Renforcer l'IA sans sécurité est un pari dangereux. Pourtant, de nombreuses Organizations semblent agir sans réfléchir.
Le récent rapport AI at Work 2025 d'Okta révèle que seulement 36 % des entreprises déclarent avoir un modèle de gouvernance centralisé pour l'IA. De plus, seulement 32 % ont déclaré qu'ils traitaient toujours leur main-d'œuvre non humaine avec le même degré de gouvernance que leur main-d'œuvre humaine.
Parallèlement, l'adoption de l'IA semble progresser régulièrement. Des statistiques supplémentaires découvertes par les chercheurs indiquent une adoption « généralisée » — des situations où presque toutes les équipes utilisent au moins une forme d'IA — passant de 17 % en 2024 à 28 % en 2025. Mais, ce faisant, elle oblige également les Organizations à repenser l'intersection entre la gouvernance, la sécurité et l'identité.
« La gouvernance et le contrôle des accès sont cruciaux compte tenu du niveau d'accès et de la capacité d'exécution que l'IA peut avoir », a déclaré un cadre de niveau C du secteur bancaire et financier aux chercheurs
Voici cinq recommandations pour élaborer une stratégie de gouvernance de l'IA efficace, afin de bâtir une base sécurisée et fiable pour l'innovation et la croissance de l'IA.
Décidez d'un framework pour la gouvernance de l'IA
Heureusement, les Enterprise ne manquent pas de conseils sur la question de la gouvernance. Des standards et framework tels que ISO 42001 et le NIST AI Risk Management Framework sont disponibles pour guider les utilisateurs, Developer et d'autres dans la gestion des risques.
« Les frameworks NIST AI RMF et ISO 42001 fournissent toutes deux une excellente structure et des avantages pour les organisations de tous types », déclare Tom Ross, Directeur de la Gouvernance de la Sécurité chez Okta. « Le choix du meilleur framework dépend fortement de l'organisation individuelle, mais fondamentalement, le NIST est basé sur des principes, tandis que l'ISO est basé sur des opérations. » De nombreuses Organizations choisissent de s’aligner sur les deux. »
Donnez le ton au sommet
Le premier obstacle majeur à la rédaction d'une politique efficace à l'appui d'une stratégie de gouvernance de l'IA est de comprendre et de définir clairement le ton au sommet, explique Ross. Cela signifie développer une stratégie d'IA qui décrit comment les technologies seront utilisées dans l'organisation en alignement avec les objectifs commerciaux et de sécurité, et créer un processus formel pour évaluer les systèmes, applications et agents tiers.
"La direction des Organizations souhaite-t-elle que les gens utilisent librement les outils d'IA, ou pas du tout ? L'expérimentation et le bricolage sont-ils encouragés, ou la direction préfère-t-elle un modèle verrouillé, uniquement sur autorisation ? Lorsque la stratégie d'IA de l'entreprise est claire, il devient beaucoup plus simple de rédiger une politique pour soutenir l'orientation stratégique », dit-il. "Il ne fonctionne pas de provoquer le changement par la politique ; le meilleur chemin à suivre est de soutenir le changement et d'apporter de la clarté par la politique."
Mettez des garde-fous autour de l'IA
Un examen plus approfondi du rapport AI at Work montre que les parties prenantes les plus fréquemment impliquées dans les discussions sur la gouvernance de l'IA sont les RSSI, les DSI et les représentants des équipes juridiques et de conformité. Fondamentalement, la gouvernance de l'IA est une extension des directives relatives à l'utilisation responsable des services et des logiciels, mais avec de nombreux rebondissements, explique Ross. L'approche la plus simple consiste à mettre en place des garde-fous et une surveillance autour de ce qui est partagé avec un outil d'IA (c'est-à-dire la sécurité des données), de ce qui se passe au sein de l'outil d'IA (c'est-à-dire le risque lié aux tiers) et de la manière dont les résultats créés par l'IA sont exploités (c'est-à-dire le code de conduite et l'éthique), poursuit-il.
Choisir les bonnes garde-fous pour un outil particulier nécessite une compréhension approfondie des risques, y compris tout, des biais et des hallucinations de l'IA aux considérations de cybersécurité.
« L'adoption incontrôlée de l'IA peut discrètement éroder la posture de sécurité d'une organisation en élargissant considérablement sa surface d'attaque », déclare Sendhil Jayachandran, Vice-Président du Marketing Produit chez Okta. « Une stratégie de sécurité axée sur l'IA implique d'identifier tous les points d'accès à l'IA, de les sécuriser et d'introduire des humains dans la boucle pour les actions sensibles. »
Gérer l'identité et l'accès des agents d'IA
Les stratégies d'IA doivent être soutenues par une gestion efficace des identités et des accès (IAM). En raison de leur nature autonome et dynamique, les agents d'IA demandes d'authentification existantes des Enterprise IAM. De nombreuses identités non humaines, telles que les agents d'IA, utilisent des clés statiques pour gérer l'accès. Cependant, cette approche présente des inconvénients. Les clés statiques sont plus vulnérables au vol, posent des demandes d'authentification à mesure que les agents se multiplient, et augmentent les risques en permettant un accès continu même lorsqu'il n'est pas nécessaire. De plus, les agents sur-autorisés peuvent accroître l'impact d'une éventuelle compromission en raison de leurs niveaux d'accès. Ils peuvent également créer des risques de sécurité, car ils prennent des décisions autonomes que les équipes sécurité ne peuvent pas prévoir.
« Sans un framework Identity Governance solide, les agents d'IA fonctionnent dans un angle mort, créant une expansion massive et non auditable de la surface d'attaque », déclare Jayachandran « Un véritable contrôle signifie appliquer le principe du moindre privilege avec une efficacité semblable à celle d'une machine : accorder dynamiquement des autorisations pour une fonction spécifique et s'assurer que ces autorisations expirent dès que la tâche est accomplie. » « Tout le reste consiste simplement à créer une nouvelle classe d'initiés puissants et non gouvernés. »
Surveiller continuellement l'utilisation et affiner les politiques
Les Organizations semblent reconnaître l'importance de ces questions. La gouvernance est le troisième élément le plus mentionné d'une adoption réussie de l'IA, avec les processus et les garde-fous pour l'assurance de la qualité des données et les cas d'usage clairement définis arrivant en première et deuxième position, respectivement.
Mais le travail de sécurisation des systèmes n'est jamais vraiment terminé. Le suivi est essentiel, car les modèles d'IA et les politiques de sécurité doivent être surveillés et ajustés au besoin pour garantir leur efficacité.
« La surveillance de l'utilisation des outils d'IA via le cloud access security broker (CASB) et les plateformes de prévention des pertes de données (DLP) est un excellent point de départ pour quantifier l'efficacité d'une stratégie de gouvernance de l'IA », explique Ross. « Non seulement la surveillance offre un aperçu de la manière dont l'organisation suit la structure de gouvernance définie, mais elle peut également aider à mettre en lumière l'émergence de nouveaux services populaires qui devraient être envisagés pour inclusion et/ou approbation. »
Pour en savoir plus sur la gouvernance de l'IA et la gestion des identités, lisez « The 'superuser' blind spot: Why AI agents demand dedicated identity security ».
