Cinq niveaux de maturité en IA

Présentation du modèle de maturité en IA

par Sam Rogers
13 min de lecture
announcement
framework
governance
strategy
measurement
paice
Cinq niveaux de maturité en IA

Vous ne pouvez pas gouverner une collaboration avec l'IA que vous ne pouvez pas observer.

C'est là le point de départ honnête de toute organisation cherchant à bien maîtriser l'IA. Les politiques existent. Les formations ont été suivies. Les cases ont été cochées. Rien de tout cela ne prouve que l'analyste a détecté l'hallucination avant qu'elle n'atteigne le client. Rien ne prouve que le souscripteur a remis en question le score de risque généré par l'IA qui s'est révélé erroné. Rien ne prouve que l'avocat a vérifié la citation avant le dépôt. C'est cela, l'écart de preuve.

Cet article présente une manière de le combler. Nous l'appelons AI Posture, formellement Aggregated Intelligence Posture : ce que votre organisation fait réellement avec l'IA, mesuré, non déclaré.

Nous publions aujourd'hui le vecteur Personnes de ce cadre, un modèle de maturité à cinq niveaux assorti de critères probatoires à chaque niveau. Libre d'adoption. Les vecteurs complémentaires (Infrastructure, Réglementation, et d'autres admis selon des critères ouverts) sont disponibles sur aiposture.org.

Pourquoi un nouveau modèle de maturité

Chaque grand cabinet de conseil propose son modèle de maturité en matière d'IA. La plupart mesurent des aspirations. L'engagement de la direction. La maturité culturelle. L'alignement stratégique. Ces catégories paraissent pertinentes sur une diapositive et ne signifient presque rien lorsque les régulateurs demandent ce que vous pouvez démontrer.

Les secteurs réglementés ont besoin d'autre chose : des états de capacité qu'un auditeur peut mettre à l'épreuve. Une posture, non une intention. Des preuves, non des impressions.

Ce cadre s'inspire de trois traditions qui ont déjà résolu des problèmes similaires. Du Capability Maturity Model, nous retenons la notion de capacité organisationnelle par paliers. De Dreyfus, nous retenons la discipline qui consiste à décrire des comportements observables à chaque stade d'acquisition d'une compétence. De la théorie de diffusion des innovations de Rogers, nous retenons le cadrage par stades d'adoption. Aucune de ces traditions n'a été conçue pour la collaboration avec l'IA, où l'unité d'analyse n'est ni un système seul ni une personne seule. Le modèle de maturité AI Posture en synthétise la structure et l'applique à ce problème.

Les cinq niveaux de l'AI Posture

Les cinq niveaux sont Perceiving, Assessing, Integrating, Calibrating, Engineering. Un Niveau 0 précède le cadre en tant que déclaration de périmètre : soit le vecteur n'est pas dans le périmètre, soit la déclaration de hors-périmètre est contredite par un usage observable. Chaque niveau décrit une posture organisationnelle vérifiable, avec un énoncé de posture unique, une courte liste de preuves requises et un test d'auditeur permettant de la confirmer.

Niveau 0 : Ignoring (N/A ou falsifié)

Posture : « Le vecteur Personnes ne s'applique pas ici. Nous n'utilisons pas l'IA, ou nous ne souhaitons pas le déclarer. »

Preuves : Une frontière de périmètre déclarée. L'organisation indique que l'IA n'est pas utilisée dans le périmètre évalué. Aucune donnée comportementale n'est attendue, car aucun comportement n'est revendiqué.

Test d'auditeur : La frontière de périmètre est maintenue sauf contradiction externe. La preuve que l'IA est effectivement utilisée (IA fantôme, usage via des comptes personnels, outils non approuvés) invalide le périmètre et remet en cause l'assertion d'AI Posture de l'organisation pour ce tampon. Non seulement le vecteur Personnes. L'ensemble de l'assertion.

Le Niveau 0 est une déclaration de périmètre, non un score. Deux variantes importent en pratique. La variante passive : l'organisation croit sincèrement que l'IA n'est pas utilisée, et le périmètre est valide. La variante active : l'organisation déclare que l'IA n'est pas utilisée alors qu'elle l'est manifestement par ses collaborateurs. La seconde forme est une gouvernance défaillante exprimée sous la forme d'une déclaration de périmètre. Ignoring est le nom donné à cette réalité. Un Niveau 0 valide est rare et généralement limité dans le temps. Un Niveau 0 falsifié est courant, et fatal pour l'assertion.

Niveau 1 : Perceiving

Posture : « Nous utilisons l'IA. Nous n'avons pas encore mesuré comment. »

Preuves : L'usage de l'IA est reconnu dans au moins une politique écrite. Aucune mesure comportementale n'existe.

Test d'auditeur : Produire la reconnaissance écrite, datée.

Perceiving est le point de départ de la plupart des organisations, et beaucoup y restent plus longtemps qu'elles ne le pensent. L'organisation sait que l'IA est utilisée. Il peut même exister une politique écrite indiquant « soyez prudent ». Il n'existe aucun mécanisme permettant d'observer ce que les personnes font réellement avec l'IA, aucune cartographie réglementaire, aucune évaluation de l'infrastructure. La posture est consciente, mais non mesurée.

Niveau 2 : Assessing

Posture : « Nous avons regardé. Voici ce que nous avons trouvé. »

Preuves : Une évaluation comportementale de base existe. Une analyse de l'exposition réglementaire existe. Un audit de l'infrastructure pour les interactions avec les agents existe.

Test d'auditeur : Produire le rapport de référence, la cartographie réglementaire et l'audit de l'infrastructure.

Assessing est la première étape pour sortir de Perceiving, et souvent l'étape à laquelle un premier audit de posture révèle des surprises. L'organisation a examiné ses propres comportements People+AI, cartographié son exposition réglementaire et évalué son infrastructure. Les données peuvent être inconfortables. C'est précisément l'objectif. Assessing consiste à voir clairement, pas encore à agir.

Niveau 3 : Integrating

Posture : « Ce que nous avons trouvé a changé ce que nous faisons. »

Preuves : Au moins une modification de politique est directement liée aux données d'évaluation. Les exigences réglementaires existent sous forme de contrôles. Les corrections d'infrastructure sont vérifiées par un audit de suivi.

Test d'auditeur : Montrer la modification de politique avec les données sources. Montrer le cadre de contrôle. Montrer la comparaison des audits avant et après.

Integrating est le niveau où l'observation devient gouvernance. Les résultats de l'évaluation orientent les politiques. Les exigences réglementaires deviennent des contrôles. Les corrections d'infrastructure sont vérifiées, non présumées. L'organisation peut retracer les décisions jusqu'aux preuves. C'est là que commence la défendabilité.

Niveau 4 : Calibrating

Posture : « Nous mesurons en continu. Les données pilotent la gouvernance. »

Preuves : Données d'évaluation au niveau des cohortes. Surveillance de la conformité selon une cadence définie. Variantes juridictionnelles en vigueur pour les organisations multi-juridictions. Agrégation préservant la vie privée vérifiée.

Test d'auditeur : Produire le rapport de cohorte, la cadence de surveillance et la validation de l'anonymisation.

Calibrating est continu, non épisodique. Les données au niveau des cohortes révèlent des tendances entre équipes et fonctions. La surveillance s'effectue selon une cadence définie, non à la suite d'un incident. Les organisations multi-juridictions utilisent des variantes spécifiques à chaque juridiction, car une évaluation menée aux États-Unis ne répond pas aux questions posées dans l'UE. L'agrégation préserve la vie privée par construction, non par promesse.

Niveau 5 : Engineering

Posture : « La collaboration avec l'IA est une capacité conçue et maintenue en continu. »

Preuves : Évaluation continue intégrée au développement professionnel. Attestation vérifiable de conformité. Le cadre s'adapte à l'évolution des capacités de l'IA. Gouvernance unifiée multi-vecteurs.

Test d'auditeur : Montrer le mécanisme d'attestation. Montrer l'adaptation du cadre au cours des 12 derniers mois. Montrer la gouvernance unifiée entre vecteurs.

Engineering est la posture d'une organisation dans laquelle la collaboration avec l'IA fait partie intégrante de la façon dont le travail est conçu, développé et gouverné. L'évaluation est intégrée au développement professionnel. L'attestation de conformité est vérifiable, non simplement affirmée. Le cadre s'adapte à l'évolution de la technologie sous-jacente. La posture est unifiée entre personnes, infrastructure et réglementation, et non gouvernée en silos.

Le palier de stagnation

La plupart des organisations opèrent aujourd'hui au Niveau 1. Toutes les organisations n'ont pas besoin du Niveau 5.

Cette affirmation peut surprendre de la part d'une entreprise qui vend des outils de mesure de la posture IA. Nous la formulons néanmoins. Il s'agit d'un cadre, non d'un escalier commercial. Le Niveau 5 est la bonne destination pour les organisations où la collaboration avec l'IA est critique pour la mission et en constante évolution. Il est surdimensionné pour la plupart. Un cabinet d'avocats régional effectuant de la revue de contrats assistée par IA est bien servi au niveau Integrating. Une banque multinationale gérant des décisions de crédit pilotées par l'IA dans plusieurs juridictions devrait viser Calibrating au minimum. Les systèmes de santé prenant des décisions cliniques fondées sur l'IA ont probablement besoin d'Engineering.

L'échelle ne vous oblige pas à la gravir. Elle indique où vous en êtes et ce que représenterait le prochain échelon. La décision de monter relève du jugement métier.

Ce que ce cadre n'est pas

C'est un cadre. Ce n'est pas une certification. Ce n'est pas une norme. Ce n'est pas une garantie de conformité.

Les cadres décrivent ce qu'il faut observer et quelles preuves produire. Les normes imposent des pratiques requises adossées à des organismes de gouvernance. Les certifications attestent qu'une organisation spécifique a satisfait à des critères spécifiques à un moment précis. Ce cadre s'inscrit dans la première catégorie. La mesure et l'attestation sont des préoccupations distinctes.

Ce cadre ne remplace pas non plus les cadres programmatiques existants. Le NIST AI RMF, l'ISO/IEC 42001 et les programmes de conformité au règlement européen sur l'IA mesurent la conception des programmes, la structure de gouvernance et la rigueur des mesures correctives. L'AI Posture mesure le comportement de sortie vérifié. L'un ne se substitue pas aux autres. Lorsqu'une réglementation ou un contrat impose un cadre spécifique, ce cadre reste obligatoire.

Si vous adoptez ce cadre et l'utilisez pour décrire votre posture, vous formulez une affirmation qui peut être mise à l'épreuve. C'est là sa valeur. Ni cet article ni le cadre lui-même ne peuvent rendre cette affirmation vraie à votre place.

Vecteurs complémentaires

Ce modèle couvre le vecteur Personnes de l'AI Posture : la façon dont les individus et les équipes se comportent réellement en collaboration avec des systèmes d'IA.

Deux autres vecteurs sont publiés conjointement dans la version v0.2 de la spécification. Infrastructure couvre le degré de préparation de la présence numérique d'une organisation aux interactions avec des agents IA. Regulation couvre la complétude avec laquelle une organisation a satisfait à ses obligations spécifiques à l'IA dans les juridictions contraignantes. Chacun possède sa propre structure de maturité suivant les mêmes cinq niveaux.

L'ensemble des vecteurs est ouvert. Des vecteurs supplémentaires peuvent être admis dès lors qu'ils satisfont aux critères de la spécification : une classe d'acteurs distincte, un artefact observable de l'extérieur, une variation indépendante et un pouvoir de contrainte indépendant.

La posture globale AI Posture d'une organisation correspond au minimum de ses vecteurs en périmètre. Un vecteur Personnes au niveau Calibrating ne peut pas compenser un vecteur Regulation Perceiving. Cette règle de contrainte est structurelle, non un artifice de notation. Les domaines se contraignent mutuellement dans la pratique, et le cadre reflète cette réalité. Suivez nos publications via notre Substack ou notre flux RSS pour des articles approfondis sur chaque vecteur et l'agrégat multi-vecteurs.

Comment l'utiliser

Différentes parties prenantes utilisent l'échelle différemment :

  • Reporting au conseil d'administration. « Nous sommes au niveau Assessing sur l'ensemble de nos équipes exposées à l'IA, avec un plan pour atteindre Integrating d'ici le T4. Voici les preuves. » Le cadre offre simultanément aux comités de gouvernance un vocabulaire et une charge de la preuve.
  • Achats. Lors de l'évaluation de fournisseurs, demandez-leur quel niveau de posture leurs outils vous permettent d'atteindre. Un fournisseur qui affirme « nous vous faisons passer de Perceiving à Calibrating » formule une affirmation vérifiable. Un fournisseur qui ne peut pas répondre en ces termes vend quelque chose de moins précis que de la gouvernance.
  • Conformité. Une documentation de posture cartographiée par rapport à des exigences réglementaires spécifiques est plus défendable que des attestations d'intention. La posture Integrating, associée à des preuves, constitue le seuil minimal vers lequel convergeront de nombreuses réglementations spécifiques à l'IA.
  • Praticiens individuels. Situez-vous. Puis rendez délibéré votre prochain mouvement. « Je suis au niveau Assessing. Ma prochaine étape est Integrating, ce qui implique de modifier ce que je fais sur la base de ce que j'ai observé. »

Les assertions de posture sont horodatées et se déprécient. Une affirmation de posture est valide au moment où elle est formulée, avec une date de prochain examen déclarée par l'évaluateur. Les lecteurs accordent moins de poids aux affirmations plus anciennes. C'est un cadre pour des instants, non une garantie d'état futur.

Fondements

Aucun cadre n'est inventé dans le vide. Celui-ci synthétise trois traditions :

  • Du Capability Maturity Model, nous avons emprunté la structure de capacité par paliers : chaque niveau est une posture complète, non un score incrémental. Les organisations ne vivent pas entre deux niveaux.
  • De Dreyfus (le modèle en cinq stades d'acquisition des compétences), nous avons emprunté la discipline consistant à décrire des comportements observables à chaque stade. La différence entre Assessing et Integrating n'est pas une question d'effort, c'est une question de ce qui peut être vu.
  • De la théorie de diffusion des innovations de Rogers, nous avons emprunté le cadrage de l'adoption comme processus social par étapes. Les organisations progressent à travers les niveaux de posture de la même façon que les technologies traversent les marchés : de manière non uniforme, pas toujours vers l'avant, et non sans friction.

Ce que ces traditions n'abordaient pas, et que ce cadre aborde, c'est l'unité d'analyse pour la collaboration avec l'IA. Il ne s'agit ni d'une personne seule ni d'un système seul. Il s'agit de l'interaction. C'est cette partie qui doit être observée, car c'est là que se manifestent à la fois la valeur et le risque.

Pour aller plus loin

Le cadre est gratuit. La spécification complète est disponible sur aiposture.org, incluant les critères probatoires, une auto-évaluation et un PDF téléchargeable.

L'auto-évaluation est adaptative bayésienne. Trois questions d'ouverture définissent le périmètre. Jusqu'à cinq questions par vecteur en périmètre, généralement moins. Le résultat est une AI Posture estimée avec un posterior par vecteur, une liste de contrôle des preuves et un vecteur contraignant identifié. Elle prend cinq à sept minutes.

Un essai complémentaire sur l'origine de ce cadre, notamment sur le choix du terme Aggregated plutôt qu'Artificial, sera publié prochainement.

Vous souhaitez situer concrètement votre organisation sur l'échelle ? L'auto-évaluation adaptative sur aiposture.org prend cinq à sept minutes et produit une estimation de posture par vecteur assortie d'une liste de contrôle des preuves que vous pouvez mettre à l'épreuve.

Participez :

Lectures recommandées

📖 L'écart de preuve et la vérification :

📖 Comprendre PAICE :

Curious but short on time?

Take the 3-minute PAICE Pulse — a quick confidence check that maps how you see your own AI collaboration posture. No login required.