L’émergence et la démocratisation de l’intelligence artificielle (IA) au quotidien, notamment dans le monde de l’entreprise, provoquent un changement radical des méthodes de travail. Si les gains de productivité font de l’IA un outil incontournable, son développement rapide suscite des inquiétudes légitimes quant à la confidentialité des données et à l’automatisation de la prise de décision. Le récent « Flash Ingérence » n°117 de la DGSI met en lumière des vulnérabilités critiques que les experts en infrastructure et en cybersécurité doivent impérativement adresser.
1. Analyse Technique : Des Algorithmes aux Vecteurs d’Attaque
L’IA générative, bien qu’offrant des perspectives d’innovation inédites, introduit des risques structurels liés à la gestion des flux de données.
Le risque de « Shadow AI » et l’Exfiltration de Données
L’usage d’outils d’IA « grand public » par les salariés, souvent sans l’aval de la hiérarchie, transforme des documents confidentiels en données d’entraînement pour des modèles tiers. Techniquement, les versions gratuites et standards utilisent les données entrées par l’utilisateur pour affiner leurs modèles. De plus, les politiques de confidentialité imposent souvent le stockage sur des serveurs étrangers, soumettant ces données à des lois à portée extraterritoriale.
Vulnérabilités Logicielles et API
La connexion des applications d’IA à des outils externes via des interfaces logicielles (API) ou des plugins augmente la surface d’attaque. Ces couches logicielles sont souvent moins sécurisées, favorisant les fuites de données ou les attaques cybernétiques ciblées.
Nouvelles Typologies d’Attaques
Le rapport identifie des méthodes offensives avancées utilisant l’IA :
- Adversarial Examples Attack : Manipulation des données d’entrée (ex: modification subtile d’une image) pour tromper l’algorithme et provoquer des comportements dangereux dans des systèmes critiques.
- Empoisonnement des données (Data Poisoning) : Injection de fausses données durant le processus d’apprentissage pour biaiser ou saboter le système.
- Deepfakes et Ingénierie Sociale : Utilisation de l’IA pour créer des contenus truqués (visage et voix) afin de commettre des escroqueries par hypertrucage.
2. Impacts sur l’Infrastructure : Intégrité et Souveraineté
L’intégration de l’IA modifie profondément la posture de sécurité de l’infrastructure informatique.
La Perte de Contrôle et l’Effet « Boîte Noire »
Les décisions prises par certains systèmes d’IA sont complexes à auditer. Cette opacité réduit la confiance et complexifie la prise de décision éclairée. En déléguant entièrement des tâches critiques (comme la due diligence) à des outils étrangers, les entreprises s’exposent à des biais algorithmiques et à des « hallucinations » — où l’IA crée des événements de toute pièce.
Risques Juridiques et de Conformité
Le stockage des données sur des serveurs distants hors de l’Union Européenne peut entraîner la responsabilité de l’entreprise au regard du RGPD et d’autres réglementations nationales. La question de la propriété intellectuelle des données issues de l’IA reste également un point de vigilance majeur.
3. Recommandations : Actions Pragmatiques pour une Cyber-Infra Résiliente
Pour mitiger ces risques, la DGSI préconise une approche structurée alliant gouvernance et solutions techniques locales.
Durcissement de la Gouvernance IT
- Mise à jour de la Charte Informatique : Il est impératif d’expliciter le cadre d’emploi de l’IA et de préciser le niveau de sensibilité des informations autorisées.
- Transparence Obligatoire : Signaler systématiquement l’usage de l’IA à la hiérarchie ou aux clients pour permettre une meilleure appréhension des erreurs potentielles.
Stratégies d’Infrastructure Souveraine
- Privilégier l’IA en Local : Déployer des systèmes d’IA fonctionnant directement sur le Système d’Information (SI) de l’utilisateur, sans connexion constante à des serveurs externes. Cela assure une confidentialité totale et un contrôle renforcé des données traitées.
- IA de Confiance : Favoriser le recours à des solutions hébergeant leurs données en France et respectant strictement le RGPD.
Vigilance Opérationnelle
- Expertise Métier : Ne jamais fonder une décision uniquement sur les résultats de l’IA. L’intervention d’experts qualifiés ou de Data Scientists est nécessaire pour analyser la qualité et le fonctionnement de l’outil.
- Anonymisation des Requêtes : En cas d’usage d’outils gratuits, il est crucial d’anonymiser systématiquement les requêtes et de ne jamais soumettre de données personnelles ou sensibles.
Conclusion
L’intelligence artificielle est un levier de croissance, mais sa mise en œuvre ne doit pas se faire au détriment de la sécurité économique et de la souveraineté des données. La vigilance humaine reste le dernier rempart contre les dérives technologiques, les biais et les tentatives d’ingérence sophistiquées.
Source : Flash DGSI #117 – Décembre 2025