Services de sécurité managés : le RSSI n’est pas seul responsable
Benedikt Langer
8 Min. de lecture Dans de nombreuses entreprises, le CISO est perçu comme le responsable de la sécurité. ...
Lire l'article
6 min. Temps de lecture
Près de trois organisations sur quatre autorisent les agents d’intelligence artificielle autonomes à accéder à leurs données et à leurs processus. Pourtant, seulement une sur cinq dispose d’un plan d’urgence testé pour le moment où un agent se trompe. Cette lacune n’est pas une question technique : c’est une question de leadership. Ceux qui scalent sans déterminer clairement qui est responsable des résultats ne rencontrent pas un problème lié à l’IA, mais un vide de gouvernance.
Les points clés en bref
- 74 % des organisations scalent des agents, tandis que 20 % sont préparés. La plupart des entreprises donnent accès à l’IA autonome sans avoir de plan d’urgence testé.
- Personne n’est responsable. Les CIO, CFO et COO découvrent des lacunes de gouvernance parce que la responsabilité des résultats de l’IA n’a jamais été attribuée.
- Le conseil d’administration demande des éclaircissements. Les conseils d’administration exigent une vision claire du risque lié à l’IA ainsi que de la responsabilité, tout en tenant compte des réglementations.
Connexes :Comment le marché des capitaux évalue la gouvernance de l’IA / Qui définit ce que l’IA considère comme vrai ?
Ce qui distingue l’IA agitée de l’IA traditionnelle
Qu’est-ce que l’IA agitée ? L’IA agitée désigne des systèmes d’IA qui non seulement répondent, mais agissent de manière autonome : ils prennent des décisions, appellent des outils, déclenchent des actions dans d’autres systèmes. Un agent réserve, commande ou modifie des données sans qu’une personne ne valide chaque étape. C’est précisément cette autonomie qui rend la question de la responsabilité urgente.
Un modèle linguistique classique propose un texte, puis une personne le vérifie. Un agent agit. La différence peut sembler mineure, mais elle change fondamentalement la chaîne de responsabilités. Si un agent lance une commande erronée, informe mal un client ou écrit des données dans un système qu’il n’aurait pas dû toucher, il n’y a plus d’étape intermédiaire où quelqu’un aurait pu intervenir. L’erreur est arrivée avant que quiconque ne la voie.
Les chiffres actuels montrent à quel point la pratique de la supervision a déjà pris du retard. Près de trois quarts des organisations donnent déjà accès aux agents à leurs données et à leurs processus, que ce soit lors de tests pilotes, lors de la scalabilité ou en production. Seulement environ 20 % disposent d’un plan testé pour le cas où un agent IA agirait de manière erronée. Cette différence représente le véritable risque, et non la technologie elle-même.
20 %
des organisations ont un plan d’urgence testé pour le cas où un agent IA agirait de manière erronée. 74 % donnent déjà accès aux agents à leurs données et à leurs processus.
Source : Enquêtes sectorielles sur l’IA agitée, 2026
Pourquoi la responsabilité disparaît
Le schéma est bien connu de toute transformation avortée. Une technologie est introduite parce qu’elle est disponible et sous l’effet d’une pression concurrentielle. La responsabilité n’est attribuée qu’ultérieurement, lorsque le temps le permet. Dans le cas d’un outil autonome, cette attribution tardive devient particulièrement dangereuse. L’agent ne patiente pas jusqu’à ce que la gouvernance soit mise en place.
Dans une entreprise, cela se traduit par un déficit de coordination entre les différentes fonctions. Le DSI voit l’intégration technique ; le directeur financier observe les coûts ; le directeur des opérations surveille le processus. Aucun d’entre eux ne s’approprie automatiquement la question de savoir qui sera tenu responsable si l’agent commet une erreur au croisement de ces trois domaines. Sans une définition explicite, cette interrogation demeure suspendue entre les chaises et y reste jusqu’à ce qu’un incident la rende visible.
Vide de gouvernance
- L’agent évolue, la responsabilité suit plus tard
- Pas de plan d’urgence testé
- La responsabilité se perd entre le DSI, le directeur financier et le directeur des opérations
Structure solide
- Un propriétaire désigné pour chaque mission de l’agent
- Un plan d’intervention testé avant la mise en production
- Des limites claires définies sur les accès autorisés de l’agent
Ce que le conseil d’administration exige désormais
La bonne nouvelle, c’est que la pression vient d’en haut et offre ainsi une opportunité d’action. Les conseils d’administration demandent de plus en plus une vision claire des risques liés à l’IA et de leur responsabilité, en lien avec les exigences réglementaires issues de NIS2, DORA et du règlement européen sur l’IA. Cette question ne peut être résolue par une simple diapositive mettant en avant l’esprit d’innovation. Elle nécessite une clarification précise : qui possède quel agent, quelles données celui-ci est autorisé à manipuler, et que se passe-t-il en cas d’erreur ?
Une tendance émerge quant à la mise en œuvre. Plutôt que de répartir la gouvernance sur chaque projet individuel, une couche centrale se dessine, regroupant la supervision, le pilotage et l’orchestration des agents. Qu’on l’appelle « centre de commandement » ou simplement « responsabilité claire », peu importe. L’essentiel est qu’il existe bel et bien une entité chargée d’avoir une vue d’ensemble et, en cas d’urgence, de pouvoir interrompre le système.
Un agent habilité à agir mais sans propriétaire n’est pas un progrès. C’est un risque qui n’a encore jamais été déclenché.
Ordonner les étapes constitue ici la véritable décision de leadership. Celui qui prévoit d’évoluer à grande échelle avant de clarifier les responsabilités inverse la logique et mise sur la chance. En revanche, celui qui définit dès la phase de pré-production qui sera tenu responsable et quelles conséquences s’appliqueront en cas d’erreur sacrifie peut-être deux semaines. Mais il gagne en contrôle sur une technologie qui, autrement, pourrait échapper à toute supervision. Ces deux semaines représentent l’assurance la plus économique qu’un DSI puisse actuellement souscrire.
Foire aux questions
Quelle est la différence entre l’IA agentique et les outils d’IA précédents ?
Les IA traditionnelles proposent des suggestions, mais c’est un humain qui décide. Un agent agit de manière autonome, fait appel à des outils et déclenche des actions dans d’autres systèmes. Cela élimine l’étape intermédiaire où une erreur pourrait être interceptée.
Quelle est l’ampleur du fossé entre le déploiement et la sécurisation ?
Considérable. Environ 74 % des organisations accordent aux agents l’accès aux données et aux processus, mais seulement 20 % environ disposent d’un plan d’urgence testé en cas de défaillance.
Qui doit être responsable d’un agent ?
Chaque déploiement d’agent nécessite un propriétaire désigné, qui décide des accès, des limites et du comportement en cas d’erreur. Sans cette attribution, la responsabilité flotte entre le CIO, le CFO et le COO, restant ainsi indéterminée.
Quel rôle joue la réglementation ?
NIS2, DORA et l’EU AI Act exigent un contrôle et une documentation vérifiables. Un conseil d’administration doit pouvoir démontrer comment un système d’IA prend ses décisions et qui en assume la responsabilité. Cela ne peut être satisfait que par une gouvernance claire, et non par un déploiement dispersé.
La gouvernance ne freine-t-elle pas l’adoption ?
Guère. La définition du propriétaire, des limites et du plan d’urgence demande peu de temps avant la mise en production. Elle évite toutefois l’incident coûteux qui pourrait compromettre toute une initiative. Contrôle et rapidité ne s’excluent pas ici.
Plus d’articles du réseau MBF Media
mybusinessfuture
16 décideurs, un chercheur IA : la vente B2B gagne en précision
Source de l’image : générée par IA (mai 2026), certificat C2PA intégré à l’image