Rapports

Rapport de Manifest révèle un écart de préparation pour l’IA chez les équipes de sécurité d’entreprise

mm
Published
Updated

Un nouveau rapport de Manifest, « Au-delà de la boîte noire : comment l’IA oblige à repenser la chaîne d’approvisionnement logicielle », révèle un fossé croissant entre la confiance des dirigeants et la réalité opérationnelle en matière de préparation à la sécurité de l’IA. Sur la base d’une enquête menée auprès de plus de 300 dirigeants et praticiens de la sécurité aux États-Unis et en EMEA, l’étude constate que, même si la plupart des dirigeants estiment que leurs organisations sont préparées aux risques de la chaîne d’approvisionnement liés à l’IA, les équipes de sécurité sur le terrain signalent des lacunes importantes en matière de gouvernance, d’utilisation d’IA fantôme et de visibilité limitée sur les composants qui alimentent les systèmes logiciels modernes.

Les résultats mettent en évidence une tension centrale qui émerge dans la technologie d’entreprise : l’adoption de l’IA s’accélère rapidement dans les produits et les flux de travail, mais les mécanismes nécessaires pour suivre, gérer et sécuriser ces systèmes ne suivent pas le rythme.

L’IA recrée les problèmes de sécurité de la chaîne d’approvisionnement sous de nouvelles formes

Pendant plus d’une décennie, les organisations ont travaillé à améliorer la sécurité de la chaîne d’approvisionnement logicielle en suivant les dépendances, en surveillant les vulnérabilités et en établissant des cadres de gouvernance. Cependant, le rapport de Manifest soutient que l’IA réintroduit en fait de nombreux risques – maintenant répartis entre modèles, jeux de données, agents et services d’IA tiers.

Les composants d’IA fonctionnent souvent comme des systèmes opaques. Les entreprises ne peuvent souvent pas expliquer pleinement comment les modèles ont été formés, quels jeux de données ont été utilisés ou quels services externes sont intégrés dans leurs applications. En conséquence, les organisations sont confrontées à une nouvelle classe de risque de chaîne d’approvisionnement : des systèmes logiciels qu’elles ne peuvent pas inspecter, vérifier ou surveiller de manière fiable au fil du temps.

Le rapport souligne que la visibilité est déjà en train de diminuer. 63 % des organisations signalent la présence de « fantômes d’IA », qui font référence à des outils ou à des intégrations d’IA adoptés sans surveillance de la part des équipes de sécurité, d’approvisionnement ou de gestion des risques.

Daniel Bardenstein, PDG et co-fondateur de Manifest, a déclaré que les données révèlent un fossé croissant entre la perception des dirigeants et la réalité opérationnelle : « La confiance des dirigeants dans la préparation à l’IA ne correspond pas à ce que les équipes de sécurité rencontrent au quotidien. Les dirigeants pensent que la gouvernance est en place, mais les praticiens constatent une utilisation non gérée de l’IA, une propriété peu claire et des angles morts dans ce qui fonctionne réellement sur les produits et les fournisseurs. »

Les dirigeants disent qu’ils sont prêts, les équipes de sécurité ne sont pas d’accord

L’une des constatations les plus frappantes du rapport est la divergence entre la confiance des dirigeants et les évaluations de sécurité de première ligne.

Près de 80 % des dirigeants de la sécurité estiment que leurs organisations ont des pratiques de sécurité de l’IA matures, alors que seulement environ 40 % des équipes de sécurité des applications (AppSec) sont d’accord avec cette évaluation.

Les équipes AppSec sont souvent les premières à rencontrer des défaillances opérationnelles dans les cadres de gouvernance, car elles interagissent directement avec la chaîne d’approvisionnement logicielle. Ces praticiens signalent qu’ils rencontrent un grand nombre d’alertes, une propriété peu claire des responsabilités de sécurité et des outils fragmentés dans les environnements de développement et de sécurité.

Selon le rapport, 47 % des répondants ont identifié les équipes cloisonnées et la propriété peu claire comme le plus grand obstacle à l’amélioration de la sécurité de la chaîne d’approvisionnement logicielle.

Le résultat est un environnement dans lequel les organisations peuvent penser qu’elles ont des programmes de sécurité solides, alors que des lacunes critiques subsistent en matière de visibilité, de responsabilité et de coordination opérationnelle.

Le paradoxe de la SBOM : générée mais rarement utilisée

Une autre grande intuition de l’étude concerne les listes de matériaux logiciels (SBOM) – des inventaires de composants logiciels conçus pour aider les organisations à suivre les dépendances et les vulnérabilités.

L’adoption de la SBOM s’est considérablement élargie ces dernières années, en particulier en raison de la pression réglementaire et des attaques de la chaîne d’approvisionnement. Cependant, la recherche de Manifest suggère que de nombreuses organisations traitent la génération de la SBOM comme une case à cocher de conformité plutôt que comme une capacité opérationnelle.

Le rapport met en évidence plusieurs statistiques clés :

  • 60 % des organisations génèrent des SBOM
  • Plus de la moitié ne gèrent pas ou ne consomment pas activement ces SBOM dans la pratique
  • 79,6 % utilisent des outils d’analyse de composition logicielle (SCA)
  • L’utilisation opérationnelle de la SBOM reste nettement inférieure à 41,8 %

Sans intake centralisé, normalisation, application des politiques et surveillance continue, les SBOM deviennent des artefacts statiques plutôt que des outils de gestion des risques actifs.

Les équipes de sécurité expriment également des doutes à l’égard des plateformes traditionnelles d’analyse de composition logicielle. 56,3 % des répondants estiment que les outils SCA créent du bruit ou retardent les équipes de développement, tandis que 46,4 % d’entre eux doutent que ces outils réduisent réellement les risques logiciels dans le monde réel.

Cette déconnexion illustre un défi de maturité plus large : les organisations peuvent générer de grandes quantités de données de sécurité, mais elles manquent souvent d’infrastructures opérationnelles pour traduire ces signaux en réduction de risques actionnable.

Les données de transparence améliorent la sécurité et la rapidité de déploiement

Malgré ces défis, la recherche montre que les organisations qui parviennent à une transparence significative dans leurs chaînes d’approvisionnement logicielle bénéficient de avantages mesurables.

Près de la moitié des répondants (49,4 %) signalent recevoir des données de transparence vérifiables – telles que des SBOM, des dossiers de provenance ou des binaires signés – de la part des fournisseurs lors de l’approvisionnement.

Lorsque ces informations sont fiables et opérationnalisées, l’impact est important :

  • 64 % signalent une mise en œuvre plus rapide de nouvelles technologies
  • 61,6 % signalent une résolution plus rapide des problèmes de sécurité
  • 15,5 % signalent une réduction du temps d’arrêt

Les organisations qui manquent d’une telle transparence paient ce que le rapport décrit comme une « taxe de transparence » – le temps, le coût et les risques supplémentaires associés à l’examen manuel de composants logiciels opaques.

Les industries réglementées illustrent ce défi. Les services financiers et les organisations de soins de santé signalent l’un des taux les plus bas de réception de données de transparence vérifiables de la part des fournisseurs – 14,3 % et 19,5 % respectivement – malgré leur plus grand besoin.

L’adoption de l’IA s’accélère dans les entreprises

L’étude met également en évidence la rapidité avec laquelle l’IA s’est intégrée dans les écosystèmes logiciels d’entreprise.

Virtuellement aucune organisation interrogée n’a signalé éviter complètement l’IA. Au lieu de cela, les entreprises expérimentent différentes approches :

  • 80,2 % utilisent des modèles d’IA commerciaux approuvés à l’interne
  • 79,9 % utilisent largement des outils commerciaux tels que ChatGPT ou Cursor
  • 56,7 % forment des modèles de poids ouvert sur des données internes
  • 29,3 % construisent des modèles d’IA personnalisés à partir de zéro

Les services financiers et les sociétés de technologie sont à la pointe de l’adoption. Près de 90 % des organisations de services financiers signalent des modèles d’IA internes approuvés, et 46,9 % construisent des modèles personnalisés à partir de zéro, bien au-dessus de la moyenne globale.

Ces secteurs ont de fortes incitations à agir rapidement. Dans les services financiers, l’IA affecte directement la détection de la fraude, la gestion des risques et la génération de revenus. Dans les sociétés de technologie, l’IA est de plus en plus au cœur des offres de produits et des capacités de plateforme.

Cependant, le rythme rapide de l’adoption dépasse souvent la gouvernance.

L’IA fantôme devient un problème répandu

La recherche confirme que l’IA fantôme – des outils ou des modèles déployés sans surveillance formelle – est déjà répandue.

Seuls 34,8 % des répondants signalent ne pas avoir d’IA fantôme dans leurs organisations, tandis que le reste admet au moins une utilisation non gérée de l’IA.

Ce modèle reflète les vagues précédentes de « fantômes informatiques », où les employés adoptaient des services cloud ou des outils SaaS en dehors des processus de approvisionnement officiels.

Des différences régionales émergent également. Les organisations en EMEA signalent des taux plus élevés d’exploitation sans IA fantôme (45,7 %), probablement en raison de cadres réglementaires plus solides et de processus d’approvisionnement plus stricts par rapport aux autres régions.

Néanmoins, le rapport met en garde contre le fait que les outils de sécurité traditionnels n’ont jamais été conçus pour suivre les modèles d’IA, les jeux de données et les services à travers des environnements de développement distribués.

Les risques de licence et juridiques sont un autre point aveugle majeur

Au-delà de la gouvernance technique, l’étude met également en évidence les défis juridiques et de conformité associés à l’adoption de l’IA.

Comprendre les conditions de licence, les droits de propriété intellectuelle et les restrictions d’utilisation des modèles et des jeux de données d’IA reste difficile pour de nombreuses organisations. L’enquête a révélé :

  • 93 % des répondants estiment que leur organisation a besoin d’améliorer la gestion des licences et des obligations de propriété intellectuelle liées à l’IA
  • 54,6 % sont fortement d’accord pour dire que cela reste un défi majeur

Ces risques deviennent particulièrement aigus lorsque les organisations forment des modèles de poids ouvert sur des données internes ou combinent des jeux de données propriétaires avec des composants d’IA tiers.

Sans cadres de gouvernance plus solides, les entreprises pourraient involontairement introduire des violations de licence ou une exposition à la conformité dans les systèmes de production.

L’alignement opérationnel peut être le véritable défi

Alors que les outils de sécurité continuent d’évoluer, le rapport suggère que le plus grand obstacle à la sécurité efficace de la chaîne d’approvisionnement de l’IA peut ne pas être la technologie elle-même.

De nombreuses organisations luttent contre des contraintes organisationnelles, des flux de travail déconnectés et l’absence d’un système partagé d’enregistrement pour les composants logiciels et d’IA.

Les contraintes les plus souvent citées incluent :

  • 47,3 % des contraintes organisationnelles
  • 36,3 % des compétences insuffisantes
  • 35,7 % des limitations budgétaires
  • 34,8 % du manque de compréhension de la direction
  • 32,6 % des pénuries de personnel

Ces lacunes opérationnelles rendent difficile la traduction des signaux de sécurité en une application cohérente des politiques ou en une réduction mesurable des risques.

Pourquoi la sécurité de la chaîne d’approvisionnement de l’IA devient-elle une priorité stratégique

Alors que l’IA s’intègre dans chaque couche du logiciel d’entreprise, le concept de chaîne d’approvisionnement logicielle s’élargit pour inclure les modèles, les jeux de données de formation, les services d’inférence et les plateformes d’IA tierces.

Le rapport de Manifest conclut que les organisations doivent aller au-delà des outils de visibilité ponctuelle et établir un contrôle opérationnel continu sur leurs chaînes d’approvisionnement de l’IA.

Cela inclut :

  • Suivre tous les modèles d’IA utilisés dans les environnements de développement
  • Vérifier la provenance et la licence des données de formation
  • Appliquer les politiques de gouvernance pendant le développement et le déploiement
  • Maintenir des inventaires continus similaires à la SBOM pour les composants d’IA

Sans ces mécanismes, le fossé entre l’adoption de l’IA et la gouvernance de l’IA continuera de s’élargir.

Et comme l’étude le montre clairement, ce fossé existe déjà au sein de nombreuses entreprises aujourd’hui.

data En appliquant des politiques de gouvernance pendant le développement et le déploiement, en maintenant des inventaires continus similaires à la SBOM pour les composants d’IA. Sans ces mécanismes, le fossé entre l’adoption de l’IA et la gouvernance de l’IA continuera de s’élargir. Et comme l’étude le montre clairement, ce fossé existe déjà au sein de nombreuses entreprises aujourd’hui.

mm

Antoine est un leader visionnaire et partenaire fondateur de Unite.AI, animé par une passion inébranlable pour façonner et promouvoir l'avenir de l'IA et de la robotique. Un entrepreneur en série, il croit que l'IA sera aussi perturbatrice pour la société que l'électricité, et se fait souvent prendre en train de vanter le potentiel des technologies perturbatrices et de l'AGI.
En tant que futurist, il se consacre à explorer comment ces innovations vont façonner notre monde. En outre, il est le fondateur de Securities.io, une plateforme axée sur l'investissement dans les technologies de pointe qui redéfinissent l'avenir et remodelent des secteurs entiers.