2. Blogs

Personnes, processus et technologie : les trois piliers d’une sécurité réussie pour l’IA générative

04 juin 2025 Rob peters

Les chiffres fiables et précis sont difficiles à obtenir, mais au moins la moitié des projets de cybersécurité en entreprise n’atteignent pas leurs objectifs. Pourquoi ? Trop souvent, les entreprises cherchent à imposer une solution technologique à des utilisateurs qui n’ont pas participé à son élaboration et qui, par conséquent, la rejette. Chez Orange Business, nous pensons qu’une solution ne peut être efficace que si elle prend en compte les process, les personnes, et la technologie. Dans cet article, nous aborderons à travers ce prisme un défi auquel tout responsable en cybersécurité est confronté lors de l’opérationnalisation d’un projet d’IA générative : la prévention des fuites de données.

Par nature, les projets d’IA générative manipulent des données sensibles sur une surface d’attaque étendue, augmentant ainsi la vulnérabilité des systèmes. Tant que ces risques ne sont pas maîtrisés, la généralisation de projets à l’échelle restera compromise.

Les responsables cybersécurité ont parfaitement identifié ce problème. Une étude menée par GlobalData révèle d’ailleurs que 96 % des entreprises estiment nécessaire de revoir leur stratégie de cybersécurité en raison de l’IA générative. Pourtant, selon Gartner, 30 % des projets GenAI seront abandonnés d’ici 2025 en raison notamment d’un dispositif de gestion des risques insuffisant. Autrement dit, même si les entreprises comprennent les enjeux, elles sont encore nombreuses à ne pas savoir comment y répondre concrètement.

Imposer ou accompagner ?

On pourrait croire qu’il suffit de choisir la meilleure solution de cybersécurité, puis de la déployer uniformément dans votre entreprise. Mais, depuis la pandémie, les attentes des utilisateurs en matière d’expérience ont considérablement évolué. Si une solution de sécurité complique leur quotidien au lieu de l’alléger, ils risquent tout simplement de ne pas l’utiliser – ou de la rejeter. Quant à l’interdiction pure et simple de certains outils GenAI, elle ne fonctionne pas : si les utilisateurs veulent l’utiliser, ils trouveront un moyen d’y accéder. Résultat : un phénomène de « GenAI fantôme » se développe, aggravant les risques que l’interdiction était censée éviter.

Chez Orange Business, nous privilégions l’accompagnement et la pédagogie plutôt que l’interdiction. Il est bien sûr légitime de bloquer certains outils ou usages à haut risque, mais il est essentiel de proposer des alternatives. Il faut contextualiser les usages, via des alertes intégrées qui informent les utilisateurs des risques et les incitent à adopter les bons réflexes. Et, dans toute entreprise, certains collaborateurs ont plus d’influence que d’autres : alors mieux vaut les impliquer dès le départ pour en faire les ambassadeurs du projet.

Cette approche fait partie intégrante d’une démarche de conduite du changement, qui considère les individus et les processus aussi importants que la technologie dans la réussite d’un projet de cybersécurité. Il n’existe pas de solution miracle garantissant à elle seule la sécurité de vos services d’IA générative; en revanche, une approche structurée autour de ces trois piliers permet de maximiser vos chances de succès.

Pour illustrer la pertinence de cette démarche, concentrons-nous sur un défi clé induit par les services GenAI, et pour lequel les bonnes pratiques restent encore à définir : la propagation des données sensibles.

Un seau percé

Les risques sont réels lorsque les collaborateurs saisissent des informations sensibles ou confidentielles dans des outils GenAI. Cela peut engendrer des fuites de données par différents canaux :

  • Exposition involontaire : un collaborateur peut, sans le savoir, transmettre des données confidentielles à un moteur d’IA — prévisions financières, projets d’acquisition, résultats de recherche non publiés, etc.
  • Rétention des données par les fournisseurs d’IA : de nombreux outils d’IA générative conservent les requêtes utilisateur pour améliorer leurs modèles, ce qui peut exposer des données sensibles à des tiers non autorisés.
  • Non-conformité réglementaire : transmettre des données sensibles à des outils externes peut violer le RGPD, le CCPA ou le HIPAA, avec à la clé des risques juridiques et financiers.
  • Atteinte à la réputation : une fuite d’information peut sérieusement nuire à l’image de marque de l’entreprise et éroder la confiance des clients.

Les piliers d’une adoption sécurisée et réussie de l’IA générative

Pour adopter les outils d’IA générative tout en maîtrisant les risques, il faut d’abord définir les résultats attendus, en intégrant trois dimensions clés : personnes, processus, et technologie. Seule cette approche globale peut vous garantir une cybersécurité optimale.

1. La technologie

La technologie constitue la base de toute intégration sécurisée de l’IA. Des mesures efficaces sont nécessaires pour éviter les fuites de données et les accès non autorisés. Les solutions de type SASE apportent un cadre complet pour relever ces défis technologiques :

  • Contrôles d’accès granulaire : mettre en œuvre une gestion des accès basée sur les rôles (RBAC) afin de garantir que seuls les utilisateurs autorisés puissent accéder aux outils d’IA générative. L’accès aux données sensibles doit être limité en fonction des rôles et responsabilités de chacun.
  • Politiques d’accès conditionnel : appliquer des mesures de sécurité adaptées au contexte en utilisant des politiques d’accès conditionnel, tenant compte par exemple du type d’appareil, de l’emplacement ou du comportement de l’utilisateur. Vous pouvez, à titre d’exemple, restreindre l’accès aux outils d’IA générative depuis des appareils non gérés.
  • Analyse du comportement des utilisateurs (UBA, User Behavior Analytics) : surveiller les activités des utilisateurs pour détecter d’éventuelles anomalies, telles que des transferts de données inhabituels ou des schémas d’accès suspects. L’UBA permet d’identifier des menaces internes potentielles ou des comptes compromis.
  • Prévention des pertes de données (DLP, Data Loss Prevention) : déployer des solutions DLP afin d’empêcher que des données sensibles ne soient partagées avec des outils d’IA. Les politiques DLP peuvent bloquer ou masquer les informations confidentielles avant leur transmission.
  • Création et traitement des tickets en temps réel : intégrer la surveillance de l’usage de la GenAI aux outils de gestion des services informatiques (ITSM, IT service management) afin de générer automatiquement des tickets en cas de non-conformité pour une résolution plus efficace des incidents.

2. Les personnes

Le facteur humain joue un rôle essentiel dans la sécurisation de l’usage de l’IA générative et Les collaborateurs sont votre première ligne de défense. Les entreprises doivent placer les utilisateurs au cœur de leur dispositif, en veillant à ce qu’ils soient régulièrement informés des risques et de la réglementation en vigueur. Cela implique notamment :

  • Sensibilisation des utilisateurs : former les employés aux risques liés au partage de données critiques avec des outils GenAI. Ces formations doivent s’appuyer sur des exemples concrets et intégrer les bonnes pratiques en matière de cybersécurité.
  • Connaissance de la réglementation : s’assurer que les collaborateurs comprennent les obligations réglementaires et les conséquences liées à des pratiques inadéquates. Cela inclut une formation sur les lois relatives à la protection des données et sur les politiques internes de l’entreprise.

3. Les processus

Des processus bien définis sont essentiels pour assurer un usage sécurisé des outils d’IA générative, notamment un accompagnement en temps réel, des circuits d’approbation clairs et des mises à jour régulières des politiques internes. Les points clés à considérer sont les suivants :

  • Accompagnement contextuel des utilisateurs : fournir une assistance en temps réel lors de l’utilisation des outils GenAI. Par exemple, afficher des alertes si des données sensibles sont détectées dans les saisies de l’utilisateur.
  • Méthodes de classification des données : mettre en place des systèmes robustes de classification pour identifier et étiqueter les informations sensibles. Cela permet aux politiques de prévention des pertes de données (DLP) de protéger efficacement les données critiques.
  • Flux d’approbation pour l’utilisation des outils d’IA : établir des circuits d’approbation avant l’accès aux outils GenAI. Une validation d’un manager ou du responsable conformité doit être requise pour certains usages spécifiques.
  • Révision régulière des politiques : adapter en continu les politiques de sécurité afin de répondre à l’émergence de nouveaux risques et à l’évolution technologique. Des audits réguliers garantissent leur pertinence et leur efficacité.

Conclusion

Selon une étude récente, 89 % des CEO dans le monde estiment que l’IA sera essentielle à la rentabilité future de leur entreprise — la révolution l’IA générative est bel et bien en marche. Pourtant, de nombreuses entreprises peinent encore à opérationnaliser leurs services : leurs projets risquent de ne jamais voir le jour. Le véritable défi réside dans le fait que, plus que pour toute autre technologie, la GenAI requiert une approche globale, cohérente et de bout en bout. C’est pourquoi les compétences uniques d’Orange Business — expert en connectivité, intégrateur de systèmes, spécialiste de la donnée, leader en cybersécurité et pionnier de l’IA — font de nous un partenaire de référence.

C’est aussi la raison pour laquelle l’approche fondée sur les trois piliers (personnes, processus et technologies) est particulièrement pertinente pour ceux qui cherchent à sécuriser leur service de GenAI — et pourquoi nous défendons activement les solutions SASE. Ce modèle intègre sécurité réseau et connectivité dans un cadre unifié, parfaitement adapté à la maîtrise de la circulation des données sensibles au sein des outils GenAI. Celles et ceux qui adoptent cette démarche ont bien moins de risques de faire partie des 50 % de projets de sécurité qui échouent, ou des 30 % de projets GenAI abandonnés.

Recommandé pour vous

Rob peters

Rob est responsable mondial de l’architecture SOC pour les solutions SASE chez Orange Cyberdefense. Il pilote la stratégie mondiale d’Orange en matière de services managés et co-managés SASE/SSE. Il collabore étroitement avec nos partenaires technologiques, les experts de la cybersécurité et les équipes SOC à travers le monde afin de valoriser notre approche SASE indépendante des fournisseurs, et d’assurer un positionnement différenciant et performant.