Face à l’essor de l’IA agentique, les CISO cadrent gouvernance, risques et usages, plaçant la sécurité au cœur des décisions stratégiques des entreprises.
En bref
- Les CISO sont désormais consultés en amont des projets d’IA. Ils expliquent les risques, cadrent la gouvernance et coopèrent avec les métiers pour éviter des déploiements non maîtrisés aux conséquences risquées sur l’opérationnel.
- L’IA agentique arrive en entreprise à un rythme supérieur aux précédentes vagues technologiques.
- Dans l’industrie, des équipes sécurité utilisent l’IA pour trier des milliards de signaux et réduire le volume d’alertes à prioriser par des analystes humains.
- Une enquête révèle des usages non encadrés : la majorité d’utilisateurs sans formation partage des données sensibles vers des plateformes d’IA, créant un risque direct pour la confidentialité et la conformité.
L’essor de l’IA remet la sécurité au centre du jeu. Les entreprises accélèrent l’adoption d’outils de génération et d’automatisation, parfois sans cadre préalable. Dans ce contexte, les responsables sécurité se retrouvent devant les comités de direction pour expliquer les risques, organiser la gouvernance et éviter les angles morts. Selon le Wall Street Journal, cette visibilité accrue découle autant de l’intensité des menaces que de la vitesse d’implantation des solutions d’IA dites « agentiques », capables d’exécuter des tâches en autonomie.
IA agentique : accélération, nouveaux risques et rôle structurant des CISO
L’IA agentique progresse plus vite que les précédentes révolutions technologiques en entreprise. Là où la migration vers le cloud s’est étalée, des équipes adoptent aujourd’hui des assistants de développement ou des agents pour automatiser des tâches de sécurité et de production logicielle. Cette dynamique modifie la temporalité des projets : l’expérimentation précède parfois la définition des règles, ce qui oblige la sécurité à intervenir très tôt pour fixer des garde-fous. Un cadre sécurité en environnement aérien rappelle que la transition cloud pouvait encore être discutée plusieurs années après son lancement, alors que les outils d’IA sont testés en quelques semaines, avec un sponsoring direct des directions informatiques. L’ambition affichée est double : coder plus vite et coder plus sûrement, en mesurant par l’usage ce qui tient ses promesses.
Ce rythme impose de clarifier les fondamentaux. D’abord la gestion des données : quelles sources l’agent peut-il consulter, que retient la plateforme, et comment prévenir tout renvoi d’informations internes vers l’extérieur. Ensuite la gestion des accès : qui, ou quel service automatisé, a le droit d’agir, selon quelles limites, et avec quel journal d’audit. Enfin l’exposition au risque : quels scénarios de fuite, de fuite croisée entre projets, de génération d’artefacts vulnérables ou de décisions erronées doivent être anticipés. La réponse passe par des approches de « sécurité dès la conception » appliquées à l’IA, avec des politiques explicites sur l’usage des modèles, la classification des données et les environnements de test.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Gouvernance, « tone at the top » et maîtrise des usages non encadrés
Au-delà de la technologie, comme le rappelle cet article de WSJ, la gouvernance devient le levier principal. Beaucoup d’entreprises ont créé des conseils internes sur l’IA réunissant sécurité, juridique, data et métiers. L’objectif est de valider les cas d’usage, d’instruire les risques et d’établir des chartes d’utilisation. Cette instance fournit une vue consolidée qui évite la prolifération d’outils, limite les doubles emplois et aligne l’IA sur les priorités opérationnelles. Pour la sécurité, c’est l’occasion d’intégrer ses exigences dans les décisions dès l’origine, plutôt que d’imposer des contrôles après coup.
Ce dispositif ne suffit que si la direction le soutient clairement. Le « ton donné par le sommet » reste déterminant pour débloquer les moyens, instaurer une responsabilité partagée et faire évoluer la culture d’entreprise. Là où la direction valide un cadre et encourage les équipes sécurité à travailler en binôme avec les métiers, l’IA est déployée plus sereinement et avec moins d’incidents. À l’inverse, lorsque les projets avancent sans consulter la sécurité, le risque est immédiat : exposition de données, dépendance à des services externes mal maîtrisés et absence de traçabilité sur les actions automatisées.
Un autre point émerge fortement : l’usage non encadré par les employés. Une large enquête conduite sur plusieurs milliers de personnes montre une réalité préoccupante. La majorité des utilisateurs de plateformes d’IA n’a reçu aucune formation sécurité ou confidentialité, et une part importante reconnaît avoir partagé des informations sensibles, qu’il s’agisse de documents internes, de données financières ou de données clients. Pour les CISO, cela impose des mesures simples et rapides : politiques d’usage claires, messages de sensibilisation, espaces sécurisés pour les tests et solutions approuvées qui évitent de pousser les équipes vers des outils non autorisés. L’efficacité tient à la proximité avec les métiers, sur le modèle d’équipes sécurité placées au plus près des opérations pour comprendre les contraintes et ajuster les contrôles.
En synthèse, l’organisation qui réussit combine trois éléments : une gouvernance explicite qui priorise les cas d’usage à valeur, un cadrage sécurité embarqué dans le cycle de vie de l’IA, et une acculturation continue des équipes. C’est ce triptyque qui transforme la sécurité, perçue parfois comme un frein, en moteur pour aller vite dans la bonne direction.
Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.
