Aller au contenu principal
Sécurité

L'IA est entrée dans nos outils. Voici comment on a décidé de garder la main.

Un jour, j'ai vu un bout de code client partir dans un chatbot grand public. Rien de méchant, juste un développeur qui voulait aller plus vite. C'est ce jour-là que j'ai compris que la vraie question, avec l'IA, n'était pas « est-ce qu'on l'utilise ? » mais « est-ce qu'on garde la main dessus ? ». Récit, et ce qu'on en a tiré pour nous comme pour nos clients.

Photo de David Patiashvili David Patiashvili 6 min de lecture
Menu « AI Actions » d'un assistant d'intelligence artificielle ouvert dans un éditeur de code, proposant d'expliquer, refactorer ou corriger du code.
Sommaire

    Un matin, en passant derrière un écran, j’ai vu défiler quelque chose qui m’a fait m’arrêter net : un morceau de code d’un de nos clients, collé tel quel dans la fenêtre d’un chatbot grand public. Pas par malveillance — au contraire. Le développeur voulait juste comprendre une erreur récalcitrante, et l’assistant lui avait répondu en deux secondes. Efficace. Pratique. Et pourtant, à cet instant précis, des lignes appartenant à un client venaient de quitter notre environnement pour atterrir sur les serveurs d’une entreprise tierce, quelque part, sous des conditions d’utilisation que personne n’avait vraiment lues.

    Ce n’était la faute de personne. C’est exactement ça, le problème.

    Le réflexe avant la règle

    On a tendance à imaginer les incidents de sécurité comme des attaques : un pirate, une faille, une intrusion. La réalité, avec l’intelligence artificielle, est beaucoup plus banale — et c’est ce qui la rend dangereuse. Le risque n’arrive pas par effraction. Il entre par la porte d’à côté, porté par des gens compétents et bien intentionnés qui veulent simplement faire leur travail plus vite.

    On appelle ça le « shadow AI » : l’usage d’outils d’IA non encadrés, en dehors de tout cadre validé par l’entreprise. Un contrat glissé dans un assistant pour en faire le résumé. Une base de prospects copiée dans un tableur intelligent. Une question posée à un chatbot avec, en pièce jointe, un document confidentiel. Chaque geste paraît anodin. Mis bout à bout, ils dessinent une fuite continue, invisible, dont personne ne tient le journal.

    Et le plus troublant, c’est que je comprends parfaitement ce réflexe. Ces outils sont remarquables. Ils font gagner un temps fou. Leur interdire purement et simplement, c’est se condamner à voir ses équipes les utiliser en cachette — ce qui est encore pire. La vraie question n’a jamais été « est-ce qu’on utilise l’IA ? ». Elle est : « est-ce qu’on garde la main dessus ? »

    Où vont vraiment les données

    Pour décider, il faut d’abord comprendre une chose simple : quand vous tapez quelque chose dans un service d’IA en ligne, ce texte part. Il quitte votre poste, transite par Internet, arrive sur une infrastructure que vous ne maîtrisez pas. Selon le service et la formule choisie, il peut être conservé, relu pour « améliorer le modèle », hébergé hors d’Europe, soumis à un droit étranger. Parfois rien de tout cela. Mais la plupart du temps, personne dans l’entreprise n’est capable de dire avec certitude ce qu’il advient de ce qui a été saisi.

    Pour une agence comme la nôtre, qui construit des logiciels et manipule au quotidien des données qui ne nous appartiennent pas, cette incertitude n’est pas acceptable. Nos clients nous confient leur code, leurs bases, leurs secrets industriels. Le minimum qu’ils attendent, c’est qu’on sache où ça va.

    C’est pour cette raison qu’on a arrêté de raisonner en « pour ou contre l’IA ». On a commencé à raisonner en niveaux de confidentialité. Une question générale de syntaxe ? Aucun problème, aucun risque. Un document interne sans donnée sensible ? Sur un outil validé, encadré, oui. Du code client, des données personnelles, des informations stratégiques ? Jamais sur un service grand public — et là, on bascule sur des solutions qu’on contrôle.

    Brancher un chatbot, ou intégrer l’IA sous contrôle

    C’est toute la différence entre deux mondes qu’on confond souvent.

    Le premier, c’est l’IA « presse-bouton » : on ouvre un onglet, on parle à un assistant public, on récupère une réponse. Génial pour une recherche personnelle, inadapté dès qu’une donnée a de la valeur.

    Le second, c’est l’IA intégrée à vos outils, dans vos conditions. Les modèles sont les mêmes, ou presque. Ce qui change, c’est tout autour : qui a accès à quoi, ce qui est journalisé, ce qui ne sort jamais de votre périmètre. On peut connecter un assistant à vos outils métier — Drive, CRM, ticketing, bases internes — via un serveur MCP sécurisé, avec un contrôle d’accès et une traçabilité dignes d’une entreprise. L’assistant devient réellement utile, parce qu’il connaît votre contexte, sans pour autant que vos données partent à la dérive.

    C’est aussi ce qui permet de garder son indépendance. Bâtir toute son organisation sur un seul fournisseur d’IA, c’est accepter de subir ses changements de prix, de conditions, de disponibilité. Garder la main, c’est pouvoir changer de modèle sans tout reconstruire.

    Ce qu’on a mis en place — et ce qu’on installe chez nos clients

    De cette histoire de code collé un matin, on a tiré quelques principes simples, qu’on applique d’abord à nous-mêmes :

    • Une règle claire, pas un interdit flou. Tout le monde sait ce qui peut aller dans un outil d’IA, et ce qui ne le peut pas. Une charte d’une page vaut mieux qu’un règlement que personne ne lit.
    • Des outils validés plutôt que la débrouille. Quand une équipe a un bon outil encadré sous la main, elle n’a plus besoin d’aller en chercher un dans son coin.
    • De la traçabilité. Savoir qui interroge quoi, c’est pouvoir détecter un usage à risque avant qu’il ne devienne un incident.
    • Une formation honnête. Expliquer pourquoi une donnée ne doit pas sortir est mille fois plus efficace que de l’interdire sans raison.

    C’est exactement ce qu’on installe aujourd’hui chez ceux qui nous le demandent : on cadre une stratégie IA réaliste, on intègre les modèles dans les process existants sans bouleverser les habitudes, on connecte les outils métier via un serveur MCP sécurisé, et quand il faut y voir clair sur l’existant, on mène un audit technique qui regarde aussi du côté des usages d’IA déjà en place.

    Garder la main, ce n’est pas freiner

    Je terminerai par où j’ai commencé. Ce développeur qui collait du code dans un chatbot ne faisait rien de plus que ce que des milliers de personnes font chaque jour, dans des milliers d’entreprises, sans même y penser. Le réflexe est là. Il ne disparaîtra pas. La seule chose qui dépend de nous, c’est de décider s’il s’exerce dans le vide ou dans un cadre.

    Garder la main sur l’IA, ce n’est pas s’en méfier ni la ralentir. C’est tout l’inverse : c’est se donner les moyens de l’utiliser à fond, partout, sans avoir à se demander chaque matin ce qu’on vient, sans le vouloir, de laisser filer.

    #Sécurité #Intelligence artificielle #Bonnes pratiques #Culture numérique
    Partager

    En savoir plus

    Nos prestations associées

    Audit

    Audit technique

    Évaluation indépendante de votre stack — code, sécurité, dette, scaling, coûts. Rapport actionnable, pas un PDF qui dort.

    En savoir plus

    À lire aussi

    Tous les articles →