Pratique 1 — Intelligence des risques
RiskLens produit l'évaluation RiskLens — le document que votre assureur utilise pour conditionner la couverture, que votre comité d'investissement utilise pour décider, et que votre conseil d'administration utilise pour autoriser la stratégie IA.
Deux variantes, une méthodologie
La même méthodologie d'évaluation, calibrée selon le format du livrable et le délai.
Pour les entreprises en exploitation.
Vous vous préparez à un renouvellement d'assurance, à une question du conseil, à une transaction ou à une demande réglementaire. Quatre à huit semaines. Document prêt pour le conseil d'administration.
Pour les firmes de capital-investissement, acquéreurs stratégiques, prêteurs et assureurs de représentations et garanties.
Vous évaluez une cible exposée à l'IA. Deux à quatre semaines. Mémo de niveau comité d'investissement.
Ce que nous évaluons
La même méthodologie s'applique aux deux variantes.
Quels agents et modèles sont en exploitation, quelle est la provenance des données et des modèles, quelle est l'exposition aux fournisseurs tiers d'IA.
L'exposition maximale que l'autorité de chaque agent crée à l'horizon de l'intervention humaine. Si un agent a accès à une API d'approvisionnement, à quel montant exposé en 60 secondes avant qu'un humain n'intervienne?
Le risque que des données internes corrompues dégradent les décisions de l'agent — distinct d'une attaque externe. Le mode d'échec sous-évalué dans les cadres de risque IA actuels.
Loi 25 du Québec, projet de loi C-27 et LIAD, OSFI, AMF, et les obligations sectorielles applicables.
Politiques en place, droits de décision, cadences de revue, processus opérationnels — sont-ils documentés, dotés en personnel, exécutés?
Où le risque évolue à mesure que le déploiement IA s'élargit. L'évaluation est un point de départ; le score est étalonné contre la trajectoire.
Pourquoi commencer ici
Les conseils d'administration exigent une stratégie, pas une politique
Le document approuvé au conseil est un plan d'investissement avec des chiffres ajustés au risque — pas une présentation sur les occasions en IA.
Toute décision en aval dépend de celle-ci
Portée de la conformité, infrastructure de contrôle, retainers de réponse — tout ce qui suit est calibré sur ce que RiskLens identifie. Sans RiskLens, les étapes suivantes optimisent le mauvais programme.
Le score de risque agentique est un artefact d'audit et d'assurance
Les assureurs cyber, les auditeurs SOC 2 et les assureurs de représentations et garanties exigent de plus en plus une documentation de gouvernance IA. Le score sert les trois — plus le conseil d'administration.
Comment nous travaillons
Quatre à huit semaines pour la variante par défaut, selon la taille du portefeuille et l'accès aux parties prenantes. Deux à quatre semaines pour la variante diligence — les délais de transaction sont serrés et nous les respectons.
Pour les engagements internes : un document d'évaluation complet plus un résumé exécutif autonome prêt pour le conseil. Pour les engagements diligence : un mémo de comité d'investissement, un rapport des signaux d'alerte et une annexe représentations et garanties.
Oui. Les engagements diligence coordonnent habituellement avec les conseillers juridiques sur la cartographie des représentations et garanties. Les engagements internes coordonnent avec les auditeurs externes sur les implications de conformité.
Le plan d'investissement identifie les initiatives qui vont de l'avant. À partir de là, le cadre de conformité relève de ComplianceCore, et l'attestation d'infrastructure relève de GuardLayer. Chaque étape est cadrée séparément — aucun engagement groupé.
Tous les engagements se déroulent sous entente de confidentialité. Pour les volets diligence, nous coordonnons avec vos conseillers juridiques sur les procédures de barrière d'information au besoin.
Un appel de 30 minutes pour cadrer un engagement RiskLens — stratégie d'investissement IA interne ou diligence raisonnable de transaction.