À l’occasion des dernières Rencontres de la sécurité, organisées par Thales Cyber Solutions à Mondorf-les-Bains, experts et professionnels se sont notamment réunis autour d’un thème d’actualité : « Favoriser l’adoption des projets d’intelligence artificielle : compétences, gouvernance et sécurité».

Si l’adoption de l’IA, et notamment de l’IA générative, s’accélère, elle soulève des questions fondamentales en matière de gouvernance, de maîtrise des risques et de sécurité. Retour sur les grands enseignements de cette conférence.

De la phase d’expérimentation au déploiement opérationnel

L’irruption de l’intelligence artificielle générative dans les environnements professionnels a profondément modifié le rythme d’adoption de ces technologies. Ce qui relevait encore récemment de l’expérimentation est désormais testé à grande échelle, voire intégré dans des processus métiers.

Cette évolution est soutenue par les perspectives d’efficience et de transformation aujourd’hui offertes par l’IA. Il est toutefois essentiel de ne pas négliger les enjeux liés à l’adoption de la technologie, comme en témoignent quelques indicateurs partagés par les équipes de Thales Cyber Solutions.

• Au Luxembourg, 60 % des acteurs financiers disposant d’un accès à des outils d’IA générative n’ont pas encore défini de politique dédiée, laissant place à des usages non encadrés.
• En France, 80 % des CISO constatent l’existence de Shadow AI, c’est-à-dire une utilisation d’outils d’IA sans gouvernance ou validation par l’IT ou la direction.
• À l’échelle mondiale, plus d’une organisation sur deux (54 %) a déjà été confrontée à des incidents de sécurité liés à une mauvaise utilisation de l’IA.

IA et sécurité : des défis étroitement liés à la donnée

Les principaux freins à l’adoption de l’IA dans les organisations concernent la qualité des données, la protection des données sensibles et la gouvernance de l’information. En effet, une IA, aussi puissante soit-elle, ne peut fonctionner efficacement qu’à partir de données fiables, disponibles et bien maîtrisées.

Sans un socle solide, les risques se multiplient. On peut notamment évoquer des biais dans les résultats ou recommandations fournies par l’IA ou encore l’utilisation non conforme de données personnelles ou réglementées. On peut aussi citer les risques de fuites d’informations sensibles lors d’échanges avec des outils en ligne ou encore liés à des prises de décisions automatiques non traçables ou non explicables.

La sécurisation des systèmes IA ne se résume donc pas à la seule défense contre les cyberattaques : elle doit englober l’ensemble du cycle de vie de la donnée, de sa collecte à son utilisation algorithmique.

Des défis à dépasser

Lors de la conférence, plusieurs « problématiques » ont été identifiées comme obstacles récurrents au succès des projets d’IA :

• L’absence de gouvernance claire de l’IA, avec des rôles et responsabilités mal définis.
• Le manque de compréhension des risques spécifiques à l’IA, notamment en matière de biais, d’explicabilité ou de dérives.
• La faiblesse de la qualité et de la gouvernance des données, avec des référentiels non harmonisés et des accès non sécurisés.
• La fragmentation des capacités de sécurité, avec des outils inadaptés ou mal intégrés aux nouvelles menaces générées par les modèles IA.

Gouvernance, sensibilisation, sécurité : les trois piliers d’un déploiement réussi

Pour dépasser ces obstacles, les intervenants ont souligné l’importance d’une approche holistique articulée autour de trois piliers :

1. Former et sensibiliser l’ensemble des collaborateurs

L’adoption de l’IA ne peut reposer uniquement sur les équipes techniques. Il est essentiel que l’ensemble des parties prenantes – métiers, juridiques, IT, sécurité – comprennent les capacités, les limites et les risques des systèmes IA. La formation joue un rôle clé pour éviter les mésusages, encourager les bons réflexes et favoriser une culture responsable de l’innovation. À cet égard, les initiatives se multiplient, comme l’a rappelé le Digital Learning Hub, à l’entame de cette conférence, avec l’annonce de la création d’une Academy IA, à Luxembourg, dès la rentrée prochaine.

2. Mettre en place une gouvernance adaptée et continue

La gouvernance de l’IA implique de fixer un cadre clair : quels cas d’usage sont autorisés, quelles règles de qualité s’appliquent, qui valide les modèles ou les jeux de données ? Elle doit également permettre une évaluation continue des risques, un contrôle des outputs générés et une capacité à justifier les décisions prises par ou avec l’IA.

3. Déployer des mesures de sécurité spécifiques à l’IA

L’IA introduit de nouveaux vecteurs de menace, qu’il s’agisse d’attaques sur les données d’apprentissage, de tentatives de prompt injection ou d’exfiltration via des modèles. Il est donc nécessaire d’appliquer des contrôles spécifiques, comme :

• La validation des inputs pour éviter les abus,
• Le watermarking des modèles pour assurer leur traçabilité,
• La supervision continue des comportements pour détecter les anomalies,
• Le renforcement des environnements d’exécution.

Implémenter l’IA de manière sécurisée : une approche par étapes

Enfin, la conférence a mis en lumière les différentes étapes clés d’une mise en œuvre sécurisée de l’IA, parmi lesquelles :

• L’identification des cas d’usage métiers pertinents, en lien avec les objectifs stratégiques de l’organisation.
• La préparation, la sécurisation et la gouvernance en amont du développement et du déploiement en interne
• Le développement de services IA robustes, s’appuyant sur une architecture maîtrisée.
• L’évaluation continue des vulnérabilités et le « testing » des modèles via des méthodes de red teaming ou d’analyse de robustesse.
• La mise en œuvre d’un suivi en continu, tant sur le plan de la performance que de la sécurité et de capacités de détection des éventuelles menaces pouvant cibler l’IA.

Pour accompagner les organisations dans cette démarche d’intégration de l’IA dans leurs infrastructures, Thales, combine l’expertise de ses équipes cyber avec celle de CortAIX, une entité interne dédiée à l’intelligence artificielle, qui regroupe plus de 600 experts IA. Cette approche intégrée repose sur une méthodologie rigoureuse par étapes, permettant aux organisations de développer des services IA fiables, résilients et alignés avec leurs objectifs stratégiques, tout en assurant une protection active contre les risques émergents.

L’adoption de l’IA est une formidable opportunité pour les organisations, à condition d’être menée avec rigueur et responsabilité. Les enseignements de cette conférence confirment l’importance d’un triptyque fondamental – compétences, gouvernance, sécurité – pour faire de l’IA un levier durable d’innovation.