L’usage de l’IA générative progresse rapidement dans les entreprises, entraînant une exposition accrue aux risques de fuite et de mauvaise gestion des données. Dans cette analyse, Terry Tran, consultante avant-vente chez Blue Soft, détaille les points de vigilance et les mesures essentielles pour encadrer ces usages.
La révolution de l’IA générative s’accélère : 39% des Français déclarent l’utiliser (source : IPSOS – CESI – février 2025) et 57% des entreprises de l’Hexagone ont commencé à déployer des cas d’usage (source : étude “ROI of AI” – Google Cloud). Le temps de l’expérimentation discrète est déjà révolu ; les DSI doivent désormais apprendre à danser sur un fil pour gagner en agilité et en avantages concurrentiels tout en évitant d’exposer massivement la sécurité des données de leurs organisations.
Les outils d’IA générative, nouvelle porte d’entrée privilégiée des hackers
Consulter un outil d’IA générative est devenu un réflexe : pour rédiger des mails, générer des compte-rendus de réunions en visioconférence ou analyser en quelques secondes des rapports.
Leur intégration dans nos outils quotidiens rend difficile la distinction entre usage banal et comportement à risque : ChatGPT, Gemini ou Mistral sont désormais des outils de travail à part entière. La vigilance des débuts cède la place à l’insouciance fonctionnelle et, rapidement, on confie à nos IA des données sensibles et confidentielles qu’elles conservent (parfois sans que nous ne le sachions) et qui participent à leur éducation.
Selon un rapport publié par LayerX Security (octobre 2025), près de la moitié des fichiers téléchargés par les collaborateurs sur des outils GenAI contiennent ainsi des données sensibles et 67% s’y connectent via des comptes personnels.
Obtenir par quelques prompts – ou par des attaques automatisées – des documents RH, des budgets ou encore des dossiers médicaux – n’est plus un fantasme de hacker mais une réalité technique.
Des règles primordiales pour sécuriser l’usage de l’IA
Les DSI jouent un rôle central dans la transformation numérique des entreprises et des collectivités. Eux-mêmes utilisateurs assidus de l’IA (plus de 80% l’utilisent dans leur processus d’achat informatique selon une étude de Foundry), ils pourraient être enclins à déployer le plus rapidement possible, sous la pression de l’élan collectif, ces outils qui décuplent les performances métiers. La mise en place d’une gouvernance de l’IA doit cependant rester au cœur de leur priorité, afin d’éviter des failles de sécurité majeures.
S’il est impossible de proscrire l’utilisation de l’IA générative, il est essentiel de rappeler des règles primordiales qui doivent précéder l’utilisation d’un LLM ou chaque installation d’un produit tiers :
1 – Vérifier les paramètres par défaut de son environnement pour évaluer les niveaux de confidentialité et éviter les autorisations trop larges ainsi que les options de partage vers l’interne ou l’externe non maîtrisées.
2 – Protéger l’accès aux données en établissant une connexion avec une authentification multi-facteurs et mettre en place des règles d’accès conditionnelles pour accéder aux applications et donc aux données de l’entreprise.
3 – Classifier les données : c’est une étape stratégique qui permet d’identifier les données sensibles présentes au sein d’une organisation car on ne protège bien que ce que l’on connaît ;
4 – Étiqueter les documents pour y associer des règles de partage en fonction de la sensibilité des données présentes dans le document.
5- Mettre en place des règles de rétention: Les données sensibles conservées trop longtemps augmentent la surface d’attaque en cas de cyber incident. Supprimer ou archiver les données après une période définie permet de limiter l’exposition des données critiques et de réduire les coûts de stockage.
6 – Privilégier des solutions d’IA hébergées dans des environnements conformes aux standards de sécurité. L’usage de l’IA générative et des grands modèles de langage (LLM) doit s’accompagner d’une vigilance particulière. Pour éviter les risques liés à la fuite ou à l’exploitation des données sensibles, il est recommandé d’opter pour des solutions hébergées dans des environnements sécurisés et conformes aux normes internationales (ISO 27001, SOC 2) et aux réglementations comme le RGPD.
Une culture globale des cyber-risques à développer
En matière de cyber-risques, la première faille reste humaine : près de la moitié des collaborateurs cliquent sur des liens dans les e-mails, sans en vérifier la provenance (source : OpinionWay pour LockSelf – février 2025).
L’élaboration d’une charte qui accompagne l’usage de l’IA, dans une démarche pédagogique, est un premier pas dans la bonne direction. Mais cette sensibilisation doit être active, testée et répétée, à l’instar de la lutte contre le phishing qui s’articule autour d’ateliers, de simulations gamifiées et de tests inopinés. C’est le seul moyen de mettre en place une culture responsable de l’IA.
Face à l’engouement général, le vrai risque pour les DSI réside dans l’illusion de maturité : la gouvernance de l’IA doit évoluer aussi vite que les usages. Ils font ainsi face à un double challenge : encadrer l’utilisation afin de garantir la sécurité des organisations sans freiner l’enthousiasme des collaborateurs pour des outils IA qui optimisent la productivité et dont la maîtrise est perçue comme un atout pour se préparer au monde du travail de demain.
