D’outil à acteur
Nous avons dépassé le point où l’IA est une expérimentation. Les organisations utilisent l’IA quotidiennement — pour la production de texte, la révision de code, l’analyse de données, le support client et la surveillance de sécurité. Ce qui a changé récemment n’est pas seulement la diffusion, mais la nature même de ces outils.
Avec l’IA agentique — des systèmes IA qui agissent de manière autonome, prennent des décisions et interagissent avec d’autres systèmes — la question passe de « comment utilisons-nous l’IA ? » à « qui contrôle ce que fait l’IA ? ». C’est une question de gouvernance, pas de technologie. Et c’est une question que la direction, pas le département IT, doit porter.
Note : Cet article traite de gouvernance et de responsabilité managériale — pas des menaces techniques liées à l’IA comme l’injection de prompts ou l’empoisonnement de données. Pour approfondir les menaces de sécurité IA, consultez notre guide sur la sécurité IA pour les organisations.
La gouvernance IA n’est pas une voie séparée
L’erreur la plus courante que je constate est que les organisations traitent l’IA comme une question autonome — un « projet IA » à côté du travail de sécurité ordinaire. Cela conduit à un double travail, des responsabilités floues et des politiques qui ne correspondent pas à la réalité.
La gouvernance IA est un prolongement de votre travail de sécurité de l’information existant. Les outils IA traitent vos actifs informationnels. Ils doivent être inclus dans la même analyse de risque, couverts par les mêmes principes de contrôle d’accès et gouvernés par les mêmes décisions managériales que tout le reste.
Lien avec la directive NIS2
La loi de transposition de la directive NIS 2 exige que les organisations gèrent les risques pour leurs systèmes de réseaux et d’information. Les outils IA qui traitent les données de l’organisation font partie de ce système — qu’ils soient exécutés en interne ou comme services cloud externes.
Cela signifie que les outils IA doivent :
- Être inclus dans l’analyse de risque
- Être couverts par le contrôle d’accès
- Avoir des propriétaires et responsables clairement définis
- Être inclus dans l’évaluation des fournisseurs (s’il s’agit de services externes)
Shadow AI : Le risque que vous ne voyez pas
57% des employés dans les organisations à forte intensité de connaissances saisissent des informations sensibles de l’entreprise dans des comptes IA personnels. Ils le font parce que c’est pratique, parce que cela les rend plus productifs, et parce que personne ne leur a dit de ne pas le faire.
Le problème est que l’organisation perd le contrôle sur où aboutissent les informations. Données clients, plans d’affaires, projets de contrats, code source, informations sur le personnel — tout peut être saisi dans un service IA externe où l’organisation n’a ni visibilité ni contrôle.
Le Shadow AI n’est pas un problème technique. C’est un vide de gouvernance. Les employés résolvent leurs problèmes quotidiens avec les outils disponibles. Si l’organisation n’offre pas d’alternatives approuvées et de directives claires, les employés trouveront leurs propres moyens.
Les organisations qui interdisent totalement les outils IA poussent l'utilisation dans l'ombre. Les employés continuent — ils n'en parlent simplement plus. L'utilisation contrôlée avec des cadres clairs est toujours meilleure que des interdictions que personne ne respecte.
Donnez aux employés des outils IA avec des contrats entreprise qui garantissent que les données ne sont pas utilisées pour l'entraînement, que la journalisation existe, et que l'organisation garde le contrôle. Facilitez faire le bon choix.
La plupart des employés comprennent qu'ils ne doivent pas partager de mots de passe. Moins comprennent qu'un projet de contrat ou une liste de clients dans un chat IA peut être tout aussi sensible. Les exemples concrets fonctionnent mieux que les politiques abstraites.
Les outils IA doivent être inclus dans votre stratégie IAM (Identity and Access Management). Qui a accès à quels services IA, et quels niveaux d'autorisation s'appliquent ?
IA agentique : Le prochain défi de gouvernance
Ce qui a commencé avec des chatbots évolue rapidement vers des agents IA autonomes qui peuvent agir de leur propre chef — réserver des réunions, envoyer des emails, exécuter des requêtes de base de données, exécuter du code. Cela pose de nouvelles questions sur le contrôle d’accès et la gouvernance des autorisations.
Si un agent IA a l’autorisation d’agir au nom d’un employé — qui est responsable si l’agent prend une décision erronée ? Si l’agent a accès à des systèmes sensibles — comment vous assurez-vous qu’il ne fait pas plus que prévu ?
Ce sont des questions qui doivent être adressées avant que l’IA agentique soit largement implémentée dans l’organisation, pas après.
Trois questions auxquelles la direction devrait pouvoir répondre
- Quels outils IA sont utilisés dans l'organisation ? Pas seulement ceux officiellement achetés — aussi ceux que les employés utilisent de leur propre initiative. Un inventaire de l'utilisation réelle de l'IA est la première étape vers le contrôle.
- Quelles données sont saisies dans les outils IA ? Classifiez quel type d'information est traité. Données personnelles ? Secrets d'affaires ? Données clients ? La réponse détermine quelles mesures de protection sont nécessaires et quels outils sont acceptables.
- Qui est responsable ? Pas « le département IT » — mais une personne nommée avec le mandat de prendre des décisions sur l'utilisation de l'IA, d'escalader les risques à la direction et de mettre à jour les politiques au rythme de l'évolution technologique.
AI Act : Le paysage réglementaire s’élargit
L’AI Act de l’UE introduit progressivement des exigences jusqu’en 2026. Même si la plupart des organisations ne développent pas d’IA à haut risque, le règlement affecte tous ceux qui utilisent des systèmes IA classifiés comme à haut risque. Cela inclut les outils de recrutement, l’évaluation de crédit, l’identification biométrique et autres applications.
La gouvernance IA ne concerne pas seulement la gestion des risques internes — elle concerne aussi la préparation réglementaire. Les organisations qui ont déjà une politique IA claire et un modèle de gouvernance ont un avantage significatif quand de nouvelles exigences arrivent.
Commencer par la cartographie
La gouvernance IA n’a pas besoin d’être compliquée. Elle doit être systématique. Commencez par cartographier quelles données transitent où — y compris à travers les outils IA. Cela vous donne la vision dont vous avez besoin pour prendre des décisions éclairées sur les politiques, risques et investissements.
L’analyse des flux d’information de Securapilot vous aide à cartographier comment l’information circule dans l’organisation — y compris à travers des outils et services externes. C’est la base tant pour la gouvernance IA que pour les exigences de la directive NIS2.
Questions fréquentes
Qu'est-ce que la gouvernance IA ?
La gouvernance IA consiste à définir comment l'organisation utilise, contrôle et assume la responsabilité des outils IA. Cela inclut les politiques, l'évaluation des risques, le contrôle d'accès et les questions de responsabilité — pas seulement l'implémentation technique.
Qu'est-ce que le Shadow AI ?
Le Shadow AI désigne les outils IA que les employés utilisent sans approbation de l'organisation — souvent des comptes personnels chez ChatGPT, Claude, Gemini ou autres services. Le risque est que les informations sensibles de l'entreprise échappent au contrôle de l'organisation.
Comment la gouvernance IA se connecte-t-elle à NIS2 et à la directive européenne ?
Les outils IA traitent vos actifs informationnels et doivent être inclus dans votre analyse de risque selon les exigences de la directive NIS2. L'utilisation incontrôlée de l'IA peut constituer un risque pour la sécurité de l'information qui doit être géré.
Que doit contenir une politique IA ?
Les outils approuvés, quelles données peuvent être saisies, le contrôle d'accès, les questions de responsabilité, les exigences de journalisation et d'audit, ainsi que les exigences de formation. La politique doit être suffisamment concrète pour guider les décisions quotidiennes.
