L’intelligence artificielle s’impose désormais dans les environnements professionnels avec une rapidité rarement observée dans l’histoire des technologies numériques. Génération de contenu, assistance au développement, analyse documentaire ou automatisation de tâches : les applications d’IA s’intègrent progressivement dans les processus métiers. Cette adoption rapide crée cependant une situation paradoxale pour les responsables de la sécurité des systèmes d’information. Les directions générales encouragent l’usage de ces outils pour gagner en productivité, tandis que les équipes de sécurité doivent gérer des risques nouveaux, souvent mal définis et difficilement contrôlables.
Dans ce contexte, de nombreuses organisations cherchent aujourd’hui à structurer leur approche. L’un des problèmes majeurs réside dans le choix des solutions destinées à encadrer l’usage de l’IA. Les RSSI disposent parfois de budgets pour sécuriser ces nouveaux usages, mais manquent de critères opérationnels pour sélectionner les outils réellement adaptés. C’est précisément pour répondre à cette difficulté qu’un nouveau guide de demande de propositions (Request for Proposal – RFP) a été publié afin d’aider les organisations à évaluer les solutions de gouvernance de l’intelligence artificielle.
Ce document propose une approche structurée destinée à clarifier les besoins des entreprises avant même de consulter le marché. L’objectif est simple : éviter que les organisations ne se retrouvent à choisir des solutions sur la base d’arguments marketing ou de fonctionnalités superficielles. Dans un domaine aussi mouvant que celui de l’IA, définir des exigences techniques précises devient un prérequis essentiel.
Cette démarche rejoint d’ailleurs les préoccupations exprimées par l’Agence nationale de la sécurité des systèmes d’information. Dans son rapport de veille CERTFR-2026-CTI-001, l’ANSSI souligne que l’usage de l’intelligence artificielle dans les organisations introduit de nouveaux risques liés à la manipulation des données, à la fuite d’informations sensibles et à la dépendance croissante à des services externes. L’agence insiste notamment sur la nécessité pour les organisations de mettre en place des mécanismes de contrôle permettant de comprendre comment les données circulent et sont exploitées par ces systèmes.
« La question n’est plus de savoir si l’IA sera utilisée dans l’entreprise, mais comment elle sera gouvernée. »
Le guide propose un changement de perspective intéressant. Jusqu’à présent, la sécurité informatique s’est souvent concentrée sur la protection des applications elles-mêmes. Chaque outil devait être évalué, sécurisé et intégré dans les politiques de sécurité existantes. Avec l’IA, cette approche atteint rapidement ses limites. Le nombre d’applications disponibles évolue trop vite pour qu’il soit possible de les contrôler une par une.
L’approche proposée consiste donc à déplacer le point de contrôle. Plutôt que de tenter de sécuriser chaque application d’IA individuellement, il devient plus pertinent de gouverner les interactions entre les utilisateurs et ces outils. Autrement dit, la sécurité doit se concentrer sur les moments où les données sont manipulées : saisie de texte, téléchargement de documents, traitement de fichiers ou génération de contenu.
Cette approche présente plusieurs avantages. Elle permet notamment de réduire la dépendance à l’égard des applications spécifiques. Si la sécurité est appliquée au niveau des interactions, les organisations peuvent conserver un contrôle sur les données même lorsque de nouveaux outils apparaissent. Cette logique s’inscrit dans une vision plus large de la cybersécurité centrée sur la protection de l’information plutôt que sur la protection des logiciels.
Dans la pratique, cela signifie que les mécanismes de contrôle doivent être capables d’observer et d’analyser les interactions entre l’utilisateur et l’IA. Les systèmes de sécurité doivent pouvoir détecter lorsqu’un document interne est copié dans un service d’IA, lorsqu’un fichier est téléchargé ou lorsqu’une requête contient des informations sensibles.
« La gouvernance de l’IA repose désormais sur la maîtrise des flux de données, pas uniquement sur le contrôle des applications. »
Le guide insiste également sur les limites des outils de sécurité traditionnels. De nombreuses solutions héritées ne disposent que d’une visibilité partielle sur l’activité réelle des utilisateurs. Elles observent les flux réseau, mais ignorent souvent ce qui se produit au niveau du navigateur ou des extensions chiffrées.
Or, une grande partie des interactions avec les outils d’IA se déroule précisément dans ces environnements. Les utilisateurs accèdent aux services d’intelligence artificielle via des navigateurs web, parfois en utilisant des modes de navigation privés ou des comptes personnels. Dans ces situations, les systèmes de sécurité basés uniquement sur l’analyse du trafic réseau peuvent perdre toute visibilité sur les actions réalisées.
Le guide recommande donc de privilégier des solutions capables d’analyser les interactions au plus près de l’utilisateur. Cela inclut notamment la capacité à détecter l’usage d’outils d’IA même dans des contextes complexes, comme les sessions anonymes ou les environnements chiffrés. Les fournisseurs doivent également démontrer leur capacité à identifier dynamiquement les sessions utilisateur, même lorsque plusieurs identités ou comptes sont utilisés.
Cette exigence répond à une réalité de plus en plus fréquente dans les organisations : les employés utilisent simultanément des comptes professionnels et personnels pour accéder à différents services numériques. Sans mécanismes de corrélation adaptés, il devient difficile de comprendre quelles données sont réellement partagées avec les systèmes d’IA.
Le guide structure son approche autour de huit piliers destinés à évaluer la maturité des solutions de gouvernance de l’IA. Parmi ces éléments figurent notamment la capacité à découvrir les usages d’IA dans l’organisation, la couverture des différents types d’applications, la compréhension du contexte des interactions et l’application en temps réel des politiques de sécurité.
La découverte des usages constitue souvent la première étape. Dans de nombreuses entreprises, les responsables de la sécurité ignorent encore combien d’applications d’intelligence artificielle sont réellement utilisées par les employés. Les services officiels ne représentent qu’une partie de la réalité : les utilisateurs adoptent souvent de nouveaux outils de manière autonome, sans passer par les processus d’approbation internes.
Une fois ces usages identifiés, les organisations doivent être capables d’évaluer les risques associés. Toutes les interactions avec l’IA ne présentent pas le même niveau de sensibilité. La génération d’un texte marketing ne pose pas les mêmes enjeux que l’analyse d’un document interne contenant des données stratégiques.
La notion de contexte devient alors essentielle. Les systèmes de gouvernance doivent comprendre non seulement ce qui est envoyé à un service d’IA, mais également dans quelles circonstances et par quel utilisateur. Cette compréhension contextuelle permet d’appliquer des politiques de sécurité adaptées à chaque situation.
L’un des points clés du guide concerne également l’application en temps réel des politiques de sécurité. Dans le domaine de l’IA, les décisions doivent souvent être prises instantanément. Lorsqu’un utilisateur tente de transférer des données sensibles vers un service externe, les mécanismes de contrôle doivent pouvoir intervenir immédiatement.
Cette capacité d’action en temps réel est essentielle pour prévenir les fuites d’information. Une fois les données transmises à un service d’intelligence artificielle externe, il peut être difficile, voire impossible, de récupérer le contrôle sur leur utilisation.
« La gouvernance de l’IA repose sur une logique simple : comprendre, contrôler et encadrer les interactions. »
Au-delà de ses aspects techniques, le guide propose également une méthode pour structurer le processus d’évaluation des solutions disponibles sur le marché. En définissant des critères précis et mesurables, les organisations peuvent comparer les fournisseurs de manière objective. Cette approche permet d’éviter les décisions basées uniquement sur des démonstrations marketing ou sur des impressions subjectives.
Pour les responsables de la sécurité, cette démarche présente un avantage important. Elle permet de reprendre l’initiative face à un marché technologique particulièrement dynamique. Les entreprises qui définissent clairement leurs exigences peuvent orienter les discussions avec les fournisseurs et éviter de subir les solutions proposées.
Cette logique rejoint une évolution plus large de la cybersécurité. Les organisations ne se contentent plus d’acheter des technologies ; elles cherchent à structurer des processus de gouvernance capables d’intégrer les innovations numériques sans compromettre la sécurité des données.
L’intelligence artificielle illustre parfaitement ce défi. Les entreprises souhaitent bénéficier des gains de productivité associés à ces technologies, mais doivent également protéger leurs informations stratégiques. Trouver cet équilibre nécessite des mécanismes de gouvernance capables de suivre le rythme de l’innovation.
Le guide RFP consacré à la gouvernance de l’IA s’inscrit précisément dans cette perspective. En fournissant un cadre structuré pour l’évaluation des solutions, il aide les organisations à passer d’une approche expérimentale à une stratégie de déploiement maîtrisée.
Dans un environnement où les technologies évoluent rapidement, la capacité à définir ses exigences avant que le marché ne les impose devient un facteur déterminant. Pour les RSSI et les responsables technologiques, la gouvernance de l’intelligence artificielle n’est plus seulement une question technique. Elle devient un enjeu stratégique de protection des données et de maîtrise des usages numériques.
Source : ANSSI – L’intelligence artificielle générative face aux attaques informatiques
