Risques cachés, coûts supplémentaires et retour sur investissement plus lent…
Une étude de Lenovo met en lumière un fossé croissant dans l’exécution de l’IA, les entreprises peinant à la contrôler et à l’exploiter au sein de leurs environnements. Un probème de maîtrise.
« Le défi n’est plus l’adoption de l’IA, mais sa mise en œuvre, estime Rakshit Ghura, Vice President & General Manager – DWS, Lenovo. L’utilisation de l’IA croît plus vite que les entreprises ne peuvent la contrôler et la sécuriser. Sans ce contrôle, elle engendre autant de risques et de coûts que d’opportunités ! »
L’IA est déjà largement utilisée dans votre organisation, qu’elle soit officiellement approuvée ou non. Et c’est là le problème. Le dernier rapport « Work Reborn » de Lenovo, intitulé « Leading Your Workforce to Triumph with AI » révèle que plus de 70 % des employés utilisent l’IA chaque semaine et qu’un tiers d’entre eux l’utilisent en dehors du cadre de la supervision informatique. Parallèlement, 80 % prévoient d’accroître leur dépendance à l’IA au cours de l’année à venir.
Il ne s’agit plus seulement d’un défi informatique, constate Rakshit Ghura. Cette évolution accroît la surface d’attaque sur les appareils, les terminaux et les flux de données, introduisant des risques non maîtrisés et augmentant la probabilité que des données sensibles de l’entreprise soient exposées ou consultées sans contrôles adéquats. « Ce constat révèle un fossé croissant dans l’exécution : son utilisation s’accélère, mais son contrôle ne suit pas ! »
Une IA non maîtrisée impacte déjà la performance des entreprises
Lorsque l’utilisation de l’IA se développe sans visibilité ni gouvernance, l’impact n’est pas théorique. Il affecte déjà les coûts, la sécurité et la capacité à déployer l’IA à l’échelle de l’entreprise.
Les entreprises constatent un retour sur investissement retardé, car les initiatives d’IA restent fragmentées entre les équipes ; des dépenses dupliquées, avec plusieurs outils qui résolvent les mêmes problèmes en silos ; une surface d’attaque accrue, car des outils non autorisés accèdent aux données de l’entreprise et un manque de visibilité, ce qui rend difficile la généralisation des solutions performantes.
« Parallèlement, l’adoption de l’IA est inégale au sein des effectifs, continue Rakshit Ghura. Si certains employés travaillent dans des environnements sécurisés et optimisés, d’autres dépendent des outils auxquels ils ont accès pour rester productifs. Cela crée une main-d’œuvre à deux vitesses qui ralentit la prise de décision, duplique les efforts et rend difficile l’adoption cohérente et à l’échelle de l’entreprise de l’IA. »
L’IA incontrôlée accroît la surface d’attaque plus vite que la sécurité ne peut réagir
Avec l’accélération de l’utilisation de l’IA, les risques augmentent en conséquence. 61 % des responsables IT constatent une hausse des menaces de cybersécurité liées à l’IA, mais seulement 31 % se sentent capables de gérer ces risques. Parallèlement, 43 % des employés s’inquiètent de l’exposition des données ou des attaques induites par l’IA.
« En l’absence d’une gouvernance claire, l’IA étend discrètement la surface d’attaque de l’entreprise, augmentant ainsi la probabilité de violations de données, de non-conformité et de perturbations opérationnelles. »
Le problème ? Une gestion fragmentée. La plupart des organisations tentent de gérer l’IA à travers des couches déconnectées. Les appareils sont déployés et gérés d’une manière, l’infrastructure d’une autre. La sécurité est souvent ajoutée après coup.
Ajouter des outils ou des politiques ne résout pas le problème. Cela accroît la complexité, crée des lacunes entre les terminaux et l’infrastructure et rend difficile l’application d’un contrôle cohérent dans l’ensemble de l’environnement.
L’approche de Lenovo : maîtriser au niveau de l’appareil et exploiter la sécurité en tant que service
Lenovo adopte une approche fondamentalement différente. Le contrôle est établi dès l’entrée de l’IA dans l’entreprise : l’appareil. Lenovo intègre ensuite le déploiement des appareils, la gestion de leur cycle de vie, l’infrastructure et la sécurité dans un modèle opérationnel unique et gouverné, fourni par TruScale Device as a Service for Security.
Il ne s’agit pas simplement d’une combinaison de technologies. C’est un service entièrement géré qui réunit des appareils de qualité professionnelle, sécurisés dès le premier jour ; une protection intégrée des appareils et du firmware grâce à Lenovo ThinkShield ; une sécurité avancée des terminaux fournie par des partenaires de premier plan et des services de sécurité gérés 24 h/24 et 7 j/7, incluant la surveillance, la détection et la réponse
« La plupart des organisations doivent assembler et exploiter elles-mêmes cette solution auprès de plusieurs fournisseurs. Lenovo la propose sous la forme d’un service géré unique et complet, simplifiant ainsi la complexité et comblant les lacunes de l’environnement. »
Cet article met justement en lumière une tension que beaucoup d’organisations ressentent : l’IA est déployée plus vite qu’elle n’est maîtrisée. Mais il me semble que le diagnostic peut être poussé plus loin.
Le sujet n’est pas seulement que l’IA est « mal maîtrisée » ; c’est que, dans sa forme actuelle, elle est difficilement maîtrisable par conception. On voit bien, y compris dans les exemples évoqués autour des systèmes agentiques, que l’on ajoute des couches d’usage, de contrôle ou de gouvernance autour de modèles dont le cœur reste largement opaque et probabiliste. Autrement dit, on tente de corriger à la périphérie ce qui relève d’une limite structurelle.
Dans tous les systèmes critiques, la maîtrise ne repose pas sur des règles externes mais sur des mécanismes intégrés : traçabilité, vérification, capacité de contrainte, possibilité de contestation. Or, c’est précisément ce qui fait défaut aujourd’hui. On parle beaucoup d’explicabilité, de cadre, de bonnes pratiques.
Cela étant, expliquer n’est pas prouver, et encadrer n’est pas gouverner.
Tant que les conditions de validité des décisions ne sont pas intrinsèquement structurées dans les systèmes eux-mêmes, la maîtrise restera partielle et fragile.
La vraie question n’est donc pas de savoir comment mieux encadrer l’IA telle qu’elle existe, mais si nous sommes prêts à concevoir des systèmes réellement gouvernables, capables de produire des résultats justifiables, vérifiables et contrôlables. À défaut, nous continuerons à avancer avec des systèmes performants mais dont l’acceptabilité restera, au fond, toujours conditionnelle.