Retour aux actualitésIA & Cybersécurité

    IA générative et cybersécurité en entreprise : risques, gouvernance et mise en conformité IA Act

    17 min de lecture

    En 2026, plus de 78 % des collaborateurs français utilisent une IA générative (ChatGPT, Copilot, Gemini, Claude, Mistral) pour leurs tâches quotidiennes — souvent sans validation de la DSI. Cette « Shadow AI » crée des risques cyber et juridiques massifs que NIS2, le RGPD et l'AI Act européen encadrent désormais strictement. Voici comment reprendre le contrôle.

    Les 7 risques majeurs de l'IA générative en entreprise

    1. Fuite de données confidentielles

    Coller un contrat, un fichier RH ou du code propriétaire dans un LLM grand public peut équivaloir à une publication : certains modèles s'entraînent sur les prompts utilisateurs. Un incident notable en 2023 (Samsung) a conduit à l'interdiction pure et simple de ChatGPT en interne.

    2. Shadow AI

    Les collaborateurs utilisent en moyenne 4 à 7 outils d'IA non référencés. La DSI ne sait pas quelles données partent, vers quels modèles, ni où elles sont stockées (souvent hors UE).

    3. Prompt injection et jailbreak

    Un attaquant peut piéger un agent IA via un email, un PDF ou une page web contenant des instructions cachées qui détournent le modèle (exfiltration, exécution d'actions). C'est la vulnérabilité n°1 du Top 10 OWASP for LLM 2025.

    4. Deepfakes et fraude au président version 2026

    Les deepfakes audio et vidéo permettent désormais d'imiter la voix d'un dirigeant en moins de 30 secondes d'enregistrement. En 2024, une multinationale hongkongaise a perdu 25 millions de dollars via une fausse visioconférence du CFO. Les PME françaises sont exposées au même type de fraude.

    5. Hallucinations et décisions erronées

    Un LLM peut produire avec assurance des informations fausses (références juridiques inventées, calculs erronés, diagnostics médicaux faux). Tout usage non encadré dans un contexte réglementé (RH, juridique, santé, finance) expose à un risque de responsabilité.

    6. Empoisonnement de données et chaîne d'approvisionnement IA

    Les modèles open source téléchargés depuis des hubs publics peuvent être backdoorés ou biaisés. La chaîne d'approvisionnement IA est devenue un nouveau vecteur d'attaque (équivalent du SolarWinds pour l'IA).

    7. Violations RGPD et propriété intellectuelle

    Données personnelles transférées hors UE, droits d'auteur non respectés sur les sorties générées, biais discriminatoires : la CNIL et l'AI Office surveillent activement ces usages.

    Le cadre réglementaire : ce qui change en 2026

    • AI Act (Règlement UE 2024/1689) : entré en application progressive depuis février 2025, pleinement applicable au 2 août 2026 pour les obligations IA générale, et au 2 août 2027 pour les systèmes à haut risque.
    • Interdictions : notation sociale, manipulation cognitive, reconnaissance émotionnelle au travail/à l'école.
    • Systèmes à haut risque : RH (CV/scoring), crédit, biométrie, éducation, infrastructures critiques → étude d'impact, journalisation, supervision humaine, marquage CE.
    • Modèles à usage général (GPAI) : transparence, documentation technique, respect du droit d'auteur, mesures de sûreté pour les modèles à risque systémique.
    • NIS2 : la sécurité des systèmes IA entre dans le périmètre de gestion des risques.
    • RGPD : base légale, AIPD obligatoire, droits des personnes (article 22 sur les décisions automatisées).
    • Sanctions AI Act : jusqu'à 35 M€ ou 7 % du CA mondial annuel.

    Plan de gouvernance IA en 8 étapes

    1. Cartographier les usages IA existants (questionnaire collaborateurs + analyse réseau / proxy / CASB).
    2. Classer les cas d'usage par criticité (faible / limité / élevé / inacceptable au sens AI Act).
    3. Adopter une charte IA opposable annexée au règlement intérieur.
    4. Mettre à disposition une IA d'entreprise validée (Copilot Microsoft 365, ChatGPT Enterprise, Mistral Le Chat Pro, déploiement souverain) — c'est le meilleur antidote au Shadow AI.
    5. Bloquer ou contrôler les LLM grand public via DLP, CASB et navigateur d'entreprise.
    6. Conduire une AIPD (RGPD) et une analyse d'impact AI Act pour chaque cas à haut risque.
    7. Sensibiliser et former tous les collaborateurs (deepfakes, prompt injection, hygiène prompts).
    8. Auditer et journaliser les interactions IA (logs prompts/réponses, supervision humaine).

    Bonnes pratiques techniques par cas d'usage

    • Productivité bureautique : Microsoft 365 Copilot avec Sensitivity Labels et Purview DLP pour empêcher l'exposition de données « Confidentiel ».
    • Code & Dev : GitHub Copilot Business / Mistral Codestral avec exclusion de fichiers sensibles, scan SAST des sorties.
    • Service client / RAG interne : architecture RAG souveraine (Mistral, Llama hébergés en UE), filtrage des sorties, garde-fous anti prompt injection.
    • RH / scoring : éviter tout système automatisé décisionnel ou prévoir une supervision humaine documentée (article 22 RGPD + AI Act).
    • Anti-deepfake : procédures de double validation pour tout virement > 10 000 €, mots de passe vocaux entre dirigeants.

    Détection des deepfakes : 5 réflexes simples

    • Toujours rappeler la personne sur un numéro de téléphone connu (jamais celui fourni dans l'appel).
    • Demander une information personnelle non publique en début d'échange.
    • Méfiance sur les visioconférences avec qualité vidéo dégradée et caméra fixe.
    • Procédure formelle de validation à 4 yeux pour les paiements et changements de RIB.
    • Sensibilisation régulière (cf. notre guide sensibilisation cybersécurité).

    Articulation avec votre programme cyber existant

    • Intégrer les risques IA dans votre analyse EBIOS RM.
    • Étendre votre SMSI ISO 27001 aux contrôles ISO/IEC 42001 (management de l'IA).
    • Inclure le périmètre IA dans le pentest annuel (red teaming LLM).
    • Adapter votre charte informatique et votre plan de formation NIS2.

    Combien ça coûte de mettre en gouvernance ?

    • PME (50–250 salariés) : 8 000 à 20 000 € HT pour l'audit, la charte, l'AIPD et la formation initiale.
    • Licences IA d'entreprise : 20 à 35 € HT / utilisateur / mois selon la solution.
    • ETI : 25 000 à 80 000 € HT, plus mission de DPO/AI Officer (souvent mutualisée).

    Erreurs à ne pas commettre

    • Tout interdire : crée du Shadow AI massif et fait perdre l'avantage compétitif.
    • Tout autoriser sans charte : exposition juridique et fuite de données garanties.
    • Confondre ChatGPT grand public et ChatGPT Enterprise (politiques de confidentialité opposées).
    • Ignorer la chaîne d'approvisionnement (modèles open source, plugins).
    • Ne pas désigner de responsable IA / AI Officer.

    Conclusion

    L'IA générative est un levier de productivité considérable mais aussi une nouvelle surface d'attaque réglementée. Les entreprises qui auront, dès 2026, une gouvernance IA claire, une plateforme validée et des collaborateurs formés prendront une avance décisive sur leurs concurrents — tout en évitant les amendes record de l'AI Act.

    CyberConform accompagne les PME et ETI dans leur mise en conformité AI Act, RGPD et NIS2 sur le périmètre IA : cartographie, charte, AIPD, choix d'outils souverains et formation. Contactez nos experts pour un diagnostic gratuit de 15 minutes.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit