L'IA en entreprise déployée depuis des années et à peine un dirigeant sur cinq sait ce qu'il possède

L'IA en entreprise déployée depuis des années et à peine un dirigeant sur cinq sait ce qu'il possède

Plus de la moitié des grandes organisations mondiales disposent déjà d'une intelligence artificielle générative opérant quelque part dans leur activité. C'est un fait documenté. Ce qui l'est moins, c'est ce qui se cache derrière cette statistique : des systèmes traitant des données sensibles sans que personne n'ait défini qui les supervise, des agents autonomes prenant des décisions dans des flux de travail qu'aucune équipe de sécurité n'a audités, et des couches de gouvernance arrivées trop tard ou jamais du tout.

Simón ArceSimón Arce28 juin 20269 min
Partager

L'IA en entreprise est déployée depuis des années et à peine un dirigeant sur cinq sait ce qu'il possède

Plus de la moitié des grandes organisations mondiales disposent déjà d'une intelligence artificielle générative opérant quelque part dans leur activité. C'est un fait documenté. Ce qui ne se documente pas avec la même facilité, c'est ce qui se passe sous cette statistique : des systèmes qui traitent des données sensibles sans que personne n'ait défini qui les supervise, des agents autonomes qui prennent des décisions au sein de flux de travail qu'aucune équipe de sécurité n'a audités, et des couches de gouvernance arrivées tardivement ou qui ne sont tout simplement jamais arrivées.

Une étude publiée par OpenText Cybersecurity en collaboration avec le Ponemon Institute révèle un chiffre qui mérite une attention soutenue : seulement un dirigeant sur cinq peut affirmer que ses systèmes d'IA sont entièrement déployés avec les risques de sécurité évalués. Ce n'est pas une majorité inconfortable. C'est quatre-vingts pour cent des organisations qui ont avancé dans l'adoption sans résoudre les questions les plus fondamentales sur le contrôle, l'accès et la responsabilité.

Tel est le problème de maturité dont personne ne veut parler honnêtement en salle de direction, parce que le nommer implique d'admettre que la pression à l'adoption a été plus rapide que la capacité à gouverner.

L'adoption sans architecture est une autre forme d'improvisation

Le discours dominant autour de l'intelligence artificielle en entreprise continue de fonctionner comme si le problème central était l'accès à la technologie. Comme s'il suffisait de déployer le bon modèle, de le connecter aux bons systèmes et d'attendre que les résultats arrivent. Ce discours a quelque chose de confortable pour les dirigeants de niveau C : il permet de mesurer les progrès en nombre de pilotes, en outils déployés, en départements qui « utilisent déjà l'IA ».

Ce que ce discours dissimule est bien plus coûteux. Selon les données de la même étude, une majorité d'organisations rapporte que l'IA a rendu plus complexe, et non plus simple, le respect de leurs exigences en matière de confidentialité et de sécurité. Et pourtant, une proportion significativement plus faible a mis en place les politiques et les contrôles nécessaires pour gérer ces risques. L'écart n'est pas technique. Il est une question de priorités.

Sanjay Srivastava, qui chez Genpact a construit l'un des cadres les plus précis pour penser la maturité de l'IA en entreprise, le formule sans ambiguïté : le chemin vers la maturité en intelligence artificielle passe directement par les données. Pas par les modèles. Pas par le budget d'innovation. Par l'architecture des données, par la gouvernance intégrée dans les opérations, par la clarté sur qui est responsable de quoi et dans quelles conditions. Lorsqu'une organisation saute cette étape, elle n'adopte pas l'IA avec maturité : elle déploie une capacité sans contrôle.

Le problème n'est pas uniquement technique, car les systèmes d'IA n'opèrent pas dans le vide. Ils opèrent au sein d'organisations où les équipes les plus proches du métier communiquent rarement avec les équipes de sécurité avant qu'un incident ne survienne. Ils opèrent dans des environnements où des agents autonomes peuvent interagir avec des données financières, juridiques ou clients sans qu'il existe un inventaire à jour de qui a accès à quoi. Et ils opèrent sous une pression managériale qui récompense fréquemment la vitesse de déploiement au détriment de la solidité de l'architecture.

L'analyste Jason Snyder appelle cela le « théâtre de la coordination » : cette mise en scène organisationnelle où existent des comités IA, des tableaux de bord d'adoption et des présentations trimestrielles montrant de la traction, tandis que les flux de travail réels restent sans être repensés, les données sans être intégrées et la gouvernance sans être définie. Le résultat est une adoption qui se mesure en indicateurs d'activité, et non en impact opérationnel ou financier. Et lorsqu'arrive l'audit, ou l'incident, l'organisation découvre qu'elle a adopté sans construire.

La sécurité qui arrive tard ne peut plus arriver à temps

Il existe une dynamique spécifique qui caractérise les organisations à faible maturité en matière d'IA : la sécurité et la gouvernance sont traitées comme des couches que l'on ajoute après le déploiement, et non comme des conditions de conception. C'est un schéma que les équipes de sécurité connaissent bien, mais que les dirigeants de niveau C ont tendance à sous-estimer jusqu'à ce qu'il ait un coût direct.

Les données du Forbes Research AI Survey 2025 quantifient l'ampleur du problème avec une précision qui devrait préoccuper tout conseil d'administration : 62 % des dirigeants d'entreprise reconnaissent que l'IA complique le maintien de leurs défenses en matière de cybersécurité, et 63 % affirment que les menaces amplifiées par l'IA peuvent rendre obsolètes leurs défenses actuelles en quelques mois. Un an auparavant, ce second pourcentage était de 29 %.

Il ne s'agit pas d'une tendance graduelle. C'est une accélération brutale de la perception du risque, qui coïncide avec l'accélération du déploiement de l'IA dans les opérations. Les organisations intègrent davantage d'IA dans leurs systèmes précisément au moment où leur exposition aux menaces habilitées par l'IA croît à une vitesse supérieure à leur capacité de réponse.

La solution proposée par cette analyse n'est pas de réduire la vitesse d'adoption, mais de changer la séquence des décisions. La sécurité et la gouvernance ne peuvent pas fonctionner comme des audits postérieurs au déploiement ; elles doivent être intégrées dans le cycle de vie complet du système, depuis la conception du modèle jusqu'à son intégration avec les applications métier, en passant par l'entraînement, le déploiement et la surveillance continue.

Cela implique, en termes concrets, plusieurs choses que les organisations à faible maturité reportent fréquemment. Premièrement, un inventaire réel des systèmes d'IA qui opèrent dans l'environnement et de ce à quoi ils peuvent accéder. Sans cette visibilité, aucune gouvernance n'est possible. Deuxièmement, une extension de la gestion des identités et des accès pour inclure les agents non humains : chaque agent d'IA doit disposer d'un rôle défini, de permissions délimitées et d'une traçabilité de ses actions. Troisièmement, un modèle de surveillance continue qui identifie les comportements anormaux en temps réel et qui dispose de protocoles de réponse définis avant que l'incident ne se produise, et non après.

Aucune de ces étapes n'est technologiquement sophistiquée. Ce qu'elles exigent est quelque chose de plus difficile : la volonté de ralentir suffisamment le déploiement pour construire l'architecture qui le soutient. Et cette volonté se fait rare lorsque les incitations managériales sont alignées sur la vitesse d'adoption, et non sur la qualité de la gouvernance.

Ce que les quatre-vingts pour cent révèlent sur notre façon de décider d'adopter

Le chiffre de vingt pour cent d'organisations réellement matures en matière d'IA n'est pas seulement un indicateur de gestion technologique. C'est le symptôme de quelque chose de plus profond dans la manière dont les grandes organisations prennent des décisions sous pression du marché.

Lorsque quatre-vingts pour cent des organisations adoptent sans avoir évalué leurs risques de sécurité, ce n'est pas parce qu'elles manquent d'informations sur la nécessité de le faire. Les équipes technologie, sécurité et conformité savent généralement ce qu'il faut. Le problème se situe un niveau au-dessus : dans la conversation qui n'a pas eu lieu entre l'impulsion d'adoption et les conditions pour la soutenir de manière responsable.

Dans de nombreuses organisations, il existe une conversation implicite que personne n'a de façon explicite : celle qui devrait avoir lieu entre le PDG qui souhaite montrer de la traction en matière d'IA au conseil, le RSSI qui sait que l'architecture de sécurité n'est pas prête, le directeur financier qui doit approuver un investissement supplémentaire en gouvernance qui ne figurait pas dans le budget initial, et l'équipe juridique qui n'a pas encore défini les limites d'utilisation des données sensibles par des agents autonomes.

Cette conversation n'a pas lieu à temps parce qu'elle a un coût politique interne. Freiner ou conditionner le déploiement de l'IA à un moment où le marché pousse dans la direction inverse exige que quelqu'un au niveau de la direction soit prêt à maintenir cette position face au conseil, face aux actionnaires, face à l'équipe commerciale qui veut des résultats. Et en l'absence d'un incident qui force cette conversation, l'inertie institutionnelle s'oriente toujours vers l'avance.

Le problème de maturité de l'IA en entreprise, donc, ne se résout pas uniquement avec de meilleurs outils de gouvernance ou davantage de budget pour la sécurité. Ce sont des instruments nécessaires. Mais la condition préalable est que quelqu'un à la direction soit prêt à nommer ce que le système évite de nommer : que la vitesse du déploiement a dépassé la capacité de contrôle, que cela a des conséquences réelles et que le corriger a un coût à court terme.

Les organisations qui parviennent à franchir ce seuil n'y arrivent pas parce qu'elles ont découvert une méthodologie plus élégante. Elles y parviennent parce que quelqu'un a eu cette conversation avant que l'incident ne l'y contraigne.

La maturité n'est pas un état, c'est une décision qui se répète

La recherche du Ponemon Institute établit que parvenir à la maturité en matière d'IA implique que les systèmes soient entièrement déployés avec les risques de sécurité évalués. Cette conjonction est celle qui définit le seuil. Pas le déploiement seul. Pas l'évaluation seule. Les deux choses simultanément.

Ce qui rend ce seuil difficile à franchir pour la majorité des organisations n'est pas la complexité technique du problème, mais la structure des incitations autour de la décision. Les incitations actuelles récompensent le déploiement. Les indicateurs de succès rapportés aux conseils d'administration sont des indicateurs d'adoption : combien de départements utilisent l'IA, combien de temps les outils permettent d'économiser, combien de processus ont été automatisés. Les indicateurs de gouvernance, d'inventaire des accès, d'évaluation des risques pour chaque système déployé, ont rarement le même poids dans cette conversation.

Changer cela n'est pas un problème de culture organisationnelle dans l'abstrait. C'est un problème de conception d'incitations concrètes. Tant que les dirigeants seront évalués sur la vitesse d'adoption et non sur la qualité de l'architecture de contrôle, les quatre-vingts pour cent resteront quatre-vingts pour cent, et les incidents continueront d'être le principal mécanisme d'apprentissage.

Les organisations qui franchissent ce seuil font quelque chose de spécifique : elles intègrent des critères de gouvernance et de sécurité dans la définition même de ce que signifie qu'un système d'IA est « prêt à opérer ». Non pas comme une étape supplémentaire à la fin du processus, mais comme condition de clôture de chaque phase du déploiement. Elles étendent la gestion des identités pour inclure les agents non humains avec la même rigueur qu'elles appliquent à la gestion des accès des employés. Elles surveillent en temps réel le comportement de leurs systèmes d'IA et disposent de protocoles définis pour répondre aux anomalies avant qu'elles n'escaladent.

Rien de tout cela n'est révolutionnaire. Ce qui est inhabituel, c'est la volonté de le faire avant que l'incident ne l'exige.

Il existe une différence significative entre les organisations qui apprennent de leurs propres erreurs et celles qui apprennent de celles des autres. Les quatre-vingts pour cent qui n'ont pas encore évalué leurs risques de sécurité choisissent encore dans laquelle de ces deux catégories elles souhaitent se trouver.

Partager

Vous pourriez aussi aimer