Souveraineté, cybersécurité, Shadow AI : comment concilier gouvernance des données et performance ?
La souveraineté numérique n’est plus un débat théorique. Elle s’impose désormais comme une priorité stratégique pour les entreprises françaises, dans un contexte où la sécurité des données, les enjeux réglementaires et la dépendance technologique s’entremêlent.
Lors du sommet de la souveraineté technologique, Olivier Biton, DSI et directeur de la transformation technologique de Crédit Agricole, rappelait une conviction forte : la souveraineté ne doit pas se construire au détriment de la performance.
Dans le même temps, les usages internes évoluent à grande vitesse. Les collaborateurs utilisent massivement des outils comme OpenAI (ChatGPT) ou Anthropic (Claude) pour gagner en efficacité. Ce phénomène de Shadow AI pose une question centrale : comment protéger les données sans freiner l’innovation ?
Souveraineté cloud : au-delà de la simple localisation
Héberger ses données en France ou en Europe ne suffit pas. La véritable souveraineté implique de maîtriser :
-
Qui opère l’infrastructure
-
Qui administre les environnements
-
Sous quel cadre juridique les données sont exploitées
-
Comment sont gérées les clés de chiffrement
Autrement dit, la souveraineté est une question de contrôle réel, pas uniquement de géographie.
Les architectures hybrides ou privées deviennent alors des leviers stratégiques pour protéger les actifs critiques tout en conservant la capacité d’innover.
Shadow AI : interdire ne suffit pas
Le Shadow AI correspond à l’utilisation d’outils d’IA non validés par la DSI ou la direction sécurité.
Le risque principal ?
La fuite involontaire d’informations sensibles via des prompts, des copier-coller ou des uploads de documents.
Pour Clément Mary, la réponse n’est pas l’interdiction pure et simple. Une approche efficace repose sur trois piliers :
-
Proposer une alternative interne sécurisée, simple d’accès et performante
-
Former et encadrer les usages, avec des règles claires sur les données sensibles
-
Mettre en place des contrôles techniques (DLP, supervision, traçabilité)
Sans solution officielle crédible, les collaborateurs continueront à contourner les règles.
L’IA, nouvelle surface d’attaque
Un chatbot connecté au système d’information devient une porte d’entrée supplémentaire.
Les nouveaux risques incluent :
-
Exfiltration indirecte de données
-
Prompt injection
-
Accès excessifs via des agents autonomes
-
Mauvaise gestion des droits
Les pratiques de cybersécurité doivent donc évoluer :
-
Principe du moindre privilège
-
Segmentation des accès
-
Journaux d’audit détaillés
-
Tests de sécurité spécifiques aux LLM
L’IA ne peut plus être traitée comme un simple outil expérimental. Elle devient un composant structurant du SI.
Gouvernance et cybersécurité : une seule et même stratégie
La gouvernance définit les règles :
-
Classification des données
-
Finalités d’usage
-
Responsabilités
La cybersécurité applique les contrôles :
-
Gestion des identités
-
Chiffrement
-
Surveillance
-
Détection d’anomalies
Les deux dimensions doivent être conçues ensemble, dès la phase d’architecture.
Performance et souveraineté ne sont pas incompatibles
Le message est clair : il ne s’agit pas d’opposer sécurité et productivité.
Les entreprises qui réussiront seront celles capables d’intégrer l’IA dans une chaîne complète incluant :
-
Infrastructure maîtrisée
-
Gouvernance structurée
-
Cybersécurité renforcée
-
Supervision continue
La souveraineté n’est pas un frein à l’innovation.
Elle en devient une condition de confiance.