Comment l’IA transforme les priorités en cybersécurité

La sécurisation des projets d’IA exige la même rigueur que celle des autres actifs informatiques critiques

L’intelligence artificielle est puissante, cela ne fait aucun doute. Mais si vous déployez l’IA sans penser profondément à la sécurité dès le premier jour, vous faites fausse route. La plupart des entreprises se hâtent d’intégrer l’IA dans leurs opérations, leurs produits et leurs flux de travail, mais la vitesse sans garde-fou est synonyme de risque.

Les systèmes d’IA ne se comportent pas comme des logiciels traditionnels. Une fois formés, ils peuvent s’adapter et, dans un environnement réel, ils peuvent faire l’objet d’attaques que les systèmes existants ne sont pas conçus pour gérer. Pensez au vol de modèles, à la manipulation des comportements appris et à l’empoisonnement des données, où les attaquants corrompent vos données d’entraînement pour pousser l’IA vers de fausses conclusions. Si vous ne surveillez pas en permanence ces systèmes et ne sécurisez pas l’ensemble du pipeline, depuis les données brutes jusqu’au modèle déployé, vous laissez la porte grande ouverte.

Mick McCluney, directeur technique de Trend Micro pour la zone ANZ, a bien résumé la situation : Les systèmes d’IA exigent la même discipline et le même contrôle que n’importe quel actif numérique prioritaire. Cela signifie qu’il faut verrouiller l’accès aux ensembles de données sensibles, appliquer un contrôle basé sur les rôles sur les modèles et s’assurer que les données qui entrent dans votre IA restent propres et dignes de confiance. Il s’agit également d’aligner la gouvernance sur les réglementations émergentes. Le paysage juridique évolue rapidement et si votre IA n’est pas explicable ou responsable, cela pourrait se retourner contre vous.

La sécurité est ce qui garantit que l’innovation ne crée pas de nouveaux problèmes. Lorsque vous
intégrez la cybersécurité dans vos projets d’IA
dès la première ligne de code, vous obtenez un système plus robuste et plus résistant. Et surtout, vous instaurez la confiance avec les clients, les régulateurs et les parties prenantes internes.

Les dirigeants doivent se poser une question fondamentale : si l’IA devient une capacité critique, la traitons-nous de la même manière du point de vue du risque opérationnel ? La sécurité doit être intégrée, automatisée, continue et mesurable. Sinon, vous augmentez les risques à chaque nouvelle fonction d’IA que vous déployez.

L’IA peut élargir les possibilités de votre entreprise. Mais si la sécurité n’est pas intégrée au processus, vous résoudrez des problèmes d’un côté et en créerez de plus grands de l’autre.

Les identités non humaines dominent désormais les environnements informatiques, ce qui crée des lacunes en matière de gouvernance et de sécurité.

À l’heure actuelle, la plupart des entreprises gèrent des écosystèmes numériques comportant plus d’identités de machines que d’identités humaines. Ce changement n’est pas mineur, il est structurel. Les comptes de service, les API, les bots, les agents d’IA autonomes, ceux-ci fonctionnent 24 heures sur 24 et 7 jours sur 7 à travers les plateformes cloud et hybrides. Ils s’authentifient comme les humains, prennent des décisions, extraient des données, déclenchent des actions et, dans la plupart des cas, le font plus rapidement et à plus grande échelle que n’importe quel humain.

Selon Paul Walker, Field Strategist chez Omada, le rapport entre les identités non humaines et les identités humaines dans les environnements d’entreprise est aujourd’hui d’environ 82:1. Il ne s’agit pas seulement d’une question d’échelle, mais aussi d’un défi pour la définition, la gestion et la sécurisation de l’identité. Ces acteurs numériques sont générés rapidement, souvent automatiquement, et ils ne suivent pas les cycles de vie opérationnels habituels. Ils ne passent pas par un processus d’intégration. Aucun système de ressources humaines ne les suit. Ils sont rarement mis hors service, à moins que quelqu’un ne les supprime activement, ce qui n’arrive souvent pas.

La pile technologique utilisée par la plupart des entreprises, en particulier les anciens systèmes de gestion des identités et des accès (IAM), n’a jamais été conçue pour ce type d’environnement. Ces outils ont été conçus pour des structures d’identité prévisibles et centrées sur l’homme. Ils ne sont pas équipés pour surveiller, gouverner ou auditer des identités numériques autonomes qui se multiplient rapidement. Cela crée des angles morts et élargit la surface d’attaque.

Pour les dirigeants, il ne s’agit pas seulement d’un problème pour les équipes informatiques. Il a un impact direct sur votre capacité à contrôler les risques internes, à garantir l’intégrité des données et à respecter des réglementations telles que la directive NIS2 ou la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA). Les attaquants savent que les identités des machines sont souvent négligées. Si ces identités se connectent à des systèmes de grande valeur ou détiennent des privilèges d’accès élevés, le risque se multiplie.

Sécuriser l’organisation signifie comprendre tout le monde, et tout ce qui touche à vos données. Cela inclut les bots, les conteneurs, les flux de travail automatisés et les modèles d’IA. Les cadres de gouvernance doivent tenir compte de ces identités en temps réel. Vous devez mettre en place des contrôles du cycle de vie, de préférence automatisés, qui suivent la création, l’accès, le comportement et la suppression de toutes les entités machines.

Les cadres réglementaires actuels intensifient les exigences de cybersécurité pour l’IA et les identités des machines.

Les gouvernements interviennent rapidement. Les cadres tels que la loi européenne sur la résilience opérationnelle numérique (DORA) et la directive NIS2 ne sont pas de vagues suggestions. Il s’agit d’obligations légales assorties d’attentes précises. Si votre entreprise exploite une infrastructure numérique, et en particulier si elle utilise l’IA ou des systèmes automatisés, ces réglementations s’appliquent à vous. Et si vos systèmes interagissent avec des données ou des services européens, vous êtes déjà dans le champ d’application, que vous vous y soyez préparé ou non.

Ces mandats exigent une responsabilité claire, non seulement pour les utilisateurs humains, mais aussi pour chaque identité ayant accès à des systèmes et des données clés. Cela inclut les identités des machines, les API, les robots, les agents d’intelligence artificielle, tous les acteurs numériques qui déplacent ou traitent des informations. La charge de la preuve se déplace. Les dirigeants doivent être en mesure de montrer comment ces identités sont créées, gouvernées et auditées. Si vous ne pouvez pas démontrer ce contrôle, les régulateurs considéreront qu’il s’agit d’une défaillance en matière de conformité.

Cette situation pousse les entreprises à réévaluer leurs stratégies de gestion des risques. La question clé que les décideurs doivent se poser est la suivante : gérons-nous les risques en fonction de la manière dont nos systèmes fonctionnent réellement aujourd’hui ? Les systèmes d’IA et l’automatisation modifient la manière dont les données circulent, dont les systèmes se comportent et dont les menaces peuvent évoluer. Les structures de gouvernance traditionnelles ignorent souvent cette complexité. Ce n’est plus acceptable.

Le fossé entre l’innovation et la réglementation se comble. Les équipes chargées de la conformité et de la sécurité doivent avoir accès aux mêmes informations. La visibilité, la traçabilité et la responsabilité doivent être intégrées à chaque identité, humaine ou non. Lorsque ces éléments font défaut, vous ne risquez pas seulement une violation. Vous risquez des perturbations opérationnelles, une atteinte à votre réputation et des sanctions réglementaires.

Il ne s’agit pas de ralentir l’adoption de l’IA. Il s’agit de contrôler l’environnement dans lequel vous la construisez. La technologie est déjà en marche. La conformité est désormais la référence, et le leadership en matière de sécurité doit être totalement aligné sur le contexte réglementaire. C’est ainsi que vous ferez avancer vos systèmes sans créer de frictions en aval.

La gouvernance des identités doit évoluer au-delà des utilisateurs humains

L’idée que la gestion des identités ne concerne que les personnes est dépassée. Aujourd’hui, les écosystèmes numériques sont gérés à la fois par des humains et des entités non humaines, des bots, des API, des charges de travail conteneurisées, des agents d’intelligence artificielle. Ces entités s’authentifient dans les systèmes, exécutent des processus, accèdent à des données et prennent des décisions. Si votre modèle de gouvernance ne suit que les identités humaines, vous ne voyez qu’une fraction de ce qui se passe dans votre environnement.

Paul Walker, Field Strategist chez Omada, a souligné que ce changement n’est pas temporaire. Le volume et l’importance des identités des machines augmentent rapidement, et la façon dont les organisations les sécurisent et les gèrent doit s’adapter à cette évolution. Les systèmes traditionnels de gouvernance des identités n’ont pas été conçus pour cela. Ils s’appuient sur des schémas d’accès prévisibles, des processus manuels de cycle de vie et une surveillance humaine. Cette approche échoue lorsque vous avez affaire à des milliers, voire des millions, d’entités automatisées agissant en temps réel.

La visibilité est le premier pas en avant. Les dirigeants ont besoin de tableaux de bord opérationnels qui présentent tous les types d’identité, humaine et non humaine, avec des relations claires avec les systèmes et les données qu’ils touchent. Cela signifie qu’il faut intégrer l’identité dans l’architecture de sécurité au niveau de la conception, et non après coup. Vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir, et sans un cadre unifié, les environnements restent fragmentés et exposés.

Cette évolution modifie également notre conception de la responsabilité. Lorsque les systèmes pilotés par l’IA agissent de manière semi-autonome, ils ont besoin de journaux d’activité traçables, de contrôles du cycle de vie des informations d’identification et d’une gestion de l’accès basée sur des politiques qui s’adapte au comportement réel. Ces éléments sont essentiels pour réduire les risques, arrêter les mouvements latéraux à l’intérieur des réseaux et satisfaire aux normes de gouvernance interne et de conformité externe.

Pour les dirigeants, il s’agit d’une question stratégique. La sécurité, la conformité, la productivité, tous ces éléments partagent le même goulot d’étranglement si la gouvernance des identités n’est pas évolutive. L’accent doit désormais être mis sur la modernisation des systèmes IAM afin d’intégrer pleinement les identités des machines, d’automatiser les processus du cycle de vie et de combler le manque de visibilité entre les environnements.

C’est là que commence la résilience, en veillant à ce que toutes les identités soient connues, contrôlées et gérées. C’est ce qui permet d’instaurer la confiance au sein de l’entreprise, avec les clients et avec les autorités de réglementation. Et c’est ce qui jette les bases d’une croissance sûre dans un monde de plus en plus automatisé.

Principaux enseignements pour les décideurs

Traitez l’IA comme un actif essentiel de l’entreprise : les systèmes d’IA présentent de nouveaux risques, tels que le vol de modèles et l’empoisonnement des données, que les contrôles standard ne prennent pas en compte. Les dirigeants doivent appliquer à l’IA la même discipline de sécurité que celle qu’ils utilisent pour les autres infrastructures critiques.
Donner la priorité à la gouvernance des identités non humaines : Les identités des machines étant plus nombreuses que celles des humains dans un rapport de 82 à 1, les systèmes IAM obsolètes créent des angles morts. Les dirigeants doivent investir dans la gestion du cycle de vie et la surveillance des acteurs numériques tels que les bots, les API et les agents d’IA.
Alignez la cybersécurité sur la pression réglementaire : Des lois telles que DORA et NIS2 exigent la responsabilité de toutes les identités, et pas seulement des personnes. Les entreprises ont besoin de cadres de sécurité traçables et vérifiables qui répondent aux attentes actuelles en matière de conformité.
Moderniser la stratégie d’identité pour l’adapter à l’échelle du système : La gouvernance des identités doit s’étendre pour couvrir les agents autonomes et automatisés opérant dans les environnements cloud. Les dirigeants doivent favoriser le passage à des systèmes de contrôle des identités unifiés et évolutifs afin de réduire les risques et d’améliorer la résilience.

Alexander Procter

octobre 3, 2025

11 Min

Tags: Intelligence artificielle

Technologies et innovation
Quand la tech devient une affaire d’État
Nov 17, 2025

8 min
Technologies et innovation
Le SaaS peut-il garder sa place face à l’IA agentique
Nov 17, 2025

22 min
Technologies et innovation
Ce que le quantique change pour de bon
Nov 17, 2025

14 min

Comment l’IA transforme les priorités en cybersécurité

La sécurisation des projets d’IA exige la même rigueur que celle des autres actifs informatiques critiques

Les identités non humaines dominent désormais les environnements informatiques, ce qui crée des lacunes en matière de gouvernance et de sécurité.

Les cadres réglementaires actuels intensifient les exigences de cybersécurité pour l’IA et les identités des machines.

La gouvernance des identités doit évoluer au-delà des utilisateurs humains

Principaux enseignements pour les décideurs

Quand la tech devient une affaire d’État

Le SaaS peut-il garder sa place face à l’IA agentique

Ce que le quantique change pour de bon

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !