L’adoption massive de l’IA en entreprise, si elle est source de productivité, engendre des risques cyber et réglementaires majeurs.

Dans une tribune, Jérôme Beaufils, CEO de SASETY (www.sasety.com), expert en cybersécurité, alerte sur les défis posés par l’intégration rapide de l’intelligence artificielle dans les organisations. Si les bénéfices en matière de productivité sont indéniables, cette révolution technologique s’accompagne d’une nouvelle surface d’exposition aux risques qui nécessite une gouvernance rigoureuse et une sécurité adaptée.

Une adoption fulgurante et des risques sous-estimés

En l’espace de quelques mois, les outils d’IA générative sont devenus des compagnons quotidiens pour de nombreux collaborateurs. Des directions métiers aux équipes techniques, l’expérimentation est généralisée, mais souvent sans cadre formel. « L’intelligence artificielle s’est diffusée dans les organisations à une vitesse inédite », constate Jérôme Beaufils.

Cette dynamique, bien que positive, n’est pas sans danger. L’IA modifie en profondeur la circulation des données. « Des informations sensibles sont copiées dans des prompts. Des documents internes sont transmis à des services externes. Des agents intelligents accèdent à des API ou interagissent avec des applications critiques », détaille-t-il. Les conséquences peuvent être critiques : fuites de données stratégiques, attaques par injection de prompts, perte de traçabilité ou encore multiplication du « Shadow AI », ces usages de l’IA non contrôlés par les directions informatiques. L’IA crée de fait un nouveau périmètre de sécurité (https://www.sasety.com/tribune-ia-generatives-reprendre-la-main-la-vision-de-sasety-pour-les-entreprises) à part entière.

L’AI Act, un nouveau cadre réglementaire contraignant

À ces risques techniques s’ajoute désormais une dimension réglementaire incontournable avec l’entrée en application progressive de l’AI Act européen. Ce texte impose une approche graduée selon le niveau de risque des systèmes d’IA. Pour les usages jugés à haut risque, les entreprises devront se plier à des obligations strictes en matière de gouvernance des données, de transparence des algorithmes et de supervision humaine.

Pour Jérôme Beaufils, ce cadre légal change radicalement la donne. « Il ne suffit plus d’expérimenter. Il faut démontrer que les usages sont maîtrisés. Il faut être capable de tracer les interactions, de documenter les choix et d’apporter des garanties en matière de protection des données ». L’IA devient ainsi un sujet transversal, à l’intersection de la cybersécurité, de la conformité légale et de la stratégie globale de l’entreprise.

Intégrer la sécurité de l’IA dans une architecture globale

Face à cette complexité, la tentation serait d’empiler les solutions de sécurité spécialisées. Une approche que récuse le CEO de SASETY, qui préconise une vision intégrée. Il met en avant la stratégie de son partenaire Cato Networks (https://www.sasety.com/cato-networks), qui a choisi d’incorporer la sécurité de l’IA au cœur de sa plateforme SASE (Secure Access Service Edge) nativement cloud.

Grâce notamment à l’intégration des technologies issues du rachat de la société Aim Security fin 2025, cette plateforme permet de traiter les usages de l’IA comme n’importe quel autre flux de données. Elle offre une visibilité fine sur les applications utilisées, y compris celles non référencées, et permet de contrôler les interactions avec les grands modèles de langage. « Les politiques sont unifiées. Les contrôles sont appliqués de manière cohérente aux utilisateurs, aux sites et aux accès distants. L’IA cesse ainsi d’être un angle mort. Elle s’inscrit dans une logique Zero Trust globale », explique Jérôme Beaufils.

Au-delà de la technologie, l’importance du service opéré

Toutefois, la technologie seule ne suffit pas. Pour transformer une capacité technique en un dispositif de sécurité réellement efficace, un accompagnement humain et méthodologique est indispensable. C’est le rôle de SASETY en tant qu’opérateur de services managés SASE (https://www.sasety.com/le-sase) et cybersécurité.

L’approche débute par une cartographie précise des usages de l’IA au sein de l’entreprise. Elle se poursuit par la définition de politiques de sécurité claires, alignées sur les besoins métiers et les exigences de l’AI Act. Ces règles sont ensuite déployées, supervisées 24/7 et ajustées en continu. Ce suivi constant, incluant la gestion des alertes et la production de rapports pour les responsables de la sécurité et de la conformité, est essentiel. « L’objectif n’est pas de freiner l’innovation. Il est de la rendre durable », conclut Jérôme Beaufils, pour qui l’adoption de l’IA (https://www.sasety.com/tribune-ia-en-entreprise-innover-sans-s-exposer) et sa maîtrise doivent impérativement avancer de concert.