La rapidité des déploiements de l’IA, la facilité d’accès aux capacités de l’IA et la complexité de la technologie laissent les RSSI dans des angles morts en matière de sécurité. Ils s’efforcent désormais de les éliminer.
Dale Hoak s’est retrouvé à poser une question devenue familière aux RSSI au fil des décennies : qu’est-ce qui me manque ?
Plus précisément, Hoak, RSSI de la société de logiciels RegScale, se demandait ce qui pourrait lui manquer dans les déploiements d’IA de son entreprise.
« L’entreprise évoluait si rapidement dans l’utilisation de l’IA qu’au début, nous avions des lacunes en matière de visibilité », dit-il.
Hoak pensait que ses capacités de surveillance n’étaient pas suffisamment puissantes pour identifier tous les risques et menaces associés aux dernières utilisations de l’IA par l’entreprise. Il a donc repositionné les outils existants et investi dans de nouveaux, notamment des produits qui utilisent l’intelligence pour surveiller l’utilisation de l’IA en entreprise, afin d’obtenir la visibilité dont il avait besoin – un processus qui a pris environ six mois.
« Au fil du temps, j’ai compris ce qu’il fallait rechercher en utilisant la journalisation et les outils SIEM et IA, et j’ai l’impression que nous avons désormais comblé les lacunes », note-t-il.
Il reste néanmoins inquiet.
« Je me méfie toujours un peu », admet-il, de ce que ses opérations de sécurité pourraient ne pas voir.
Les RSSI ont raison de s’inquiéter. L’IA élargit la surface d’attaque de l’organisation tout en introduisant de nouveaux types de risques tels que ceux résultant d’attaques par injection rapide et d’empoisonnement des données. Les responsables de la sécurité le savent. Mais, comme le souligne Hoak, les RSSI sont également confrontés à des angles morts en matière de sécurité liés à l’IA alors que leurs organisations s’efforcent de mettre en œuvre et de faire évoluer la technologie.
Selon le rapport AI Security Exposure Survey 2026 de l’éditeur de logiciels de sécurité Pentera, 67 % des RSSI signalent une visibilité limitée sur où et comment l’IA fonctionne dans leurs environnements.
De plus, 48 % des RSSI ont cité la visibilité limitée sur l’utilisation de l’IA comme l’un des principaux défis en matière de sécurisation des systèmes d’IA, ce qui en fait leur deuxième plus grand défi dans ce domaine. (Le manque d’expertise interne, cité par 50 %, arrive en première position.)
Une myriade d’angles morts
Nitin Raina, RSSI mondial du cabinet de conseil Thoughtworks, met en évidence plusieurs scénarios qui créent de telles lacunes de visibilité. L’un d’entre eux est l’IA fantôme.
« Il y a environ 12 à 18 mois, nous avons vu des gens utiliser (des versions non autorisées de) ChatGPT ou Gemini ou acheter leur propre outil d’IA de niche. Cela a ralenti, mais c’est toujours l’un des risques », explique Raina.
Une autre raison est l’introduction de capacités d’IA par les éditeurs de logiciels dont les produits sont déjà utilisés dans l’entreprise. « Les fournisseurs que nous utilisons ajoutent des fonctionnalités d’IA et parfois nous n’avons pas une visibilité totale sur cela », dit-il, malgré le travail de son équipe de sécurité pour comprendre comment ces fournisseurs gèrent les données et les vulnérabilités liées à l’IA.
Les modèles fournis par les fournisseurs créent également des angles morts, ajoute Raina, car les RSSI peuvent généralement effectuer un certain niveau d’examen mais ne peuvent pas effectuer d’analyses approfondies des modèles pour déterminer s’il existe des problèmes susceptibles de fausser les résultats à des niveaux inacceptables ou d’envoyer des données vers des endroits où elles ne devraient pas aller.
Selon Raina, une autre solution est l’IA agentique, dont les risques incluent des hallucinations ou des injections rapides ainsi que des pannes qui, en raison de leur rapidité et de leurs actions autonomes, peuvent être difficiles à détecter avec les outils de sécurité conventionnels.
Beaucoup comparent la situation en matière de sécurité autour de l’IA aux débuts du cloud, lorsque les RSSI étaient également confrontés à des déploiements fantômes, à des risques inconnus et à des problèmes de visibilité.
Les défis d’aujourd’hui sont plus importants, déclare Nick Kakolowski, directeur de recherche principal chez IANS Research. Les dirigeants ont peur de prendre du retard dans la course à l’utilisation de l’IA pour obtenir un avantage concurrentiel. Ils sont donc prêts à prendre davantage de risques, dit-il. Cela a conduit à des mises en œuvre et à des déploiements rapides de l’IA en dehors des canaux d’approvisionnement normaux. En conséquence, « les angles morts sont un peu partout ».
Les RSSI manquent également souvent d’une visibilité totale sur les systèmes d’IA tiers et sur les risques que leur utilisation implique.
Idem pour la précision des résultats que les employés obtiennent avec certains moteurs d’IA. « Personne ne comprend vraiment comment évaluer les résultats de l’IA et la qualité du contenu créé par l’IA », déclare Kakolowski. « Nous ne serons pas en mesure d’évaluer la qualité et la fiabilité des résultats de l’IA, et nous ne savons pas comment équiper nos collaborateurs pour le faire efficacement. »
Il en va de même pour le code généré par l’IA, qui est de plus en plus créé en dehors des équipes de développement grâce à la facilité d’utilisation de l’IA à de telles fins. « Ils utilisent le vibe coding, et les RSSI ne savent peut-être pas où ce code généré par l’IA est intégré », explique Kakolowski.
Les RSSI peuvent également ne pas savoir si les agents IA accordent des privilèges d’accès à d’autres agents lorsqu’ils exécutent des flux de travail, créant ainsi un autre angle mort.
Et les responsables de la sécurité ne connaissent peut-être pas les implications éthiques des capacités d’IA de leur organisation. « Les RSSI sont souvent impliqués dans des activités qui relèvent du côté éthique du risque, et cette question de l’IA éthique commence à émerger comme l’une d’entre elles », ajoute Kakolowski.
Un autre domaine dans lequel les RSSI n’ont peut-être pas une vision claire : celui où leurs organisations fixent une limite aux angles morts introduits par leurs stratégies d’IA. « Deviner la tolérance au risque de l’organisation est un angle mort de haut niveau », explique Kakolowski, soulignant que les RSSI souhaitant combler les écarts de visibilité doivent commencer par définir « ce que l’organisation considère comme raisonnable et déraisonnable. Cela aide les RSSI à déterminer la prochaine étape ».
Gagner en visibilité
Les RSSI se disent conscients des conséquences des angles morts, les fuites de données et les résultats problématiques de l’IA étant courants.
Ils s’efforcent désormais d’acquérir la visibilité nécessaire pour prévenir de tels problèmes, déclare Aaron Momin, RSSI et directeur des risques chez Synechron, une société de conseil et de services technologiques numériques.
« L’entreprise a pour mandat d’adopter l’IA, mais le problème est que l’entreprise évolue à la vitesse de la lumière et que les RSSI ne font que rattraper leur retard », ajoute Momin.
Comme d’autres responsables de la sécurité, Momin s’appuie sur une stratégie de sécurité bien conçue, des cadres de sécurité et d’IA, ainsi qu’une compréhension claire de l’appétit pour le risque et de la tolérance au risque de l’entreprise pour effectuer ce travail. Il s’appuie également sur les personnes, les processus et la technologie pour sécuriser les déploiements d’IA de son organisation et améliorer la visibilité.
Il reconnaît néanmoins que des angles morts pourraient subsister, expliquant que les outils de sécurité traditionnels, tels que les solutions de filtrage d’URL et de prévention des pertes de données (DLP), fournissent une couche de contrôle mais n’offrent pas la vue complète de l’utilisation de l’IA dont les RSSI ont besoin.
« Ils ne sont pas nécessairement suffisants. Ils pourraient atteindre peut-être 80 ou 90 % de ce dont vous avez besoin, mais pour obtenir une meilleure visibilité, vous devez ajouter des outils supplémentaires », explique Momin.
Cela présente cependant un autre défi pour les RSSI.
« Ces outils doivent être perfectionnés, étendus et élargis pour obtenir une visibilité totale », explique Momin. « Maintenant, certains fournisseurs mettent à niveau les capacités (offertes dans leurs outils de sécurité) et de nouveaux outils arrivent sur le marché. Et ils commencent à vous donner une visibilité complète. »
Raina de Thoughtworks partage une vision similaire en matière d’amélioration de la visibilité, en approuvant une approche à plusieurs volets pour garantir que son équipe de sécurité dispose d’une image complète des déploiements d’IA de l’organisation, de leurs vulnérabilités et de leurs risques. Cette approche combine des contrôles administratifs, de gouvernance et technologiques – une combinaison qui a une longue histoire de succès en matière de sécurité.
Mais les experts affirment que les combinaisons éprouvées ne suffisent pas pour obtenir une visibilité totale en matière d’IA.
Selon l’enquête de Pentera, aucun RSSI n’a signalé une visibilité totale et aucune IA fantôme. Un tiers ont déclaré qu’ils avaient probablement une bonne visibilité avec l’IA fantôme, tandis que 66 % ont déclaré avoir une visibilité limitée avec l’IA fantôme, un problème connu, et 1 % ont déclaré qu’ils n’avaient aucune visibilité.
Une visibilité totale n’est peut-être pas possible, du moins pas pour le moment, déclare Jared Oluoch, professeur et directeur de l’École de sécurité de l’information et d’informatique appliquée de l’Université Eastern Michigan. Les outils et stratégies de sécurité actuels limitent les angles morts mais ne les éliminent pas complètement. « Ils peuvent minimiser les effets négatifs », ajoute-t-il.
C’est l’objectif, déclare Tal Hornstein, RSSI de Cast & Crew, un fournisseur de logiciels de production, de paie et de services pour l’industrie du divertissement.
Comme d’autres, Hornstein s’appuie sur des principes de sécurité de longue date, citant la triade confidentialité, intégrité et disponibilité (CIA) comme fondement de son approche visant à garantir que l’IA fonctionne dans le cadre de garde-fous établis et qu’il peut observer son comportement.
Hornstein se tourne également vers les technologies émergentes pour offrir une meilleure observabilité et application. Mais il reconnaît que les technologies de sécurité ne permettent pas une visibilité totale pour le moment. « Ils ne sont pas encore complètement matures », dit-il.
Cela doit suffire pour le moment, ajoute-t-il, affirmant que les RSSI ne peuvent pas laisser les problèmes de visibilité ralentir l’adoption de l’IA.
« L’IA est la technologie la plus étonnante, et quiconque ne l’utilise pas sera laissé pour compte », déclare Hornstein. « Il est donc important pour moi, en tant que RSSI et chef d’entreprise, de ne pas ériger de barrières et de bloquer l’IA, mais de mettre en place des garde-fous qui permettent à l’organisation d’évoluer à la vitesse et dans la mesure qu’elle souhaite, tout en atténuant les risques.
