IA en entreprise : gouvernance, risques et conformité, ce que les directions oublient de piloter
Dans les entreprises, l'IA n'est plus un sujet technologique. C'est un sujet de gouvernance. Faisons le point.
L'intelligence artificielle progresse rapidement dans les entreprises françaises, mais souvent plus vite que les cadres ne parviennent à la piloter. Selon l'enquête TIC de l'INSEE, 10 % des entreprises françaises de 10 salariés ou plus déclaraient utiliser une technologie d'IA en 2024, contre 6 % en 2023 : une progression en un an qui illustre l'accélération du phénomène. Parmi les grandes entreprises de 250 salariés ou plus, ce taux atteint 33 %, ce qui signifie qu'un tiers des organisations les plus exposées aux enjeux de gouvernance et de conformité ont déjà des systèmes IA à piloter. Ce déploiement massif crée une asymétrie préoccupante : les directions métier expérimentent, les équipes techniques déploient, mais les fonctions chargées de la gouvernance, des risques et de la conformité sont souvent en retard. Or c'est précisément là que se jouent les enjeux les plus critiques pour les entreprises soumises à des obligations réglementaires.
L'IA en entreprise n'est pas seulement une question de productivité ou d'innovation. C'est un sujet de gouvernance à part entière, avec ses propres risques, ses exigences réglementaires croissantes et ses impacts directs sur la posture en matière de cybersécurité. RSSI, risk managers, responsables conformité : cet article s'adresse à ceux qui ont la charge de cadrer ce qui se déploie parfois sans eux.
Ce que recouvre vraiment « l'IA en entreprise »
Avant d'aborder les enjeux de gouvernance IA, il est utile de distinguer les formes d'IA effectivement présentes dans les entreprises car elles n'exposent pas aux mêmes risques.
L'IA intégrée dans les outils métier est la plus répandue et souvent la plus invisible : algorithmes de scoring dans les CRM, détection d'anomalies dans les ERP, suggestions automatiques dans les outils collaboratifs. L'entreprise l'utilise sans nécessairement l'avoir choisie ni évaluée explicitement.
L'IA générative déployée en interne (assistants basés sur des modèles comme GPT-4, Claude ou Mistral, copilotes de code, générateurs de documents) est celle qui concentre le plus d'usages visibles aujourd'hui, et le plus de questions sur la confidentialité des données.
Les systèmes d'IA développés ou commandités par l'entreprise pour des usages métier spécifiques (scoring de crédit, aide au diagnostic, détection de fraude, filtrage de CV) constituent la catégorie la plus exposée sur le plan réglementaire, notamment au regard de l'AI Act européen.
Cette distinction n'est pas académique. Elle conditionne directement le niveau d'obligation, l'exposition aux risques et la profondeur de la gouvernance requise. Un RSSI qui ne sait pas dans quelle catégorie se situent les outils d’IA de son organisation ne peut pas définir une posture de risque cohérente.
Les risques réels de l'IA en entreprise : au-delà des discours
Le discours dominant sur l'IA en entreprise reste largement orienté vers les bénéfices : gains de productivité, personnalisation, aide à la décision. Ce n'est pas faux, mais c'est incomplet. Les fonctions risques et conformité doivent avoir une lecture beaucoup plus granulaire de ce que l'IA introduit réellement comme surface d'exposition.
Risques liés aux données
L'IA se nourrit de données. Dans un contexte d'entreprise, cela signifie que des systèmes d'IA peuvent ingérer, traiter ou exposer des données sensibles, qu’il s’agisse de données personnelles de collaborateurs ou de clients, de données métier confidentielles, ou de secrets industriels. Les incidents liés à l'utilisation de LLM généralistes (données saisies via des interfaces publiques, mémorisation contextuelle, logs d'usage) illustrent des vecteurs de fuite d'information qui ne correspondent pas aux modèles de risque classiques.
Risques liés à la qualité des décisions
Quand une décision est assistée ou automatisée par l'IA, la question de la responsabilité se complexifie. Un modèle biaisé, entraîné sur des données non représentatives, peut produire des décisions discriminatoires ou erronées à grande échelle et avoir des impacts réputationnels, juridiques et opérationnels sérieux. Dans des secteurs comme la finance, les assurances ou les RH, ces risques sont directement engagés.
Risques de dépendance et de résilience
L'intégration de l'IA dans des processus critiques crée de nouvelles dépendances. Si un outil IA tiers devient indisponible, est modifié ou est compromis, quels processus métier s'arrêtent ? La cartographie des dépendances IA entre désormais dans le périmètre de la continuité d'activité, et peu d'entreprises l'ont encore formalisée.
Risques cyber spécifiques à l'IA
L'IA introduit des vecteurs d'attaque inédits : prompt injection sur les assistants génératifs, empoisonnement de données (data poisoning), attaques adversariales sur les systèmes de reconnaissance. Ces menaces ne figurent pas encore dans les référentiels de risque classiques de la plupart des organisations, alors qu'elles sont déjà activement exploitées.
L'AI Act : ce que les entreprises doivent anticiper dès maintenant
L'AI Act européen, entré progressivement en application depuis 2024, constitue le cadre réglementaire de référence pour l'IA en entreprise dans l'Union européenne. Sa logique repose sur une classification par niveau de risque : les systèmes d'IA à haut risque (dans les domaines de l'emploi, de l'éducation, du crédit, de la justice, des infrastructures critiques) sont soumis à des obligations substantielles avant leur mise sur le marché ou leur déploiement.
Pour les entreprises concernées, ces obligations incluent notamment : la réalisation d'une évaluation de conformité, la mise en place de systèmes de gestion des risques, la documentation technique des systèmes, la mise en œuvre de mécanismes de supervision humaine, et la tenue de registres. L'interdiction d'usage des systèmes d'IA jugés inacceptables (notation sociale, certaines formes de surveillance biométrique) est quant à elle applicable depuis février 2025.
Ce que l'AI Act introduit en pratique, c'est l'obligation de gouverner l'IA avec la même rigueur que n'importe quel autre risque organisationnel. Les entreprises qui ont déjà structuré leur approche GRC disposent d'un avantage réel : elles ont les processus, les référentiels et les outils pour intégrer les exigences IA Act dans un cadre existant, plutôt que de repartir de zéro.
Gouvernance de l'IA : de quoi parle-t-on concrètement ?
La gouvernance de l'IA en entreprise recouvre un ensemble de pratiques qui restent encore peu formalisées dans la majorité des organisations françaises. Elle suppose d'abord un inventaire des systèmes IA utilisés, développés ou sous-traités, ce que beaucoup appellent le registre IA, par analogie avec le registre des traitements RGPD. Sans cette cartographie, aucune gouvernance n'est possible.
Elle implique ensuite une classification par niveau de risque, en cohérence avec les critères de l'AI Act mais aussi avec les référentiels internes de gestion des risques. Tous les usages IA ne s'exposent pas aux mêmes enjeux : un chatbot d'assistance interne n'appelle pas le même niveau de contrôle qu'un système de scoring utilisé pour l'accès à un service.
La gouvernance IA suppose également de définir qui décide et qui est responsable : quel rôle pour le RSSI, pour le DPO, pour le risk manager, pour les directions métier ? Dans beaucoup d'entreprises, cette chaîne de responsabilité n'est pas encore établie, ce qui crée des zones grises dangereuses en cas d'incident.
Enfin, elle passe par des mécanismes de contrôle continus : revues régulières des performances des modèles, surveillance des dérives, tests de robustesse, procédures en cas d'anomalie. La gouvernance IA n'est pas un acte ponctuel : c'est un processus opérationnel qui s'inscrit dans la durée.
Intégrer l'IA dans la gestion des risques cyber : une nécessité opérationnelle
Pour le RSSI, l'IA en entreprise est à la fois un outil et un sujet de risque. Outil, parce que les solutions de détection des menaces, de réponse aux incidents ou d'analyse comportementale intègrent de plus en plus des capacités d'IA. Sujet de risque, parce que les systèmes IA déployés dans l'organisation élargissent la surface d'attaque et introduisent de nouvelles vulnérabilités.
L'intégration de l'IA dans la gestion des risques cyber implique plusieurs évolutions concrètes. La cartographie des risques doit désormais inclure les systèmes IA comme des actifs à part entière, avec leurs dépendances, leurs flux de données et leurs vecteurs d'exposition spécifiques. Les scénarios de risque (notamment dans le cadre d'une analyse EBIOS RM) doivent intégrer des sources de menace exploitant des vecteurs IA. Les plans de continuité doivent envisager des scénarios de défaillance ou de compromission de systèmes IA critiques.
Cette évolution n'est pas un chantier supplémentaire qui s'ajouterait à l'existant. Elle s'intègre dans les processus GRC déjà en place, à condition que ceux-ci soient suffisamment structurés et flexibles pour absorber de nouvelles catégories de risques.
Ce que NIS2 et DORA ajoutent à l'équation
L'IA en entreprise ne se pilote pas en dehors du contexte réglementaire plus large. Pour les organisations soumises à NIS2 ou au règlement DORA, l'IA introduit des dimensions supplémentaires à gérer.
NIS2 impose une gestion des risques robuste et documentée, y compris la chaîne d'approvisionnement. Les fournisseurs d'outils d'IA entrent dans ce périmètre : leur niveau de sécurité, leurs pratiques de développement, leur résilience opérationnelle doivent être évalués. Un outil IA tiers défaillant ou compromis peut constituer un vecteur de risque systémique pour l'entité qui l'utilise.
DORA, pour les entités financières, impose un cadre de gestion des risques liés aux technologies de l'information et de la communication qui s'applique de facto aux systèmes IA. Les tests de résilience, la gestion des incidents et le pilotage des prestataires tiers concernent les outils IA au même titre que les autres composants du système d'information.
Dans ce contexte réglementaire, les entreprises qui ont déjà structuré leur gouvernance des risques sont mieux positionnées pour absorber les exigences liées à l'IA, non pas parce qu'elles ont tout anticipé, mais parce qu'elles disposent d'une infrastructure de pilotage qui peut être étendue.
Comment piloter concrètement l'IA en entreprise : les priorités opérationnelles
Face à l'ampleur du sujet, les fonctions risques et conformité ont besoin de points d'entrée clairs. Voici les priorités qui permettent de structurer la démarche sans repartir de zéro.
Réaliser l'inventaire des usages IA. C'est le préalable à tout le reste. Sans savoir ce qui est déployé, il est impossible de piloter. Cet inventaire doit couvrir les outils IA intégrés dans les solutions métier, les outils IA utilisés directement par les collaborateurs (y compris les usages non sanctionnés), et les systèmes développés ou commandités en interne.
Classifier par niveau de risque. Tous les usages ne se traitent pas de la même façon. La classification doit s'appuyer sur les critères de l'AI Act mais aussi sur les référentiels internes (impact sur les processus critiques, exposition des données, autonomie de décision).
Intégrer l'IA aux processus GRC existants. Plutôt que de créer un silo IA, l'enjeu est d'étendre les processus de gestion des risques, d'audit de conformité et de pilotage des tiers pour y intégrer la dimension IA. C'est à la fois plus efficace et plus cohérent avec la logique réglementaire.
Définir une politique de sécurité des données IA. Quelles données peuvent être traitées par quels systèmes IA, dans quelles conditions ? Cette politique est le complément logique de la PSSI existante ; elle en précise les modalités d'application pour les cas d'usage de l'IA.
Former et sensibiliser. La gouvernance de l'IA ne peut pas reposer uniquement sur les fonctions des risques et de la conformité. Les directions métier, les équipes IT, les collaborateurs qui utilisent ces outils au quotidien doivent comprendre les enjeux et leurs implications.
Gouverner l'IA : une urgence qui ne concerne pas que les équipes techniques
L'IA en entreprise est une réalité opérationnelle qui ne se résume pas à une promesse de productivité. Pour les RSSI, les risk managers et les responsables de la conformité, elle représente un périmètre de risques nouveaux à cartographier, des obligations réglementaires à anticiper (notamment au titre de l'AI Act) et un défi de gouvernance à structurer rapidement.
Les organisations qui aborderont ce chantier avec la rigueur déjà appliquée à leur gestion des risques cyber et à leur conformité réglementaire auront un avantage décisif. Celles qui attendront de subir un incident ou une mise en demeure auront pris du retard sur un sujet que l'environnement réglementaire rend incontournable.
Vous souhaitez comprendre comment intégrer la gouvernance IA dans votre dispositif GRC existant ? Découvrez comment Egerie permet de piloter vos risques IA dans un cadre unifié en demandant une démo.
FAQ sur l’IA en entreprise
Qu'est-ce que l'IA en entreprise ?
L'IA en entreprise désigne l'ensemble des systèmes d'intelligence artificielle déployés au sein d'une organisation : outils métier intégrant de l'IA, assistants génératifs utilisés par les collaborateurs, ou systèmes développés en interne pour des usages spécifiques comme la détection de fraude ou le scoring client. Selon l'INSEE, 10 % des entreprises françaises de 10 salariés ou plus utilisaient une technologie d'IA en 2024, un chiffre qui atteint 33 % parmi les grandes entreprises.
Quels sont les principaux risques de l'IA en entreprise ?
Les risques sont de plusieurs natures : la confidentialité et la qualité des données traitées, les biais algorithmiques pouvant conduire à des décisions erronées ou discriminatoires, les vecteurs d'attaque spécifiques à l'IA (prompt injection, empoisonnement de modèles), et les risques de dépendance lorsque des processus critiques reposent sur des systèmes tiers non maîtrisés.
Quelles sont les obligations réglementaires liées à l'IA en entreprise ?
Le cadre principal est l'AI Act européen, qui impose des obligations en fonction du niveau de risque des systèmes : évaluation de la conformité, documentation technique et supervision humaine pour les systèmes à haut risque. S'y ajoutent le RGPD pour les données personnelles, et des réglementations sectorielles comme NIS2 ou DORA, qui peuvent se cumuler selon le secteur d'activité.
Comment gouverner l'IA en entreprise concrètement ?
La démarche repose sur trois étapes clés : inventorier les systèmes IA utilisés ou sous-traités, les classifier par niveau de risque en cohérence avec l'AI Act, puis les intégrer dans les processus GRC existants plutôt que de créer un silo séparé. Une politique de sécurité des données IA, complémentaire de la PSSI, permet ensuite de formaliser les règles d'usage.
Quel est le rôle du RSSI face à l'IA en entreprise ?
Le RSSI est concerné à double titre : comme utilisateur d'outils IA pour la détection des menaces, et comme responsable d'un nouveau périmètre de risques. Concrètement, cela implique d'intégrer les systèmes IA dans la cartographie des risques, de faire évoluer les scénarios de menace et de s'assurer que les plans de continuité couvrent les défaillances potentielles de ces systèmes.
