Gartner est direct sur la trajectoire. D'ici fin 2026, 75 % des organisations qui mènent des initiatives d'IA générative vont réorienter leurs efforts de sécurité,en transférant leurs dépenses de la sécurité des données structurées vers la sécurité des données non structurées.
Ce n'est pas une prédiction. C'est un avertissement.
On le voit sur le terrain. Que ce soit une municipalité, une clinique de santé ou une entreprise manufacturière, le motif se répète. Les équipes découvrent constamment de nouveaux outils LLM utilisés par leurs employés. Les TI en bloquent un dans le firewall. Un autre apparaît deux semaines plus tard. C'est un jeu de tape-taupe, et c'est partout.
Et voici ce qui aggrave la situation. Selon le rapport Verizon Data Breach Investigations 2025, près de 50 % des fuites de données viennent d'employés qui envoient de l'information sensible au mauvais destinataire, pas d'attaquants externes. Imaginez maintenant ça à travers des outils que vos équipes TI ne savent même pas sont utilisés.
Pourquoi ça arrive : La vitesse d'adoption a dépassé votre gouvernance
Voici le vrai problème. Votre cadre de gouvernance a été pensé pour un autre monde. Déploiements TI ? Trimestriels. Approbations du conseil ? Plusieurs mois. Cycles d'achat ? Annuels.
L'IA ne joue pas selon ces règles.
Un employé s'inscrit à ChatGPT en cinq minutes. Il partage l'accès avec son équipe en moins d'une heure. Le temps que votre processus d'approbation soit mis à jour, l'outil est déjà intégré au flux de travail et les données circulent.
Votre cadre n'a pas été conçu pour cette vitesse. Et la vitesse continue de s'accélérer.
Ce que ça veut dire : On ne contrôle pas ce qu'on ne voit pas
Voici la prise de conscience qu'il faut avoir. Vous ne pouvez pas écrire de politique pour des outils que vous ne savez pas qu'ils existent. Vous ne pouvez pas protéger des données qui circulent dans des systèmes que vous ne surveillez pas. Vous ne pouvez pas auditer ce qui est invisible.
Arrêtez de vouloir bannir l'IA. Cette bataille est déjà perdue. La vraie bataille, c'est la visibilité.
La conséquence : Ce n'est plus seulement un enjeu TI
Et c'est ici que ça devient concret. Quand ça va casser, et ça va casser, la pression ne viendra pas de votre équipe TI. Elle viendra du :
- Département juridique. Où sont vos contrôles ? Quelles données sont allées où ?
- La conformité. A-t-on enfreint des règlements ? Quelle est notre exposition ?
- Des finances. Combien coûte une fuite ? Quelle est notre responsabilité ?
- Du conseil. Comment c'est arrivé sous votre garde ?
Quand un régulateur demande où étaient vos garde-fous, dire « on ne savait pas que les employés utilisaient ça » n'est pas une défense. C'est de la négligence.
Ce que ça veut dire pour votre rôle
Si vous êtes CIO,vous voyez le risque opérationnel. Comment gouverner quelque chose qui va plus vite que vos processus ?
Si vous êtes CISO,vous voyez l'exposition à la conformité. La responsabilité est réelle.
Si vous êtes responsable TI,vous voyez la pression sur vos ressources. Vous êtes déjà étiré, et voilà une autre couche invisible à gérer.
Même problème. Pressions différentes.
Par où commencer : Trois questions à poser à votre équipe
Avant de pouvoir corriger la visibilité, il faut savoir avec quoi on travaille. Posez les questions à votre équipe :
1. Quels outils d'IA utilise-t-on vraiment, en ce moment ? Pas ce que vous avez approuvé. Ce qui est vraiment utilisé. Intégrations Slack ? Extensions de navigateur ? Applications autonomes ? Si vous ne pouvez pas répondre avec confiance, vous avez un angle mort.
2. Quelles données alimentent ces outils ? Données clients ? Votre propre code ? Stratégies internes ? Soyez précis. Ça vous donne la vraie surface de risque.
3. Quels outils ont accès à vos systèmes ou à vos données ? Certains outils d'IA se connectent à votre Microsoft 365, Google Workspace ou CRM. Ils ont des permissions que vous avez probablement oubliées. Trouvez-les.
Ces trois questions ne règlent pas le problème. Mais elles vous diront si vous en avez un, et de quelle ampleur.
Sources :
- Gartner. (2024). Security Leaders’ Guide to Data Security in the Age of GenAI.
- Verizon. (2025). 2025 Data Breach Investigations Report.
