Sécurité IA : les CISO coincés avec les outils d'hier

L'intelligence artificielle est partout en entreprise, mais personne ne sait comment la protéger

L'intelligence artificielle s'installe dans tous les recoins des entreprises. Les équipes marketing utilisent des assistants pour rédiger du contenu, les équipes techniques branchent des outils IA sur leurs bases de données, les services clients déploient des chatbots. Et pendant ce temps, les responsables de la sécurité informatique (les CISO, prononcer "si-zo", pour Chief Information Security Officer, c'est-à-dire le directeur de la sécurité informatique) tentent de protéger tout ça avec les mêmes outils qu'il y a cinq ans.

C'est le constat d'un rapport publié par Pentera, une entreprise de cybersécurité, après avoir interrogé 300 responsables sécurité aux États-Unis. Les chiffres sont inquiétants.

Deux tiers des responsables sécurité naviguent à l'aveugle

Le chiffre qui fait mal : 67 % des responsables sécurité déclarent avoir une visibilité limitée sur l'utilisation de l'intelligence artificielle dans leur entreprise. Et attention, "limitée" c'est le mot poli. Aucun des répondants n'a déclaré avoir une visibilité complète. Zéro. Pas un seul.

Concrètement, dans la grande majorité des entreprises, personne ne sait vraiment quels programmes d'IA tournent, quelles données ils manipulent, ni quels accès ils utilisent. C'est un peu comme avoir un immeuble de bureaux où personne ne sait combien de clés ont été distribuées ni à qui.

Le problème vient en partie de l'éclatement. L'IA ne se déploie pas de façon centralisée. Le service marketing installe un chatbot de son côté, l'équipe data branche un modèle dans son système, et des outils IA non autorisés (ce qu'on appelle le "shadow AI", l'IA de l'ombre) prolifèrent dans les angles morts.

Le vrai blocage, c'est le manque de compétences

Les responsables interrogés placent le manque de compétences internes en tête de leurs obstacles, à 50 %. Le budget, lui ? Seulement 17 % le citent comme frein principal. Les entreprises sont prêtes à investir, mais elles ne trouvent pas les bonnes personnes.

Et pour cause. L'intelligence artificielle crée des types de risques que les équipes de sécurité classiques n'ont jamais eu à évaluer. Un assistant IA qui prend des décisions tout seul, qui accède à des données sensibles par des chemins détournés, qui s'authentifie avec des droits élevés à 3 heures du matin. Ça ne ressemble à rien de ce que les formations en cybersécurité enseignent habituellement.

C'est un peu comme demander à un électricien de réparer la plomberie. Il comprend les tuyaux, mais pas ceux-là.

Des outils inadaptés face à des menaces nouvelles

Faute de mieux, les entreprises font avec ce qu'elles ont. Le rapport révèle que 75 % des responsables s'appuient sur des outils de sécurité classiques (protection des postes de travail, surveillance du réseau, pare-feu) pour protéger leur infrastructure IA. Seulement 11 % disposent d'outils pensés spécifiquement pour la sécurité de l'intelligence artificielle.

Onze pour cent. En 2026.

On a déjà vu ce scénario. À chaque grande mutation technologique, les organisations étirent leurs défenses existantes avant que des solutions adaptées émergent. Le passage au cloud (l'informatique dans le nuage, c'est-à-dire les services hébergés sur Internet) avait connu exactement ça au début des années 2010. L'IA suit le même chemin, mais beaucoup plus vite.

Un assistant intelligent qui s'authentifie tout seul et accède à des données sensibles au milieu de la nuit, ça ne déclenche aucune alerte dans un antivirus classique. Pour le logiciel de sécurité, ça ressemble à une requête normale. C'est tout le problème.

Ce qu'il faut retenir

Les entreprises qui attendent l'outil parfait pour sécuriser l'IA perdent un temps qu'elles n'ont pas. La priorité devrait être de comprendre quels outils d'intelligence artificielle sont utilisés en interne, par qui, et avec quels accès. Cartographier ce qui existe, même de façon imparfaite, vaut mieux que de ne rien faire en attendant la solution idéale.

Les systèmes d'IA tournent déjà. Les données transitent déjà. L'IA non autorisée existe déjà dans les couloirs de votre entreprise, que vous le vouliez ou non.