La vraie question n'est pas « pourquoi les DSI tardent-ils ? » mais « pourquoi prendrait-on le risque d'aller vite ? »

Le problème n'est pas la technologie

Les DSI savent très bien ce que peut faire un LLM. Ils ont fait les POC, lu les benchmarks, assisté aux démos. La technologie, ils la comprennent. Ce qui les bloque, c'est tout le reste.

Qui est responsable si le modèle hallucine un conseil juridique ? Qui garantit que les données de production ne partent pas chez OpenAI ? Qui expliquera à l'auditeur RGPD pourquoi on a branché les RH sur un cloud américain ?

La pression vient des deux côtés

D'un côté, la direction générale veut « faire de l'IA » parce que la concurrence en fait. De l'autre, le DPO rappelle l'EU AI Act. Le RSSI signale les risques d'injection de prompt. Le comité d'entreprise pose des questions sur l'emploi.

Le DSI est au centre. Et contrairement au DG qui veut aller vite, c'est lui qui signe les incidents de sécurité.

Ce qui change vraiment la donne

Les DSI qui avancent ont tous résolu le même problème : ils ont trouvé un périmètre où le risque est maîtrisé. Pas l'IA partout, l'IA sur un cas d'usage précis, avec des données non-sensibles, une supervision humaine, et un déploiement qui reste dans leur périmètre.

C'est exactement l'inverse du « déployez ChatGPT Enterprise et on verra ». C'est de l'ingénierie de risque, pas de la timidité.

En résumé

  • Les DSI qui freinent évaluent correctement le risque — ils ne le fuient pas
  • La vraie accélération passe par des périmètres maîtrisés, pas par des déploiements généraux
  • La souveraineté du déploiement supprime 80% des objections juridiques et sécurité