Aller au contenu
Accueil » Blog » À grand pouvoir grandes responsabilités : souciez vous des risques de l’IA !

À grand pouvoir grandes responsabilités : souciez vous des risques de l’IA !

Il faut se soucier des risques de l'IA

« À grand pouvoir, grandes responsabilités » : ce vieil adage attribué à Voltaire, aujourd’hui remis au goût du jour par la figure emblématique de Spiderman, résonne avec une acuité particulière dans le contexte de l’adoption accélérée de l’intelligence artificielle (IA) par les entreprises de taille intermédiaire (ETI) et les petites et moyennes entreprises (PME). Dans l’imaginaire collectif, l’IA incarne la promesse de gains de productivité spectaculaires et de transformations opérationnelles inédites. Pourtant, croire que cette révolution numérique s’opère sans conséquences majeures sur la cartographie des risques serait une dangereuse illusion.

Le basculement actuel est profond. L’IA n’est pas seulement un levier technologique supplémentaire ; elle modifie en profondeur la nature même des risques auxquels sont exposées les organisations. Entre vulnérabilités nouvelles, défis réglementaires renforcés et enjeux éthiques exacerbés, l’IA impose une reconfiguration stratégique et sécuritaire que tout chef d’entreprise doit impérativement intégrer.

À grand pouvoir, grandes responsabilités.

L'essor de l'IA en entreprise : moteur d'innovation et de vulnérabilité

Depuis 2023, l’intégration des assistants conversationnels de type LLM, des moteurs de recommandation prédictifs, de la robotisation des processus métiers (RPA) ou encore des outils de scoring automatisé s’est accélérée dans les ETI et PME. Cette dynamique répond à un impératif économique : rester compétitif dans un environnement de plus en plus digitalisé. Pourtant, ce mouvement s’accompagne d’une expansion inédite de la surface d’attaque, comme l’illustrent les études menées récemment dans les secteurs financier, assurantiel et sanitaire.

Dans une enquête réalisée par Hitachi Vantara, 36 % des décideurs IT et métiers ont exprimé leur crainte d’une fuite de données provoquée par une IA interne mal maîtrisée. Trente-deux pour cent redoutent les attaques externalisées dopées à l’IA, tandis que 31 % s’inquiètent de l’impossibilité de restaurer des données corrompues à la suite d’une erreur algorithmique. Ces chiffres traduisent une inquiétude structurelle grandissante : l’IA, loin d’être une simple technologie neutre, devient un acteur majeur dans l’architecture des risques cyber et opérationnels​.

Les vulnérabilités spécifiques aux systèmes d’IA suscitent d’autant plus d’inquiétudes qu’elles échappent aux schémas traditionnels de défense. Les attaques exploitant l’empoisonnement des données d’entraînement, les injections de prompts ou encore l’exfiltration de modèles via le vol d’API sont devenues des vecteurs d’intrusion particulièrement redoutés. Pire encore, la dépendance croissante aux services SaaS (Software as a Service) fragilise les organisations en concentrant les points de défaillance autour d’un petit nombre de fournisseurs mondiaux.

Patrick Opet, Chief Information Security Officer (CISO) de JPMorgan Chase, souligne avec force ce risque systémique : « Les modèles modernes d’intégration suppriment des barrières de sécurité essentielles, créant un risque de concentration critique dans l’infrastructure mondiale. » Dès lors, chaque organisation, quelle que soit sa taille, devient vulnérable aux effets domino d’une attaque ciblant un acteur majeur de la chaîne d’approvisionnement technologique​.

Un changement de paradigme dans la cartographie des risques

Dans ce nouvel environnement, la nature des risques s’est diversifiée et complexifiée. D’un point de vue technique, les risques de fuite de données, d’empoisonnement des bases d’apprentissage et de piratage des API sont désormais au cœur des préoccupations. Le cas de UnitedHealthcare, poursuivi en justice en novembre 2023 pour avoir utilisé un modèle d’IA présentant un taux d’erreur de 90 % dans la gestion des remboursements santé, illustre tragiquement la gravité des conséquences d’une IA mal sécurisée​.

Sur le plan opérationnel, l’automatisation défectueuse des décisions peut entraîner des litiges massifs, des surcoûts financiers ou des atteintes directes à la sécurité et à la santé des clients. La difficulté de restauration des modèles corrompus ou de récupération des données accentue la criticité des incidents.

La pression réglementaire s’intensifie également. L’entrée en vigueur de l’AI Act européen en 2024 impose des exigences drastiques pour les systèmes d’IA classés à « haut risque ». Documentation technique, évaluation de conformité, gouvernance des données et explicabilité algorithmique deviennent des obligations incontournables pour de nombreuses entreprises. À cela s’ajoutent le RGPD, le règlement DORA sur la résilience opérationnelle, et la directive NIS 2 sur la cybersécurité, qui viennent renforcer les attentes en matière de protection des systèmes critiques.

Les risques éthiques et réputationnels, enfin, ne doivent pas être sous-estimés. Les biais algorithmiques non corrigés peuvent générer des discriminations systémiques dans le recrutement, l’octroi de crédits ou les décisions médicales. La perte de confiance des clients et des collaborateurs constitue alors une menace latente mais dévastatrice pour la pérennité de l’entreprise.

Entre impréparation et bonnes pratiques : quelles leçons tirer des grands acteurs ?

Face à ces défis, certaines grandes entreprises financières ont élaboré des stratégies de sécurisation particulièrement avancées, qui peuvent inspirer les ETI et PME soucieuses de mieux maîtriser leurs risques.

Goldman Sachs a ainsi mis en œuvre un cycle complet de développement sécurisé (SSDLC) spécifique à l’IA, intégrant la revue systématique des conceptions, les scans de vulnérabilités, les tests de pénétration et l’utilisation de techniques de Red Teaming. La banque a également déployé une politique d’IA fédérée, encadrant chaque cas d’usage par des standards de sécurité rigoureux dès la phase de conception​.

JPMorgan Chase, de son côté, s’est illustré par son approche proactive de la gouvernance IA. En automatisant la collecte de preuves de conformité, la banque démontre la robustesse opérationnelle de ses contrôles à travers toute la chaîne d’approvisionnement technologique. Patrick Opet insiste sur la nécessité d’aller au-delà des slogans : la sécurité « by design » doit être vérifiable en permanence et considérée comme prioritaire par rapport au déploiement rapide de nouvelles fonctionnalités​.

Ces pratiques illustrent un changement de paradigme : la sécurité ne doit plus être un correctif ajouté en aval, mais un élément intrinsèque de la stratégie d’innovation. L’intégration de concepts tels que le Zero Trust, l’informatique confidentielle, ou encore la gouvernance des biais par l’IA explicable (XAI) deviennent des éléments structurants de cette approche sécuritaire renforcée.

Gouverner l'IA pour en faire un levier durable de compétitivité

Pour une ETI ou une PME, il serait illusoire de croire que les stratégies de sécurisation à grande échelle sont inaccessibles. Bien au contraire, un modèle adapté est non seulement nécessaire, mais également réalisable avec des moyens raisonnés.

La première pierre angulaire de cette gouvernance réside dans l’adoption d’une charte d’utilisation de l’IA, diffusée à l’ensemble des collaborateurs, et validée par la direction générale, le délégué à la protection des données (DPO) et le responsable de la sécurité des systèmes d’information (RSSI). Cette charte doit poser des principes clairs sur les cas d’usage autorisés, les obligations de confidentialité et les bonnes pratiques de prompt engineering.

La création d’un comité IA transversal est également une étape essentielle. Celui-ci doit être chargé de la priorisation des projets, de l’évaluation des risques, du suivi de la conformité réglementaire, et du reporting régulier aux instances dirigeantes. Ce dispositif organisationnel permet d’assurer une surveillance dynamique de l’évolution des risques IA au sein de l’entreprise.

Sur le plan technique, il convient de mettre en place un cycle de développement sécurisé, même simplifié, adapté aux ressources disponibles. Cela inclut l’analyse systématique des vulnérabilités, les tests de pénétration annuels externalisés, ainsi que la surveillance des comportements anormaux sur les flux d’échanges avec les outils IA.

La gestion rigoureuse des accès aux API et aux environnements de production IA est un impératif. L’authentification forte, la segmentation réseau autour des services IA, et la rotation régulière des secrets d’authentification doivent devenir des réflexes.

La conformité réglementaire impose enfin d’adopter une approche documentée de bout en bout : réalisation de DPIA systématiques, maintien d’une documentation technique exhaustive exigée par l’AI Act, et mise en œuvre de processus d’explicabilité algorithmique pour limiter les risques de biais.

Conclusion : transformer l’obligation sécuritaire en avantage stratégique

L’intelligence artificielle représente, pour les ETI et PME, une opportunité historique d’amplifier leur compétitivité et d’accélérer leur mutation digitale. Cependant, cette opportunité ne peut être saisie qu’au prix d’une maîtrise fine des nouveaux risques qui l’accompagnent. À l’instar du message intemporel de Voltaire et de Spiderman, le pouvoir que confère l’IA s’accompagne d’une responsabilité renforcée en matière de sécurité, d’éthique et de conformité.

En intégrant dès aujourd’hui une gouvernance IA rigoureuse, en adoptant les meilleures pratiques inspirées des grandes institutions financières et en anticipant les évolutions réglementaires, les dirigeants d’ETI et PME peuvent transformer ce défi sécuritaire en véritable avantage stratégique. L’IA, loin d’être une menace incontrôlable, peut alors devenir le socle d’une croissance durable et résiliente.

Sources

  • Hitachi Vantara. (2024). Étude sur la sécurité de l’IA en entreprise.

  • Opet, P. (2025, 5 mars). Open Letter to Our Suppliers. JPMorgan Chase. Disponible sur : https://www.jpmorgan.com/technology/technology-blog/open-letter-to-our-suppliers

  • Plainte collective contre UnitedHealthcare. (2023, novembre). Gestion défectueuse des remboursements santé par l’IA.

  • Goldman Sachs. (2025). Client Security Statement. Disponible sur : https://www.goldmansachs.com/disclosures/client-security-statement.pdf

  • Parlement européen et Conseil de l’Union européenne. (2024). Règlement (UE) 2024/865 relatif à l’intelligence artificielle (AI Act).

  • National Institute of Standards and Technology (NIST). (2025, mars). Guidelines for Securing AI Systems. Disponible sur : https://www.nist.gov

  • Parlement européen et Conseil de l’Union européenne. (2023). Digital Operational Resilience Act (DORA).

  • Agence de l’Union européenne pour la cybersécurité (ENISA). (2024). Artificial Intelligence and Cybersecurity Research.

  • International Organization for Standardization (ISO). (2024). Normes ISO/IEC 42001 et ISO/IEC 27001 relatives à la gouvernance et à la sécurité de l’IA.

  • Vaadata. (2024). Red Teaming : objectifs, méthodologie et périmètre d’une mission. Disponible sur : https://www.vaadata.com

  • Aithority. (2024). Explainable AI (XAI) in Security Applications. Disponible sur : https://aithority.com