Comment mettre en place une sécurité IA fondée sur la confiance à grande échelle

Dans ce contexte, la confiance revêt deux dimensions. D'une part, les collaborateurs et les analystes doivent avoir l'assurance que les outils d'IA facilitent leur travail plutôt que de remettre en cause leur jugement. D'autre part, les dirigeants doivent avoir la certitude que ces systèmes sont sécurisés, explicables et résilients dans des conditions réelles.

Sans ces deux dimensions, la sécurité basée sur l'IA ne peut pas évoluer à grande échelle : elle se fragmente. Les organisations qui réussissent ne considèrent pas la confiance comme un simple exercice de communication, mais comme un principe de conception intégré à la gouvernance, au contrôle et à la stratégie de mise en œuvre.
 

Le double sens du mot « confiance » 

Tout d'abord : qu'entend-on par « confiance » dans le contexte de l'IA et de la sécurité ? En réalité, ce terme revêt deux sens différents :

• L'aspect humain: vos collaborateurs font-ils réellement confiance aux outils de sécurité basés sur l'IA que vous choisissez pour eux, ou les perçoivent-ils comme une menace, un fardeau ou quelque chose qu'il faut contourner ? 
• L'aspect technique : peut-on compter sur vos outils de sécurité basés sur l'IA pour tenir les promesses de leurs fournisseurs ou développeurs ?
  Ces deux aspects sont essentiels et déterminent tous deux si l'IA apporte une valeur ajoutée ou si elle ne fait que créer de nouveaux risques.

Si vous négligez l’aspect humain de la confiance lors de l’adoption de nouveaux outils d’IA, vous risquez un faible taux d’adoption, des pratiques parallèles qui contournent les systèmes officiels et un faux sentiment de sécurité qui rend votre organisation plus vulnérable. Cela porte également atteinte à la confiance de votre équipe lorsque vous choisissez des outils qui ajoutent de la complexité au lieu d’améliorer l’efficacité. Cette tension explique en partie pourquoi Gartner indique que 69 % des organisations soupçonnent ou ont des preuves que des employés utilisent des outils GenAI publics non autorisés (« IA parallèle »). Lorsque les outils approuvés ne répondent pas aux besoins opérationnels réels, les employés cherchent des alternatives — souvent sans supervision adéquate.

Sur le plan technique, les DSI doivent aller au-delà du battage médiatique effréné et des promesses exagérées que nous avons observées au sein de la communauté de l’IA ces dernières années. À l’instar de tout autre outil de sécurité, les outils basés sur l’IA doivent faire leurs preuves en conditions réelles, en garantissant transparence, auditabilité et résilience face aux menaces émergentes telles que l’injection de prompts et les défaillances du contrôle d’accès.
 

Intégrer la confiance dans le déploiement de l'IA 

De nombreuses entreprises rencontrent des difficultés d’adoption lors du déploiement de nouveaux outils d’IA. Cela s’explique sans doute par le fait que près de la moitié (46 %) des employés considèrent l’IA comme une menace pour leur emploi, selon un rapport du BCG. Le fait que le secteur de l’IA ne cesse de vanter le potentiel de ses outils à redéfinir le travail tel que nous le connaissons n’arrange certainement pas les choses. Les préoccupations des employés sont légitimes. Il appartient aux responsables informatiques et de la sécurité d’y répondre par des stratégies d’adoption soigneusement planifiées.

Une réussite dans le domaine de l'IA : MinterEllison 

Un exemple souvent cité est celui de MinterEllison, qui a mis en place un programme structuré de formation à l'IA afin d'en favoriser l'adoption. Le cabinet a prévu du temps dédié à la formation, a aligné celle-ci sur les objectifs de performance et a désigné des « champions du numérique » en interne pour accompagner leurs collègues à travers des cas d'utilisation concrets.

Parmi les résultats observés, on note une augmentation significative de l'utilisation hebdomadaire de l'IA et un engagement durable au sein de tous les services. Le principal enseignement à retenir ne réside pas dans les chiffres d'utilisation eux-mêmes, mais dans la structure mise en place : la confiance s'est renforcée car la formation, l'allocation de temps et le soutien par les pairs ont été délibérément intégrés au déploiement.

Formation, transparence et communication
Le besoin de formations structurées ne fera que croître. Dans son rapport « Predicts 2025 : AI and the Future of Work », Gartner indique que d’ici 2028, 40 % des employés seront d’abord formés ou accompagnés par l’IA lorsqu’ils prendront de nouvelles fonctions, contre moins de 5 % aujourd’hui. Si les employés s’attendent à ce que l’IA les guide dès le premier jour, les entreprises ne peuvent pas se permettre de laisser la maîtrise de cette technologie au hasard.

Une communication claire est également essentielle. Soyez franc et réaliste quant à ce que les outils d’IA peuvent et ne peuvent pas faire. Montrez à vos collaborateurs à quel point leur supervision humaine est importante. Et ne vous contentez pas de leur dire « faites confiance à l’outil ». Apprenez-leur plutôt à remettre en question et à interpréter les résultats, et encouragez-les à le faire. Lorsque les employés savent que leur jugement est toujours pris en compte, l’IA est moins perçue comme une menace et davantage comme un soutien.
 

Choisir des outils de sécurité basés sur l'IA dignes de confiance 

L'autre aspect de la question est de savoir si les responsables informatiques et de la sécurité peuvent compter sur les systèmes d'IA pour fonctionner de manière fiable et sécurisée. Là encore, les risques sont bien réels. Les prévisions du secteur indiquent que les failles au niveau du contrôle d'accès — notamment les risques d'injection de commandes et d'escalade de privilèges — sont susceptibles de devenir les principaux vecteurs d'attaque pour les systèmes basés sur l'IA au cours des prochaines années. À mesure que les agents d'IA gagnent en autonomie opérationnelle, les lacunes en matière de gouvernance se transforment en failles de sécurité.

Parallèlement, les organisations doivent gérer la dérive de la précision, l'exposition aux biais et l'augmentation cloud . La sécurité de l'IA fondée sur la confiance repose donc non seulement sur la défense contre les menaces, mais aussi sur une validation, une surveillance et une maîtrise des coûts continues.

Ces défis expliquent pourquoi la cybersécurité figure toujours parmi les trois principales priorités des DSI dans les secteurs de la banque, de l'assurance et du commerce de détail. Mais la bonne nouvelle, c'est que des exemples de déploiements d'IA fiables commencent déjà à voir le jour, comme le montrent les études de cas de Gartner ci-dessous.

Citizens Bank, par exemple, a déployé un agent « orchestrateur » soigneusement sélectionné pour gérer en toute sécurité les tâches de back-office dans le cadre de flux de travail contrôlés. Dans le secteur de l’assurance, une entreprise néerlandaise utilise l’IA pour traiter automatiquement les sinistres automobiles simples, tout en orientant les cas complexes vers des experts en sinistres humains. Ces deux exemples nous enseignent la même leçon : les dirigeants peuvent faire confiance à l’IA lorsqu’elle est bien adaptée au cas d’utilisation, qu’elle est encadrée par des limites claires et que les humains restent responsables des décisions à haut risque.
 

Perspectives du secteur 

Les enjeux liés à la confiance varient légèrement d'un secteur à l'autre :

• Secteur bancaire: La confiance va de pair avec la conformité. Les dirigeants ont besoin de systèmes d’IA capables de réduire les faux positifs dans la détection des fraudes et de conserver des pistes d’audit que les autorités de régulation peuvent suivre sans réserve. 
• Assurance: Les préjugés dans les décisions de souscription ou de gestion des sinistres ne constituent pas seulement un problème éthique, mais aussi un risque réglementaire et un risque pour la réputation. Les contrôles visant à détecter les préjugés et les outils d'explicabilité sont indispensables. 
• Industrie manufacturière: La sécurité n’est pas négociable. Les responsables d’usine ne se fieront pas aux prévisions de l’IA concernant les pannes d’équipement s’ils ne savent pas quand et comment une vérification humaine doit intervenir. 
• Commerce de détail: Compte tenu du taux de rotation élevé du personnel, l’IA « fantôme » représente un risque majeur. Les détaillants doivent accorder autant d’importance à la maîtrise de l’IA qu’à celle des données afin de garantir une adoption sûre et productive.
   

Rendre la confiance évolutive 

Comment les dirigeants parviennent-ils donc à renforcer la confiance à grande échelle lorsqu’ils lancent des projets de sécurité liés à l’IA ? Quelques tendances se dégagent dans tous les secteurs :

• L'initiation à l'IA avant tout. Les employés n’adopteront pas ce qu’ils ne comprennent pas. Des programmes comme celui de MinterEllison prouvent qu’une formation structurée porte ses fruits en termes d’adoption et d’utilisation en toute sécurité. 
• Des règles de contrôle claires. Définissez les cas dans lesquels l'intervention humaine est nécessaire et veillez à ce que tout le monde en soit informé. Cela permet d'éviter à la fois un recours excessif à l'IA et une méfiance à l'égard de ses résultats. 
• Traçabilité. Chaque action prise à l'aide de l'IA doit laisser une trace capable de résister à l'examen minutieux des autorités réglementaires et des clients. 
• Gouvernance des coûts et des risques. Surveillez cloud , les écarts de précision et le contrôle d'accès avec autant de rigueur que vous le feriez pour les contrôles financiers. 
• Évolution de la culture d'entreprise. L'IA va sans aucun doute transformer la culture d'entreprise dans les années à venir. Les DSI, les RSSI et les DRH ont tous un rôle à jouer pour rendre l'IA digne de confiance à grande échelle.
   

La confiance dans la sécurité de l'IA ne naît pas spontanément. Elle doit être construite.

Les organisations qui parviennent à se développer s'appuient sur cinq piliers : la culture numérique, la clarté du contrôle, la traçabilité, la surveillance continue des risques et une gouvernance transversale. Lorsque ces fondements sont en place, l'IA devient un multiplicateur de force pour la cybersécurité plutôt qu'une nouvelle source de vulnérabilité.

Les dirigeants qui tiennent compte à la fois des aspects humains et techniques de la confiance ne se contenteront pas de déployer l'IA en toute sécurité : ils renforceront la résilience, accéléreront l'innovation responsable et instaureront une confiance durable dans leur stratégie numérique.