Lorsque les DSI sont mis sur la sellette à cause d’une IA qu’ils ne peuvent pas contrôler entièrement

Les DSI et les directeurs techniques sont tenus pour responsables des systèmes d’IA qui échappent à leur contrôle direct

Les responsables technologiques entrent dans une nouvelle phase où la responsabilité ne correspond plus au contrôle. Les DSI et les directeurs techniques sont de plus en plus tenus de rendre des comptes concernant les systèmes d’IA exploités au sein de leur organisation, même lorsque ces systèmes sont développés, déployés ou gérés en dehors du périmètre de supervision informatique traditionnel. L’IA est désormais intégrée aux outils SaaS, aux services cloud et aux plateformes départementales, des domaines qui relèvent souvent de l’innovation pilotée par les métiers plutôt que d’une gouvernance centralisée. Il en résulte un décalage croissant : la responsabilité en matière de sécurité, de conformité et de résultats incombe toujours à la direction informatique, mais le contrôle opérationnel direct ne lui revient souvent pas.

Cette tension devient un enjeu de gouvernance. Selon une enquête menée par l’IBM Institute for Business Value auprès de 2 000 responsables technologiques, les deux tiers des DSI et des directeurs techniques sont tenus pour responsables de systèmes d’IA qu’ils ne peuvent pas contrôler entièrement. 77 % d’entre eux ont déclaré que l’adoption de l’IA progressait plus rapidement que ne le permettent leurs structures de gouvernance. Ce déséquilibre est une question d’alignement. Les organisations ont laissé la vitesse de déploiement dépasser leur capacité à surveiller et à normaliser les systèmes sur lesquels elles s’appuient.

Pour les dirigeants, cela signifie qu’il est temps de redéfinir la manière dont la gouvernance s’adapte à l’échelle. Les cadres de responsabilité doivent évoluer afin d’offrir une véritable visibilité dans les environnements décentralisés. Les responsables technologiques devront investir dans la transparence des données, dans des mécanismes de politiques unifiés et dans une meilleure coordination entre les fonctions informatiques et métier. Sans cela, le risque est de voir se creuser un angle mort croissant dans les opérations d’IA, qui pourrait rapidement s’étendre à mesure que de nouveaux systèmes sont mis en service.

Deepika Giri, vice-présidente adjointe chargée du Big Data et responsable de la recherche en IA chez IDC Asie-Pacifique, a bien résumé le problème : les capacités de l’IA se développent à la périphérie des organisations, tandis que la responsabilité reste centralisée. Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a ajouté que « le contrôle devient partagé dès lors que l’IA touche plusieurs plateformes à la fois. La responsabilité, elle, ne suit pas ce mouvement. » Ces deux observations décrivent parfaitement la situation : l’IA se développe plus rapidement que ne peuvent le suivre les cadres de contrôle, et les dirigeants doivent désormais combler cet écart grâce à une gouvernance plus intelligente.

L’expansion rapide de l’IA, impulsée par les PDG, devance les cadres traditionnels de gouvernance informatique

On observe une forte pression de la part de la direction pour accélérer l’adoption de l’IA. Selon une étude d’IBM, 80 % des responsables technologiques interrogés ont indiqué que leur PDG leur avait donné pour consigne d’accélérer la transformation vers l’IA. Il est clair que la direction souhaite une intégration plus rapide dans toutes les fonctions de l’entreprise. Pourtant, seuls 11 % des personnes interrogées ont déclaré que leur organisation était pleinement préparée à la croissance du déploiement de l’IA. Le problème ne réside pas dans un manque d’engagement ; il tient au fait que le modèle traditionnel de gouvernance informatique n’est tout simplement pas en mesure de suivre le rythme.

La plupart des cadres de gouvernance d’entreprise ont été conçus autour de déploiements logiciels prévisibles et de cycles de gestion des risques statiques. L’IA ne fonctionne pas ainsi. Ces systèmes évoluent en permanence, apprennent à partir des données et prennent des décisions complexes en temps réel. Matt Lyteson, directeur des systèmes d’information chez IBM, l’a expliqué de manière concise : « Le défi consiste désormais à faire évoluer à grande échelle des systèmes d’IA qui fonctionnent en continu et de manière autonome au sein d’architectures conçues pour un environnement bien plus lent. » Telle est la réalité à laquelle sont confrontés de nombreux directeurs des systèmes d’information, qui tentent de gérer des systèmes évoluant plus rapidement que ne le permet leur capacité de supervision.

Pour les dirigeants de haut niveau, le moment est venu de repenser la gouvernance en tant que capacité opérationnelle essentielle. L’objectif doit être l’agilité et la transparence. La gouvernance doit permettre un déploiement rapide de l’IA tout en garantissant une responsabilité, une traçabilité et une sécurité claires. Cela implique d’intégrer des outils de surveillance, de mettre en place des protocoles de réponse rapide aux incidents et de constituer des équipes de gouvernance interfonctionnelles qui font le lien entre la stratégie d’entreprise et la gestion des risques informatiques.

Le rythme du changement s’accélère. Les entreprises qui parviennent à adapter leurs cadres de gouvernance à cette cadence seront en mesure de maintenir le cap en toute sécurité. Celles qui n’y parviennent pas risquent de perdre à la fois le contrôle opérationnel et la confiance de leurs clients et des autorités de régulation. Il est temps que les décideurs veillent à ce que la gouvernance évolue au même rythme que l’innovation.

L’« IA fantôme » accentue le fossé entre la responsabilité et le contrôle, ce qui accroît les risques pour l’organisation

L’« IA fantôme » connaît une expansion rapide au sein des entreprises. Ce terme désigne l’utilisation d’outils et de systèmes d’IA, souvent intégrés à des applications SaaS, des API ou des plateformes tierces, sans supervision informatique centralisée. Ces déploiements permettent de gagner en rapidité, mais introduisent également des risques non maîtrisés. Le défi ne se limite plus à la sécurité ; il réside désormais dans l’introduction d’une prise de décision autonome que le service informatique ne surveille ni ne régit. Lorsque les services déploient ces outils de manière indépendante, ils créent des systèmes fragmentés qui peuvent ne pas respecter des normes cohérentes en matière de qualité, de protection des données et de respect des principes éthiques.

Cette décentralisation engendre des risques sur plusieurs plans : l’intégrité des données, le respect de la conformité, la gestion des coûts et la sécurité opérationnelle. Une fois que l’IA est intégrée en dehors du contrôle informatique traditionnel, la responsabilité incombe toujours au directeur des systèmes d’information (DSI), même si la visibilité peut être limitée. Il en résulte un fossé croissant en matière de responsabilité. L’IA « fantôme » transforme la gouvernance en une pratique réactive plutôt qu’en une démarche planifiée, obligeant les entreprises à se démener pour identifier ce qui est déployé, comment cela fonctionne et à quoi cela se connecte.

Les dirigeants doivent prendre cette évolution au sérieux. Pour combler ce fossé, les organisations doivent investir dans des structures de gouvernance permettant de détecter, de répertorier et de surveiller toutes les utilisations de l’IA, qu’elles soient formelles ou informelles. La visibilité est ce qui importe le plus. L’innovation axée sur les besoins de l’entreprise peut et doit se poursuivre, mais chaque cas d’utilisation de l’IA doit être traçable et conforme aux directives en matière de risques et d’éthique applicables à l’ensemble de l’entreprise.

Charlie Dai, analyste principal chez Forrester, a averti que les risques liés à l’IA fantôme dépassaient le cadre des préoccupations informatiques traditionnelles. Il a mis en avant les vulnérabilités au niveau de la couche des agents d’IA, notamment les coûts incontrôlés, les risques réglementaires et les faiblesses engendrées par les intégrations tierces. Deepika Giri, d’IDC Asie-Pacifique, a ajouté que l’IA « fantôme » marque le passage d’un « logiciel non géré » à un « jugement non géré ». Il s’agit là d’une distinction cruciale. Cela signifie que les décisions prises par des systèmes échappant aux structures de gouvernance peuvent avoir des répercussions sur la stratégie, le chiffre d’affaires et la conformité d’une manière que la direction pourrait ne pas détecter immédiatement.

Les agents d’IA posent de nouveaux défis en matière d’exploitation et de sécurité qui dépassent les capacités des méthodes de gouvernance manuelles

Les agents d’IA occupent désormais une place centrale dans les opérations des entreprises. Il ne s’agit pas de systèmes passifs : ils prennent des décisions autonomes en plusieurs étapes, exécutent des tâches et interagissent entre différentes plateformes avec un contrôle humain limité. À mesure que le nombre d’agents d’IA augmente, la fréquence et l’impact des incidents opérationnels s’accroissent également. Les cadres de gouvernance manuels, conçus pour des systèmes informatiques statiques ou prévisibles, ne permettent pas de gérer ces processus d’IA continus et en constante évolution.

Les données d’IBM illustrent l’ampleur de cette réalité. D’ici 2027, les entreprises prévoient de déployer en moyenne 1 661 agents d’IA chacune, soit une augmentation de 38 % par rapport aux niveaux actuels. Au cours de la seule année écoulée, les organisations ont signalé en moyenne 54 incidents liés à des agents d’IA nécessitant une intervention humaine. Parmi ceux-ci, 17 % ont été classés comme présentant un niveau de gravité élevé, 37 % ont entraîné une exposition des données ou des failles de sécurité, 33 % ont provoqué des pannes en cascade du système et 17 % ont entraîné des problèmes de conformité. Ces chiffres soulignent la difficulté de gérer une prise de décision par IA en temps réel et hautement distribuée dans le cadre de modèles de gouvernance obsolètes.

La priorité est désormais l’automatisation de la gouvernance elle-même. Les mécanismes de contrôle traditionnels, qui reposent sur des vérifications manuelles ou des audits programmés, ne permettent pas de gérer des milliers d’interactions en temps réel entre les agents. Les entreprises doivent mettre en place des systèmes intégrant une surveillance continue, des contrôles de conformité intégrés et un reporting automatisé. Cela permet de détecter rapidement les anomalies et d’éviter les perturbations pouvant déboucher sur une crise.

Pour les dirigeants d’entreprise, cette évolution nécessite de repenser la gouvernance : il ne s’agit plus d’un simple contrôle statique des responsabilités, mais d’une fonction opérationnelle continue. L’évolution vers une supervision intelligente et adaptative doit être à la hauteur de la sophistication même de l’IA. L’avantage à long terme reviendra aux entreprises capables de maintenir la stabilité opérationnelle tout en développant à grande échelle des systèmes autonomes. Il s’agit d’instaurer la confiance dans la précision, la fiabilité et la responsabilité des opérations pilotées par l’IA.

La gouvernance de l’IA doit évoluer pour devenir une capacité opérationnelle intégrée, plutôt qu’un processus d’examen périodique

Les modèles de gouvernance traditionnels ne suffisent plus aux entreprises axées sur l’IA. L’ancienne approche, qui repose sur des examens périodiques, des contrôles de conformité statiques et des audits a posteriori, ne permet pas de suivre le rythme ni la complexité des systèmes autonomes désormais intégrés dans l’ensemble des opérations de l’entreprise. À mesure que l’IA s’intègre de plus en plus au processus décisionnel, la gouvernance doit fonctionner en continu, en s’adaptant en temps réel à la manière dont ces systèmes apprennent, s’adaptent et interagissent au sein de l’entreprise.

La gouvernance opérationnelle consiste à intégrer le suivi, l’application des politiques et la responsabilité directement au sein des systèmes eux-mêmes. Au lieu de vérifier la conformité après le déploiement, les plateformes d’IA doivent intégrer des capacités de surveillance qui mettent en évidence les données de performance et de risque au fur et à mesure de leur fonctionnement. Cette transformation fait passer la gouvernance d’une obligation procédurale à une couche opérationnelle continue qui garantit la sécurité, l’utilisation éthique et l’alignement sur la stratégie d’entreprise. Elle est proactive, évolutive et mesurable.

Rajesh Ranjan, associé gérant chez Everest Group, a clairement résumé cette évolution : la gouvernance ne peut plus se limiter à un simple exercice d’examen périodique, elle doit devenir une capacité opérationnelle. Charlie Dai, analyste principal chez Forrester, a souligné que la mise en place d’une observabilité centralisée, de contrôles par des politiques et d’une décentralisation régie constituait des étapes essentielles. Ces mesures contribuent à maintenir la cohérence tout en offrant aux différents services ou unités opérationnelles la flexibilité nécessaire pour utiliser l’IA de manière responsable dans des limites bien définies.

Pour les dirigeants, cette évolution nécessite un changement structurel. La gouvernance ne peut plus se limiter à une fonction de contrôle externe ; elle doit être intégrée à tous les niveaux des opérations, de la gestion des données au déploiement des modèles et à la maintenance des systèmes. Elle doit également associer des contrôles techniques à des systèmes de responsabilité humaine, garantissant que chaque résultat généré par l’IA puisse être retracé et expliqué. L’objectif est de trouver un équilibre entre autonomie et contrôle, en laissant à l’IA la latitude nécessaire pour fonctionner tout en garantissant une transparence rigoureuse.

Les dirigeants qui mettront en œuvre ce modèle de gouvernance continue y gagneront bien plus que la simple conformité réglementaire. Ils bénéficieront d’une plus grande clarté opérationnelle, d’une résolution plus rapide des problèmes et d’une confiance renforcée de la part des parties prenantes. À mesure que l’IA se généralise au sein de l’entreprise, la gouvernance intégrée devient non seulement un garde-fou, mais aussi un levier essentiel d’une croissance durable et responsable.

Principaux faits marquants

• La responsabilité en matière d’IA prend le pas sur le contrôle : les DSI et les directeurs techniques sont tenus pour responsables de systèmes d’IA qu’ils ne supervisent pas entièrement. Les dirigeants devraient renforcer la gouvernance transversale et la transparence afin de combler ce fossé croissant en matière de responsabilité.
• L’accélération impulsée par les PDG accentue les tensions en matière de gouvernance : l’adoption rapide et imposée par la hiérarchie de l’IA met à rude épreuve les modèles de contrôle obsolètes. Les dirigeants doivent moderniser les cadres de gouvernance afin de les adapter à la nature continue et autonome de l’IA.
• L’IA « fantôme » accroît l’exposition aux risques non maîtrisés : les divisions qui déploient des outils d’IA non surveillés créent des angles morts en matière de conformité, de coûts et de sécurité. La direction doit investir dans une visibilité complète du système et une gouvernance unifiée afin de gérer l’innovation décentralisée de manière responsable.
• Les agents d’IA nécessitent une gouvernance automatisée : comme ces agents prennent des décisions de manière autonome et à un rythme soutenu, une supervision manuelle n’est plus envisageable. Les dirigeants doivent mettre en place un suivi automatisé et une réponse aux incidents en temps réel afin de maintenir le contrôle à grande échelle.
• La gouvernance doit devenir un processus continu et intégré : les examens périodiques ne suffisent pas à suivre le rythme des systèmes d’auto-apprentissage. Les dirigeants doivent intégrer la gouvernance continue directement dans les opérations afin de garantir la responsabilité, la traçabilité et une mise à l’échelle durable de l’IA.