Journée de la reconnaissance de l’IA : et si on posait enfin les bonnes questions sur sa gouvernance ?

L’IA s’est imposée dans les environnements d’entreprise à une vitesse sans précédent. Mais sait-on vraiment ce qu’elle y fait ? Shane Barney, CISO de Keeper Security, tire la sonnette d’alarme : alors que l’AI Act européen entre en pleine vigueur le 2 août, la gouvernance des agents IA n’est plus une option. C’est une obligation. Et pour la plupart des équipes de sécurité, l’honnêteté s’impose : le niveau de contrôle actuel sur ces nouvelles identités numériques est encore largement insuffisant.

« La Journée de la reconnaissance de l’IA est l’occasion de poser une question plus difficile que celle de savoir ce que l’IA a rendu possible : les organisations savent-elles ce que fait l’IA une fois qu’elle est déployée au sein de leurs environnements ? Pour la plupart des équipes de sécurité, la réponse honnête est : « pas suffisamment ».

La plupart des organisations ont passé ces deux dernières années à se demander à quelle vitesse elles pouvaient adopter l’IA. La meilleure question est de savoir si elles savent réellement ce que fait l’IA une fois qu’elle est au sein de leur environnement. Cette distinction est plus importante que la plupart des équipes de sécurité ne veulent bien l’admettre. Les agents d’IA opèrent au sein des environnements d’entreprise avec des accès privilégiés, traitent des données sensibles et prennent des décisions de manière autonome – souvent sans plus de contrôle qu’un compte de service non surveillé.

L’étude mondiale 2026 de Keeper a révélé que 56 % des organisations citent le partage involontaire d’informations sensibles par les employés via des outils d’IA comme leur plus grande faille de sécurité. Ce n’est pas un problème technologique. C’est un problème de gouvernance, qui reste sans réponse alors que l’adoption de l’IA s’accélère.

Quoi qu’il en soit, la pression extérieure se fait désormais sentir. À compter du 2 août, les régulateurs de l’UE disposeront d’une pleine autorité d’application en vertu de la loi sur l’IA (AI Act), les autorités nationales des 27 États membres étant habilitées à enquêter, restreindre et sanctionner les déploiements d’IA non conformes. Pour les équipes de sécurité des entreprises, cela signifie que la gouvernance de l’IA n’est plus une question de discrétion interne.

Les organisations les mieux placées seront celles qui traiteront chaque agent d’IA pour ce qu’il est réellement : une nouvelle identité, dotée de droits d’accès, d’obligations d’audit et du potentiel de causer de réels dommages s’il n’est pas soumis à une gouvernance. Cela implique d’appliquer le principe du privilège minimal, de maintenir des contrôles des identifiants et de mettre en place une audit trail complète pour chaque identité présente dans l’environnement, qu’elle soit humaine ou non. Les principes fondamentaux restent d’actualité. Il suffit simplement de les étendre pour couvrir les parties de l’environnement qui n’existaient pas il y a deux ans. »

Ne manquez rien de nos contenus exclusifs !

Recevez nos conseils et actualités directement dans votre boîte mail.
Pas de spam, juste l’essentiel pour rester informé.

Nous ne spammons pas ! Consultez notre politique de confidentialité pour plus d’informations.

par Stéphane

Stéphane Poignant est formateur RH et créateur de jeux sérieux, de guides pratiques et de contenus qui font bouger les lignes. Il explore les coulisses du SIRH, de la data RH et du learning by doing. https://www.linkedin.com/in/stephanepoignant/