fréquence, quels événements déclenchent des mises à jour et quel suivi est effectué.
7. Maintenance / gestion du cycle de vie – L'IA étant dynamique, veillez à mettre en place des revues programmées (par exemple, trimestrielles) ou des déclencheurs (mise à jour du modèle, changement de déploiement, changement de fournisseur) pour maintenir l'inventaire à jour.
8. Rapports et tableaux de bord – Fournissez des tableaux de bord/vues récapitulatives aux dirigeants, aux équipes de conformité et aux équipes chargées des risques afin qu'ils puissent voir d'un seul coup d'œil : le nombre de systèmes d'IA, la répartition des risques, la responsabilité et le statut.
9. Communication et gestion du changement – Assurez-vous que les employés et les unités opérationnelles connaissent l’inventaire, comprennent leur rôle dans le reporting et se sentent en confiance pour signaler l’utilisation de l’IA.

Communication, rassurance des employés et culture

Un système solide de gestion de l’IA n’est pas purement technique : la culture et la communication sont essentielles.

Importance de la communication

• La direction doit clairement communiquer pourquoi l’inventaire de l’IA existe : pas seulement pour la conformité, mais pour la confiance des parties prenantes, le contrôle opérationnel et l’atténuation des risques.
• Les unités opérationnelles doivent être informées de la manière dont les systèmes d'IA seront suivis, des données qui seront collectées, ainsi que de la définition de la propriété et des responsabilités.
• La transparence permet de s'assurer que les employés et les unités comprennent bien qu'il ne s'agit pas de prendre les gens en défaut, mais de permettre une utilisation sûre et harmonisée de l'IA.

Rassurer les employés

• Il est essentiel de s'assurer que les employés comprennent que personne ne sera sanctionné simplement pour avoir révélé qu'il utilise ou expérimente un outil d'IA. Cela encourage l’ouverture et réduit l’IA « fantôme ».
• Les organisations doivent fournir des directives claires sur ce qui constitue une utilisation acceptable de l’IA, sur la manière de l’enregistrer ou de la signaler, ainsi que sur la confidentialité et la protection des informations divulguées par les employés.
• Mettez l’accent sur le soutien de la direction en faveur de la transparence : cela renforce le message selon lequel le signalement de l’utilisation de l’IA contribue aux efforts globaux de gestion des risques et de gouvernance de l’entreprise.
• Lorsque les employés se sentent en sécurité et soutenus, les données d'inventaire communiquées seront plus précises et plus complètes, ce qui réduira les risques cachés et améliorera la gouvernance.

Méthodes d'inventaire et de collecte de données

La constitution et la mise à jour de l'inventaire de l'IA nécessitent une combinaison d'outils techniques et de processus centrés sur l'humain. Vous trouverez ci-dessous les méthodes recommandées, accompagnées de notes sur leur correspondance avec les champs et modèles répertoriés.

Outils de découverte des systèmes et du réseau

• Utilisez des outils de découverte pour analyser le réseau ou l'inventaire des actifs à la recherche de logiciels, d'API, de modules fournisseurs et de plateformes d'apprentissage automatique connus liés à l'IA.
• Les diagrammes de flux de données (DFD) et le mappage des métadonnées aident à identifier comment les données circulent dans les systèmes d'IA (quelles sources de données, quels modèles, quels résultats).
• Utilisez Active Directory ou d'autres systèmes de gestion des accès utilisateurs pour identifier qui a accès aux systèmes d'entraînement ou d'inférence des modèles, ce qui aide à retracer la propriété et les risques.
• Collectez les métadonnées (numéros de version, licences, type de déploiement, détails du fournisseur) à partir des journaux système ou des registres d'outils.
• Ces outils permettent de mettre au jour à la fois les systèmes officiellement approuvés et l'« IA fantôme » (outils d'IA non autorisés ou non gérés). Un auteur note : « commencez par la visibilité : identifiez chaque système d'IA… documentez ce que fait chaque système, quelles données il traite et à qui il appartient. »

Enquêtes

• Mettez en place des enquêtes structurées dans toutes les unités opérationnelles pour interroger les utilisateurs sur l’utilisation des outils d’IA : par exemple, « Quels outils ou services d’IA (fournisseurs ou internes) utilisez-vous actuellement ? », « Quel est leur objectif ? », « Qui en est propriétaire ? », « Quelles données utilisent-ils ? », « Type de déploiement (API/web/bureau) ? »
• Pour encourager des réponses honnêtes, garantissez l'anonymat ou la confidentialité dans la mesure du possible, afin de réduire la crainte de représailles.
• Utilisez des questions quantifiables (menus déroulants, cases à cocher, options standardisées) afin que les résultats puissent être agrégés et analysés.
• Par exemple : « Fréquence d'utilisation : quotidienne / hebdomadaire / mensuelle / ponctuelle » ; « Déploiement : interface web / application installée / API ».
• Les enquêtes offrent une large couverture, en particulier pour les outils qui ne sont pas encore officiellement approuvés ou suivis.

Entretiens

• Menez des entretiens avec les équipes clés — en particulier les groupes de développement/innovation, les unités commerciales expérimentant de nouveaux cas d’utilisation de l’IA — car elles peuvent utiliser des outils de manière informelle ou en mode pilote.
• Utilisez des questions standardisées pour éviter les données incomplètes ou inutilisables. Par exemple : « Quels outils d'IA utilisez-vous ? », « Quel est leur objectif ? », « Quelles sont les sources de données ? », « Qui est responsable ? », « Quel est l'état du déploiement ? », « Quels risques/actions ont été pris en compte ? »
• Évitez les questions trop ouvertes qui peuvent générer des informations riches mais peuvent être difficiles à agréger. L'approche structurée facilite l'agrégation, le reporting et la gouvernance.
• Les entretiens sont particulièrement utiles pour recenser les expérimentations ou les IA parallèles qui ne figurent peut-être pas encore dans les processus formels.

Documentation et intégration

• Quelle que soit la méthode de découverte, les organisations doivent conserver des artefacts tels qu’une politique d’IA, une documentation d’inventaire, des registres d’actifs, et les relier à des plateformes standard de gestion des actifs (par exemple, ServiceNow, Jira).
• La documentation doit refléter le fait que l'inventaire est un document évolutif et non un projet ponctuel. Un guide indique : « Pour les entreprises qui adoptent l'IA, la tenue d'un inventaire complet de l'IA n'est plus une option, c'est une nécessité. »
• S'assurer que l'inventaire s'intègre à d'autres outils de gouvernance (registres de modèles, outils MLOps) facilitera l'automatisation des mises à jour et la surveillance des risques.

Champs de données et normalisation

Votre liste de champs de données est utile et s'aligne bien sur les meilleures pratiques. Pour chaque système d'IA, enregistrez :

• Nom du système d'IA
• Numéro de version
• Licence (si nécessaire)
• Coût
• Type de déploiement (interface web, application installée, API)
• Objectif du système d'IA
• Fréquence d'utilisation
• Parties prenantes
• Organisation responsable/propriétaire
• Détails relatifs aux tiers/fournisseurs (le cas échéant)

Veillez à ce que chaque champ soit standardisé dans la mesure du possible (listes déroulantes, catégories standard) afin de permettre l’agrégation, le reporting et la création de tableaux de bord.

En raison de la nature dynamique de l’IA et de son adoption rapide au sein des organisations, les méthodes ci-dessus peuvent ne pas s’avérer efficaces pour la collecte de données. Les outils automatisés pour l’ingestion des journaux, l’interprétation des cas d’utilisation de l’IA, l’énumération des modèles et l’identification des violations et risques potentiels sont plus efficaces.

Maintenance et nature dynamique de l'inventaire de l'IA

L'une des caractéristiques qui distingue les systèmes d'IA (et donc leurs inventaires) des actifs informatiques traditionnels est le changement dynamique : les modèles dérivent, les distributions de données évoluent, de nouveaux cas d'utilisation apparaissent, les priorités commerciales changent, les expériences passent en production et certains projets sont réduits. Le processus d'inventaire doit en tenir compte.

• L'inventaire doit être dynamique : il ne s'agit pas d'une liste statique « une fois pour toutes ». Les organisations sont encouragées à intégrer des revues périodiques et des déclencheurs de mise à jour lorsque des changements surviennent (mises à jour de modèles, changements de déploiement, remplacements de fournisseurs, stratégies de sortie).
• La propriété et la responsabilité doivent être claires : chaque entrée doit avoir un responsable métier, un responsable technique et un responsable de la gouvernance/révision.
• L'inventaire doit inclure des informations sur la mise hors service ou le démantèlement des systèmes d'IA (tout comme vous le feriez avec les actifs informatiques).
• L'IA fantôme (les services adoptant l'IA en dehors du contrôle de l'informatique/de la gouvernance) constitue un véritable défi : l'approche d'inventaire doit inclure la détection de ces systèmes « cachés », sinon le risque reste non géré.
• L'intégration avec la gestion du cycle de vie (registre des modèles, MLOps, surveillance, dérive des performances, tests de biais) aide à relier l'inventaire aux réalités opérationnelles.
• Les tableaux de bord et les rapports doivent mettre en évidence les changements (nouveaux systèmes ajoutés, retirés, statut de risque modifié) afin de soutenir la gouvernance et la supervision de la direction.

Résumé et recommandations

En résumé :

• Les solutions d'IA sont complexes, dynamiques et souvent intégrées dans de nombreux systèmes et processus métier ; elles diffèrent considérablement des actifs informatiques conventionnels.
• Pour les gérer de manière responsable, les organisations ont besoin d'un système de gestion de l'IA : gouvernance, inventaire, gestion du cycle de vie, supervision des risques et communication.
• L'inventaire de l'IA en est un élément central : un référentiel détaillé et évolutif des outils/systèmes d'IA, de leurs métadonnées, de leur propriété, de leur finalité, de leur classification des risques et de leur état de déploiement.
• L'inventaire doit s'inspirer des pratiques existantes en matière d'inventaire des actifs informatiques (en s'appuyant sur des plateformes de gestion des actifs et des processus standard), mais être adapté aux caractéristiques spécifiques de l'IA.
• La collecte de données doit s'appuyer sur la découverte des systèmes/réseaux, des enquêtes, des entretiens et des artefacts documentés afin d'assurer une couverture large et approfondie.
• La communication et la culture sont essentielles : les employés doivent se sentir en sécurité pour signaler l'utilisation de l'IA, savoir que l'inventaire sert à la surveillance et non à la sanction, et la direction doit soutenir visiblement la transparence.
• La maintenance doit être continue, dynamique, s'intégrer à la gouvernance et aux MLOps, et inclure la détection de l'IA fantôme.
• Enfin, l'inventaire et le système de gestion au sens large deviennent des atouts stratégiques : ils permettent aux organisations d'innover avec l'IA tout en contrôlant les risques, en satisfaisant les régulateurs et en créant de la valeur commerciale.

Recommandations pour les prochaines étapes :

• Commencez par une analyse des lacunes : quels systèmes/outils d'IA connaissez-vous déjà ? Quel processus d'inventaire/de gestion des actifs est en place, et est-il suffisant pour faire face à la dynamique et à l'évolution rapide de l'utilisation de l'IA ?
• Définissez votre schéma de métadonnées pour l'inventaire de l'IA (utilisez la liste de champs dont vous disposez déjà) et choisissez l'outil/la plateforme (tableur, système de gestion des actifs, outil personnalisé).
• Lancez un projet pilote de collecte de données au sein d'une unité opérationnelle afin de remplir les premières entrées de l'inventaire et de tester le processus. Testez la vitesse d'ingestion et de mise à jour du registre.
• Classez les entrées par niveau de risque et identifiez les systèmes à haut risque (et le LLM sous-jacent) qui nécessitent une attention immédiate de la part de la gouvernance.
• Communiquez largement auprès des unités opérationnelles et des employés : expliquez ce que vous faites, pourquoi, comment ils peuvent participer et comment ils seront soutenus.
• Mettez en place un processus de maintenance continue : planifiez des revues, des mises à jour basées sur des déclencheurs, des rapports via le tableau de bord et des cycles de revue de gouvernance.
• Reliez l'inventaire à votre programme global de gouvernance de l'IA en le connectant aux registres de modèles, aux revues de conformité, aux pipelines MLOps et aux journaux d'audit.

Conclusions

Toute organisation qui utilise l'IA a besoin d'un système de gestion de l'IA (AIMS) dédié, dont l'épine dorsale est un inventaire de l'IA centralisé et mis à jour en continu.

Un inventaire de l'IA répertorie chaque système d'IA, son objectif, ses données, ses modèles sous-jacents, son niveau de risque et, surtout, ses responsables métier et techniques. Cela permet d'assurer la visibilité, le contrôle du cycle de vie et une gouvernance basée sur les risques, et constitue désormais une exigence fondamentale dans le cadre de référentiels tels que la loi européenne sur l'IA, la norme ISO 42001 et le NIST AI RMF.

Cependant, l'article précise également queles inventaires et enquêtes manuels ne suffisent pas. Compte tenu de la rapidité et de l'ampleur de l'adoption de l'IA, les organisations ont besoin d'automatisation : des outils qui détectent l'utilisation de l'IA à partir des journaux et des systèmes, tiennent l'inventaire à jour en temps réel et classent automatiquement les risques et les violations potentielles.

Sur cette base, un AIMS complet devrait automatiquement :

• Tenir l'inventaire de l'IA à jour en tant que registre dynamique.
• Mettre en correspondance chaque système avec les lois et normes pertinentes (par exemple, la loi européenne sur l'IA) et alerter lorsque le comportement ou la configuration est susceptible d'enfreindre les exigences.
• Désigner et suivre les responsables des actifs chargés de gérer les risques et de mettre en œuvre les contrôles.

Si ces capacités sont automatisées et intégrées aux opérations courantes, les organisations adoptant l'IA peuvent pénétrer et opérer sur le marché de l'UE avec une bien plus grande confiance — en démontrant une gouvernance, une responsabilité et une conformité à grande échelle tout en continuant à innover rapidement.

 

[1] Guru Sethupathy (2025) Mettre en place une surveillance à grande échelle grâce à une gestion intelligente de l'inventaire de l'IA,

[2] Nicole Santiago (2024) Qu'est-ce qu'un inventaire d'IA et pourquoi devriez-vous en créer un ?

[3] Ryan Oskvarek (2024) Inventaires des systèmes d'IA : le fondement de la gouvernance

[4] Bex Evans (2023) Qu'est-ce qu'un inventaire d'IA et pourquoi en avez-vous besoin ?

La création d'un inventaire d'IA est l'une des premières étapes, et l'une des plus critiques, de la mise en place d'un programme de gouvernance de l'IA.