L’IA s’impose dans les entreprises, mais son usage échappe parfois aux contrôles les plus élémentaires, laissant les responsables de la sécurité dans une course effrénée contre une technologie qu’ils peinent à maîtriser.L’intelligence artificielle n’est plus une promesse futuriste : elle est là, dans les outils, les ordinateurs, les processus internes des entreprises. Pourtant, derrière l’apparente fluidité de cette révolution numérique, les responsables de la sécurité des systèmes d’information (CISOs/RSSI) vivent une tout autre réalité : celle d’un terrain mouvant, fait d’enthousiasme, de risques invisibles et de politiques encore balbutiantes. Le rapport « Cisco AI Risks Report« , qui vient d’être publié et auquel votre serviteur a eu la chance de contribuer aux côtés de Cisco, met en lumière la tension croissante entre l’adoption rapide de l’IA et une gouvernance encore incertaine. L’étude, menée auprès de 60 responsables en cybersécurité et gestion des risques en France, au Royaume-Uni et en Allemagne, dresse un constat aussi nuancé qu’inquiétant : l’IA avance plus vite que les règles censées l’encadrer.
L’un des constats majeurs du rapport repose sur la manière dont l’IA est déployée dans les grandes entreprises. Contrairement aux idées reçues, la majorité ne développe pas encore ses propres modèles d’IA. Elle utilise plutôt des outils existants, comme Copilot de Microsoft ou Gemini de Google, intégrés aux suites bureautiques ou logiciels d’entreprise. Ce mode d’adoption indirect rassure par la notoriété des éditeurs, mais il pose aussi la question du contrôle réel sur les données et sur les algorithmes eux-mêmes, souvent opaques.
« L’IA est un problème à gérer, pas encore une solution« , résume un CISO du secteur du retail interrogé dans le rapport. Une phrase qui cristallise les inquiétudes : l’intelligence artificielle, dans ses formes actuelles, expose à des dérives imprévues. L’une des principales ? Les fameuses « hallucinations » générées par les IA, ces réponses inventées de toutes pièces, souvent très convaincantes mais fondamentalement fausses. Pour la plupart des responsables interrogés, ces erreurs ne sont pas que techniques : elles peuvent devenir critiques dès lors que l’IA est utilisée dans la relation client ou dans la production de contenus réglementés.
La menace de l’ombre : Shadow AI
Mais au-delà des IA intégrées, c’est le phénomène de la « shadow AI » qui inquiète le plus. À l’image du shadow IT, il désigne l’usage non encadré d’outils d’IA par les collaborateurs eux-mêmes, souvent sans en informer les responsables informatiques. ChatGPT, Midjourney, Claude, Perplexity… Autant d’outils facilement accessibles que des salariés utilisent pour gagner en productivité, rédiger des contenus ou analyser des données.
Ce phénomène est massif. Selon une étude de McKinsey citée dans le rapport, les responsables sous-estiment d’environ 50 % l’usage réel de ces outils dans leurs entreprises. « Les employés sont malins, ils savent contourner les interdictions« , admet un CISO du secteur public. Pire encore : certains CISOs reconnaissent être incapables de localiser précisément où, comment et par qui l’IA est utilisée dans leur structure.
Face à ce constat, les réponses varient. Certaines entreprises bloquent purement et simplement l’accès à tous les outils d’IA connus. D’autres privilégient la sensibilisation, la formation, ou la mise en place de politiques de gouvernance plus souples. Mais toutes partagent un point commun : la peur du vide informationnel. « On ne peut pas gouverner ce qu’on ne voit pas« , note un des participants de l’étude.
Un cadre légal en constructionSeules 7 % des entreprises interrogées se déclarent prêtes à faire face aux risques de l’IA, selon l’AI Fortification Readiness Index.
Cette invisibilité est d’autant plus problématique que les obligations légales se multiplient. L’Union européenne, avec son AI Act, impose désormais une classification des systèmes d’IA selon leur niveau de risque. Les entreprises doivent garantir la transparence de leurs outils, la robustesse de leurs données et la supervision humaine de leurs décisions algorithmiques.
Outre le règlement européen, d’autres cadres légaux comme le RGPD ou le CCPA américain imposent des exigences strictes sur la gestion des données personnelles. Les RSSI se retrouvent ainsi à jongler entre conformité juridique, protection des données et innovation technologique. « Le défi n’est pas seulement technique, il est fondamentalement légal« , affirme Deniz Celikkaya, spécialiste des risques juridiques liés à l’IA, cité dans le rapport.
Ce déséquilibre entre l’envie d’adopter l’IA et la lenteur de la gouvernance est flagrant. D’après l’AI Readiness Index de Cisco, 76 % des entreprises interrogées déclarent être en bonne voie pour mettre en œuvre une stratégie d’IA. Mais seulement 42 % estiment être prêtes sur le plan de la gouvernance. Ce fossé est encore plus marqué chez les organisations qui font face à une pression forte pour intégrer rapidement l’IA sous peine de perdre leur avantage concurrentiel.« La vraie crise, c’est la gouvernance »
Une autre tendance observée : la responsabilité n’est plus concentrée entre les mains d’un seul acteur. Dans la majorité des cas, le pilotage de l’IA se fait de manière collégiale, entre les RSSI, les DPO, les responsables des risques, les directions juridiques, voire les chefs de produits. Ce fonctionnement en silo a des avantages, mais aussi des limites : il dilue la responsabilité et ralentit la prise de décision.
Certaines entreprises tentent d’y remédier en mettant en place des comités d’éthique de l’IA ou des cellules dédiées à l’élaboration de chartes. Ces documents sont vivants, constamment ajustés en fonction des nouveaux usages ou des incidents survenus, comme l’affaire DeepSeek R1, où un modèle d’IA a été accusé d’avoir exposé des données confidentielles quelques jours à peine après son lancement.
Les développeurs en première ligneLe phénomène du « shadow AI » échappe au contrôle de la majorité des responsables sécurité, qui peinent à localiser les usages réels dans leurs organisations.
Un domaine où l’IA semble avoir trouvé une application pragmatique est celui du développement logiciel. Les équipes de développeurs, souvent pionnières dans l’adoption des nouvelles technologies, utilisent des IA pour générer du code, identifier des bugs ou automatiser certaines tâches répétitives. C’est là que la majorité des CISOs interrogés disent avoir trouvé un terrain d’expérimentation sécurisé et balisé.
Mais même ici, le risque du contournement existe. Certains développeurs intègrent des solutions d’IA sans en informer leurs supérieurs, estimant que le gain de temps justifie l’initiative. Cette zone grise entre usage légitime et shadow AI reflète parfaitement la complexité du moment actuel : tout le monde veut expérimenter, mais peu savent comment le faire sans danger.
Un manque de transparence des éditeurs
Autre problème : les solutions d’IA proposées par des éditeurs tiers sont souvent opaques. Beaucoup de CISOs ont exprimé leur frustration face au « black box effect », cette impossibilité de comprendre comment une IA fonctionne, sur quelles données elle s’appuie, et si ces données sortent du territoire de régulation. Un responsable évoque même un cas où un éditeur était incapable de confirmer si les données de ses clients étaient transférées vers un pays tiers, une violation potentielle des réglementations européennes.
La confiance repose alors sur la réputation. Microsoft, par exemple, est massivement adopté car perçu comme un acteur fiable, capable d’assurer une certaine traçabilité. Mais cette confiance ne suffit pas toujours, surtout face à des obligations réglementaires de plus en plus strictes. Pour les entreprises, le défi consiste à demander des garanties sans freiner l’innovation.
Au final, ce que révèle le rapport de Cisco, c’est une volonté affirmée d’encadrer l’IA, mais une réalité fragmentée et mouvante. Les règles existent, mais elles courent derrière des usages toujours plus agiles et décentralisés. La majorité des CISOs ne sont pas dans le déni : ils reconnaissent la nécessité d’adapter les politiques internes, de former les collaborateurs, de dialoguer avec les éditeurs. Mais ils demandent aussi plus de visibilité, d’outils de contrôle, et surtout, de clarté réglementaire.
Beaucoup redoutent que, sans cela, l’IA devienne une zone de non-droit numérique, où les bonnes intentions se heurtent à des pratiques incontrôlables. À l’heure où chaque entreprise veut être « IA-compatible », la question se pose avec une acuité croissante : peut-on vraiment maîtriser ce que l’on ne voit pas ?
merci à CLUBIC
