Augmenter les dépenses en sécurité de l'IA ne réduit pas vos risques liés à l'IA

Les budgets alloués à la sécurité de l'IA augmentent rapidement. Dans de nombreuses organisations, ils augmentent plus vite que les systèmes qu'ils sont censés protéger.

Ce déséquilibre est facile à négliger. Les investissements dans l'intelligence artificielle continuent de s'accélérer, avec un financement privé mondial atteignant 33.9 milliards de dollars rien qu'en 2025Parallèlement, les responsables de la sécurité sont appelés à prendre en compte de nouveaux risques liés au comportement des modèles, à l'exposition des données et aux manipulations malveillantes. La réponse était prévisible : davantage d'outils, de contrôles et de budget.

Il est tentant de réduire ce débat à une simple question de coût des opérations, ou de savoir combien les entreprises doivent dépenser pour sécuriser leur IA. Or, ce serait une erreur d'aborder ce nouveau problème. Les entreprises doivent plutôt se demander si leurs investissements en IA leur permettent réellement d'acquérir les outils adéquats.

Dans la plupart des entreprises, l'IA est encore introduite au niveau des tâches. Les équipes expérimentent la synthèse, l'assistance au codage, l'analyse de données ou l'automatisation des flux de travail pour améliorer la productivité individuelle. Ces outils apportent des gains localisés, mais ils modifient rarement la prise de décision ou le fonctionnement des systèmes à plus grande échelle. Cet écart commence à se refléter dans les résultats. Bien que l'adoption soit généralisée, seule une petite partie des résultats obtenus est significativement différente. 20% d'organisations signaler un impact significatif sur leurs résultats financiers.

Les investissements en sécurité augmentent au même rythme que ces expérimentations. Pourtant, bien souvent, ils sont appliqués à un nombre croissant d'outils disparates plutôt qu'à des systèmes cohérents qui façonnent le fonctionnement réel de l'entreprise. L'IA est évaluée au niveau des tâches, sécurisée au niveau du système, et jamais pleinement conçue au niveau des flux de travail, là où se crée la véritable valeur ajoutée.

L'adoption de l'IA se développe plus rapidement que son intégration.

La plupart des déploiements d'IA actuels sont volontairement limités. Ils sont conçus pour accélérer des tâches individuelles plutôt que pour transformer en profondeur les flux de travail entre les équipes ou les systèmes.

Une équipe commerciale peut utiliser l'IA pour rédiger des e-mails ou résumer des appels. Les équipes d'ingénierie l'utilisent pour accélérer la génération de code. Les équipes opérationnelles expérimentent des outils d'analyse ou de prévision. Chacun de ces cas d'usage génère des gains de productivité mesurables, ce qui suffit souvent à justifier l'investissement initial.

La complexité commence lorsque ces gains isolés s'accumulent.

Chaque déploiement introduit ses propres modèles, modes d'accès aux données, API et dépendances. Au fil du temps, les organisations se retrouvent à gérer un écosystème croissant de capacités d'IA qui n'ont jamais été conçues pour fonctionner ensemble. Aujourd'hui encore, une grande partie des entreprises en sont aux prémices de l'expérimentation, et de nombreuses initiatives ne sont pas encore intégrées à leurs activités principales.

Les équipes de sécurité héritent de cet environnement en constante évolution. Elles doivent sécuriser non pas un système unique, mais un ensemble évolutif d'outils, d'intégrations et de flux de données qui s'enrichit à chaque nouvelle expérimentation. Sans architecture unifiée, la sécurité se résume à une simple couverture plutôt qu'à un véritable contrôle.

Le véritable risque ne réside pas dans les outils individuels, mais dans la fragmentation du système.

À mesure que l'expérimentation en IA se poursuit, les attentes des dirigeants évoluent. Les conseils d'administration et les équipes de direction s'interrogent sur la manière dont l'augmentation des dépenses en IA se traduit en résultats commerciaux concrets.

Lorsque les premières initiatives n'aboutissent pas, les organisations ralentissent rarement. Elles intensifient leurs efforts. De nouveaux projets pilotes sont lancés. De nouveaux outils sont introduits. De nouvelles intégrations sont créées dans l'espoir d'obtenir une valeur qui ne s'est pas encore concrétisée. Les prévisions indiquent déjà que… Plus de la moitié des projets d'IA risquent d'échouer. atteindre la production ou obtenir les résultats escomptés dans les années à venir.

Pour les équipes de sécurité, ce cycle crée un nouveau type de risque.

Le défi ne consiste plus seulement à protéger des applications ou des modèles individuels. Il s'agit de gérer un environnement où le système sous-jacent évolue constamment. Chaque nouvel outil introduit des identités, des flux de données et des comportements de modèles supplémentaires qui élargissent la surface d'attaque avant même que les équipes de défense n'aient eu le temps de la comprendre pleinement.

Dans ce contexte, l'augmentation des dépenses en sécurité ne réduit pas nécessairement les risques. Elle peut au contraire accroître la complexité opérationnelle. Protéger des systèmes fragmentés exige davantage d'outils, de surveillance et de coordination, mais ne résout pas le problème de fond : l'absence d'une structure cohérente pour le déploiement et l'utilisation de l'IA.

Les dépenses de sécurité ne deviennent stratégiques que lorsque l'IA devient opérationnelle.

Nous sommes dans une situation idéale grâce aux investissements dans la sécurité de l'IA ; le niveau d'innovation est astronomique, et bien que l'avenir soit prometteur pour les cas d'utilisation de l'IA, les investissements en sécurité sont souvent déconnectés des domaines où l'IA crée réellement de la valeur.

Lorsque l'IA est déployée principalement comme un ensemble d'outils de productivité isolés, les efforts de sécurité sont contraints de suivre cette fragmentation. Les équipes se retrouvent à protéger des dizaines d'applications déconnectées ayant une influence limitée sur les résultats opérationnels essentiels.

L'intelligence artificielle (IA) prend une valeur considérable lorsqu'elle est intégrée aux processus qui régissent le fonctionnement des organisations. La planification, les prévisions, l'allocation des ressources et la prise de décision opérationnelle sont les domaines où l'IA commence à influencer significativement les résultats. Ce sont également dans ces environnements que l'investissement en sécurité devient plus stratégique.

Sécuriser un outil isolé protège une tâche. Sécuriser un système intégré protège un processus métier.

C’est là que la distinction entre l’adoption au niveau des tâches et la conception au niveau des flux de travail devient cruciale. Une IA non intégrée aux processus décisionnels aura du mal à produire un impact mesurable. Une sécurité non alignée sur ces systèmes de décision aura du mal à réduire significativement les risques.

Le changement doit intervenir au plus tôt.

Les organisations n'ont pas besoin de moins d'initiatives en matière d'IA. Elles ont besoin d'initiatives plus ciblées.

Le premier changement concerne l'évaluation du succès de l'IA. Si son déploiement ne modifie pas la prise de décision ni la circulation du travail entre les équipes, son impact restera limité, quelle que soit son adoption. Mesurer le succès au niveau du flux de travail plutôt qu'au niveau de la tâche permet de mieux identifier les domaines où l'IA apporte réellement de la valeur.

Le deuxième changement concerne la priorisation des investissements en sécurité. Au lieu de répartir les contrôles sur tous les outils expérimentaux, les organisations devraient concentrer la protection sur les systèmes qui influencent la planification, les opérations et la prise de décision. C’est dans ces environnements que se rencontrent risque et valeur.

Le troisième changement est structurel. Les systèmes d'IA introduisent de nouvelles formes de propriété qui dépassent les limites traditionnelles des applications. Modèles, données d'entraînement, pipelines de données et résultats générés par l'IA exigent tous une responsabilité clairement définie. Sans responsabilité clairement définie, la gouvernance devient incohérente et les failles de sécurité plus difficiles à identifier.

Pris dans leur ensemble, ces changements amènent les organisations à passer d'une approche axée sur la sécurisation des activités à une approche axée sur la sécurisation des résultats.

Concevoir des systèmes d'IA capables de s'adapter à grande échelle.

Les organisations qui intègrent l'adoption de l'IA à la conception de leurs flux de travail bénéficient d'une voie plus claire vers la création de valeur et le contrôle.

Les ressources en sécurité sont plus efficaces lorsqu'elles sont concentrées sur les systèmes les plus critiques plutôt que dispersées dans des expérimentations isolées. La direction bénéficie d'une meilleure visibilité sur l'impact opérationnel des investissements en IA. À terme, les programmes d'IA gagnent en pérennité car ils reposent sur des systèmes structurés plutôt que sur une accumulation d'outils.

Les investissements dans l'IA ne ralentissent pas. Les dépenses en sécurité continueront d'augmenter parallèlement. La différence se fera sentir dans la manière dont ces investissements seront utilisés.

Les organisations qui continuent de déployer l'IA à grande échelle au niveau des tâches devront sécuriser un nombre croissant d'outils non connectés. Celles qui conçoivent l'IA au niveau des flux de travail sécuriseront des systèmes qui méritent réellement d'être protégés.