L’intelligence artificielle est entrée dans une phase qui concerne désormais directement les CISO.
Non plus comme un sujet d’innovation, mais comme un nouvel espace de risque à piloter, transversal au système d’information, aux métiers et à la chaîne de fournisseurs.
Première réalité : l’IA s’impose vite, souvent hors des cadres de sécurité existants.
Les cas d’usage se multiplient — IA générative, assistants internes, outils métiers augmentés — parfois portés par les équipes, parfois intégrés via des solutions tierces. Le risque n’est plus l’expérimentation isolée, mais la diffusion rapide de systèmes mal inventoriés, mal qualifiés et insuffisamment sécurisés, avec des impacts directs sur les processus business.
Deuxième réalité : l’IA élargit fortement la surface d’attaque.
Elle repose sur des modèles, des plateformes, des API et des fournisseurs externes, intégrés au cœur du SI. Pour un CISO, cela signifie une dépendance accrue à la supply chain technologique, des flux de données plus complexes, et des exigences renforcées en matière de sécurité, de robustesse et de contrôle — souvent sans visibilité centralisée.
Troisième réalité : le cadre réglementaire devient immédiatement opérant.
Dès le mois d’août, l’AI Act introduira des obligations applicables aux IA génératives, aux systèmes interactifs et aux deepfakes. Ces exigences recoupent directement les responsabilités de la fonction sécurité : sécurité by design, robustesse, documentation, traçabilité, maîtrise des fournisseurs.
À cela va s’ajouter le Cyber Resilience Act (CRA), qui impose de nouvelles obligations de cybersécurité sur les produits numériques mis sur le marché, y compris les composants logiciels intégrant de l’IA. Pour les CISO, le CRA renforce un point clé : la nécessité de documenter les garanties de sécurité, de gérer les vulnérabilités dans le temps et de maîtriser les dépendances logicielles et fournisseurs, bien au-delà du périmètre traditionnel du SI interne.
Dans ce contexte, l’IA concentre désormais plusieurs catégories de risques que la fonction sécurité ne peut plus traiter de manière fragmentée :
- cyber, avec de nouveaux vecteurs d’attaque et une dépendance accrue aux tiers ;
- opérationnels, en cas de dysfonctionnement ou de dérive des systèmes ;
- business, lorsque l’IA impacte des processus critiques ou des décisions sensibles ;
- réputationnels, dès lors que l’IA est visible des clients ou des partenaires ;
- réglementaires, avec des exigences formalisées, cumulatives et auditables (AI Act, CRA, protection des données).
Pour les CISO, l’enjeu n’est donc plus seulement de sécuriser des briques techniques, mais de structurer un pilotage global et continu du risque IA. Cela suppose, très concrètement :
- disposer d’un inventaire exhaustif des systèmes d’IA utilisés, qu’ils soient développés en interne ou fournis par des tiers ;
- qualifier leur niveau de risque, réglementaire et non réglementaire, en fonction des usages réels ;
- piloter dans la durée les actions nécessaires : exigences de cybersécurité, mesures techniques, clauses contractuelles, garanties fournisseurs, gestion des vulnérabilités et documentation — sans alourdir inutilement les équipes.
C’est pour répondre à ces besoins que nous avons développé une solution de gouvernance centralisée de l’IA, pensée comme un outil de pilotage pour les fonctions sécurité. Elle permet de constituer un repository unique des IA, de qualifier automatiquement les risques, d’identifier les obligations applicables (AI Act, CRA, etc.) et de générer les plans d’action associés, y compris sur la supply chain. Les évolutions réglementaires y sont intégrées en continu, afin de sécuriser le pilotage et de soulager les équipes des tâches de veille et de coordination.
En matière d’IA, la confiance ne se décrète pas : elle se construit, se documente et se pilote — dès le premier jour.
Contactez l’équipe Naaia pour en savoir plus.