L’intelligence artificielle révèle les failles cachées des infrastructures IT

Pendant des années, la résilience opérationnelle et la cybersécurité ont évolué dans des silos organisationnels distincts. Les équipes de résilience se concentraient sur la continuité des systèmes, tandis que les spécialistes de la sécurité protégeaient les données. Cette séparation est désormais obsolète, comme l’ont souligné Steve MacIntyre de Fidelity Investments et Wim Geurden d’EY lors du récent VeeamON à New York. L’IA, en accélérant les menaces et exposant les vulnérabilités négligées, impose une convergence immédiate de ces deux domaines.

L’IA comme révélateur des problèmes existants

Contrairement aux idées reçues, l’IA ne crée pas de nouvelles failles mais met en lumière des problèmes longtemps ignorés. Steve MacIntyre illustre ce phénomène avec l’expérience de Fidelity lors du déploiement pilote de Microsoft 365 Copilot. En seulement deux jours, l’outil a révélé des présentations PowerPoint obsolètes stockées sur SharePoint. « Ce n’était pas un problème d’IA, mais une démonstration de l’accès excessif aux données », explique-t-il. Wim Geurden rapporte une expérience similaire chez EY, où des données sensibles ont commencé à émerger dans divers emplacements six mois avant le lancement de Copilot. La première réaction a été de bloquer l’accès non autorisé aux outils d’IA, suivie par une campagne massive de classification des données non structurées.

Une menace qui évolue à vitesse accélérée

L’urgence de cette transformation n’est pas théorique. Une récente enquête du BCG révèle que 50 % des cyberattaques récentes impliquaient des identités non humaines, preuve que les acteurs malveillants utilisent déjà des agents IA. Parallèlement, près de la moitié des projets d’IA sponsorisés par les entreprises ont entraîné des fuites de données non intentionnelles. Ces incidents soulignent un décalage critique : l’adoption de l’IA dépasse la capacité des organisations à en gouverner les risques. Une étude de ZK Research confirme cette tendance, avec 65 % des répondants estimant que l’adoption de l’IA dépasse leurs capacités de gouvernance.

Trois principes pour une intégration réussie

Face à ce défi, les CIO doivent adopter une approche proactive. Trois principes clés émergent :

  1. Cartographier les actifs de données avant tout déploiement : Identifier précisément où résident les données critiques, qui y a accès et pourquoi. Chez Fidelity, chaque déploiement d’IA est lié à un cas d’usage métier approuvé.

  2. Étendre la gouvernance au rythme des menaces : Les processus traditionnels de gestion des risques (GRC) doivent s’adapter à la vitesse des cybermenaces modernes.

  3. Traiter les données comme un actif stratégique : Les organisations performantes intègrent la gouvernance des données dès la conception, et non en après-coup.

Conclusion : vers un nouveau modèle opérationnel

L’IA impose une refonte fondamentale des modèles de sécurité et de résilience. Les entreprises qui réussiront seront celles qui traiteront les données comme un actif stratégique, avec des contrôles intégrés tout au long de leur cycle de vie. Cette transformation n’est plus une option, mais une nécessité opérationnelle immédiate pour faire face aux défis de la prochaine décennie.