Plus de dépenses en sécurité pour l’IA ne réduisent aucun de vos risques liés à l’IA

Les budgets de sécurité pour l’IA augmentent rapidement. Dans de nombreuses organisations, ils augmentent plus vite que les systèmes qu’ils sont censés protéger.

Cette disparité est facile à manquer. Les investissements dans l’intelligence artificielle continuent d’augmenter, avec un financement privé mondial atteignant $33,9 milliards en 2025 seul. Dans le même temps, les dirigeants de la sécurité sont invités à rendre compte des nouveaux risques liés au comportement des modèles, à l’exposition des données et à la manipulation adversaire. La réponse a été prévisible : plus d’outils, plus de contrôles et plus de budget.

Il est tentant de transformer cela en une conversation sur le coût de faire des affaires, une simple question de savoir combien les organisations doivent dépenser pour sécuriser l’IA. Mais c’est la mauvaise façon d’aborder ce nouveau problème. Au lieu de cela, les organisations doivent examiner si leur investissement dans l’IA sécurise réellement les bons outils.

Dans la plupart des entreprises, l’IA est toujours introduite au niveau de la tâche. Les équipes expérimentent avec la synthèse, l’assistance à la programmation, l’analyse ou l’automatisation des flux de travail pour améliorer la productivité individuelle. Ces outils livrent des gains localisés, mais ils changent rarement la façon dont les décisions sont prises ou dont les systèmes fonctionnent à un niveau plus large. Cet écart commence à se manifester dans les résultats. Alors que l’adoption est généralisée, seulement environ 20 % des organisations rapportent un impact significatif sur leur résultat net.

Les investissements en sécurité augmentent au même rythme que cette expérimentation. Cependant, dans de nombreux cas, ils sont appliqués à une collection croissante d’outils non connectés plutôt qu’à des systèmes cohérents qui façonnent la façon dont l’entreprise fonctionne réellement. L’IA est évaluée au niveau de la tâche, sécurisée au niveau du système et jamais entièrement conçue au niveau du flux de travail où la valeur réelle est créée.

L’adoption de l’IA se déploie plus vite qu’elle n’est intégrée

La plupart des déploiements d’IA aujourd’hui sont étroits par conception. Ils sont conçus pour rendre les tâches individuelles plus rapides plutôt que de remodeler la façon dont le travail s’écoule à travers les équipes ou les systèmes.

Une équipe de vente peut adopter l’IA pour rédiger des e-mails ou résumer des appels. Les équipes d’ingénieurs utilisent l’IA pour accélérer la génération de code. Les équipes d’exploitation expérimentent avec l’analyse ou le soutien à la prévision. Chacun de ces cas d’utilisation livre des gains de productivité mesurables au niveau individuel, et cela suffit souvent pour justifier l’investissement initial.

La complexité commence lorsque ces gains isolés s’accumulent.

Chaque déploiement introduit ses propres modèles, schémas d’accès aux données, API et dépendances. Au fil du temps, les organisations se retrouvent à gérer un écosystème croissant de capacités d’IA qui n’ont jamais été conçues pour fonctionner ensemble. Même maintenant, une grande partie des entreprises restent dans les premières phases d’expérimentation, avec de nombreuses initiatives qui ne sont pas encore intégrées dans les opérations commerciales de base.

Les équipes de sécurité héritent de cet environnement à mesure qu’il se forme. Ils sont invités à sécuriser non pas un seul système, mais une collection constamment changeante d’outils, d’intégrations et de flux de données qui s’étendent avec chaque nouvelle expérimentation. Sans une architecture unifiante, la sécurité devient un exercice de couverture plutôt que de contrôle.

Le véritable risque n’est pas les outils individuels, mais la fragmentation du système

Alors que l’expérimentation avec l’IA se poursuit, les attentes de la direction commencent à changer. Les conseils d’administration et les équipes de direction demandent comment les dépenses croissantes en IA se traduisent par des résultats commerciaux mesurables.

Lorsque les premières initiatives ne répondent pas aux attentes, les organisations ne ralentissent pas. Elles élargissent leurs efforts. Plus de pilotes sont lancés. Plus d’outils sont introduits. Plus d’intégrations sont créées à la recherche d’une valeur qui n’a pas encore été matérialisée. Les prévisions suggèrent déjà que plus de la moitié des projets d’IA pourraient échouer à atteindre la production ou à livrer les résultats attendus dans les prochaines années.

Pour les équipes de sécurité, ce cycle crée un nouveau type de risque.

Le défi n’est plus seulement de protéger des applications ou des modèles individuels. Il s’agit de gérer un environnement où le système sous-jacent change constamment. Chaque nouvel outil introduit de nouvelles identités, des flux de données et des comportements de modèles qui élargissent la surface d’attaque avant que les défenseurs n’aient le temps de la comprendre pleinement.

Dans ce contexte, l’augmentation des dépenses de sécurité ne réduit pas nécessairement le risque. Elle peut augmenter la complexité opérationnelle à la place. Protéger des systèmes fragmentés nécessite plus d’outils, plus de surveillance et plus de coordination, mais cela n’aborde pas la question de base, qui est l’absence d’une structure cohérente pour la façon dont l’IA est déployée et utilisée.

Les dépenses de sécurité deviennent stratégiques seulement lorsque l’IA devient opérationnelle

Nous sommes dans une excellente position en raison de l’investissement dans la sécurité de l’IA ; le degré d’innovation est astronomique, et même si le futur est prometteur pour les cas d’utilisation de l’IA, l’investissement en sécurité est souvent déconnecté de l’endroit où l’IA crée réellement de la valeur.

Lorsque l’IA est déployée principalement en tant que série d’outils de productivité isolés, les efforts de sécurité sont obligés de suivre cette fragmentation. Les équipes se retrouvent à protéger des dizaines d’applications non connectées qui ont une influence limitée sur les résultats commerciaux de base.

Une plus grande valeur émerge lorsque l’IA est intégrée dans les flux de travail qui façonnent la façon dont les organisations fonctionnent. La planification, la prévision, l’allocation des ressources et la prise de décision opérationnelle sont les endroits où l’IA commence à influencer les résultats de manière significative. Ce sont également les environnements où l’investissement en sécurité devient plus stratégique.

Sécuriser un outil non connecté protège une tâche. Sécuriser un système intégré protège un processus commercial.

C’est là que la distinction entre l’adoption au niveau de la tâche et la conception au niveau du flux de travail devient critique. L’IA qui n’est pas intégrée dans la façon dont les décisions sont prises aura du mal à livrer un impact mesurable. La sécurité qui n’est pas alignée sur ces systèmes de prise de décision aura du mal à réduire les risques significatifs.

Le changement doit survenir plus tôt que plus tard

Les organisations n’ont pas besoin de moins d’initiatives d’IA. Elles ont besoin d’initiatives plus intentionnelles.

Le premier changement concerne la façon dont le succès de l’IA est évalué. Si un déploiement ne change pas la façon dont les décisions sont prises ou dont le travail s’écoule à travers les équipes, son impact restera limité, quelle que soit la largeur de son adoption. Mesurer le succès au niveau du flux de travail plutôt qu’au niveau de la tâche fournit un signal plus clair de l’endroit où l’IA livre réellement de la valeur.

Le deuxième changement concerne la façon dont l’investissement en sécurité est priorisé. Au lieu de distribuer des contrôles sur chaque outil expérimental, les organisations devraient concentrer la protection autour des systèmes qui influencent la planification, les opérations et la prise de décision. Ce sont les environnements où le risque et la valeur se croisent.

Le troisième changement est structurel. Les systèmes d’IA introduisent de nouvelles formes de propriété qui s’étendent au-delà des frontières traditionnelles des applications. Les modèles, les données de formation, les pipelines de données et les sorties générées par l’IA nécessitent tous une responsabilité claire. Sans une propriété définie, la gouvernance devient incohérente et les lacunes en matière de sécurité deviennent plus difficiles à identifier.

Ensemble, ces changements éloignent les organisations de la sécurisation de l’activité et les rapprochent de la sécurisation des résultats.

Construire des systèmes d’IA qui peuvent réellement évoluer

Les organisations qui alignent l’adoption de l’IA sur la conception au niveau du flux de travail gagnent un chemin plus clair vers la valeur et le contrôle.

Les ressources de sécurité deviennent plus efficaces lorsqu’elles sont concentrées sur les systèmes qui comptent le plus plutôt que de être réparties sur des expérimentations non connectées. La direction gagne une meilleure visibilité sur la façon dont les investissements dans l’IA se traduisent par un impact opérationnel. Au fil du temps, les programmes d’IA deviennent plus durables parce qu’ils sont construits sur des systèmes structurés plutôt que sur des outils accumulés.

Les investissements dans l’IA ne ralentissent pas. Les dépenses de sécurité continueront d’augmenter aux côtés. La différence reposera sur la façon dont ces investissements sont appliqués.

Les organisations qui continuent à évoluer l’IA au niveau de la tâche se retrouveront à sécuriser une surface de plus en plus grande d’outils non connectés. Celles qui conçoivent l’IA au niveau du flux de travail seront en train de sécuriser des systèmes qui sont réellement dignes d’être protégés.