Ce qui préoccupe vraiment un RSSI face à l'IA en 2026

Les conférences de sécurité adorent parler d'attaques adversariales, de jailbreak sophistiqués et de modèles qui « s'échappent ». Ce sont des sujets légitimes pour la recherche. Ce n'est pas ce qui empêche un RSSI de dormir en 2026. Ce qui l'empêche de dormir, c'est ce qui se passe dans son entreprise en ce moment même.

La friction n°1 : les salariés qui contournent

74% des salariés utilisent des outils IA non autorisés par leur entreprise. Ce chiffre — mesuré par IBM en 2024 — n'a fait qu'augmenter depuis. Et ce n'est pas parce que les salariés sont malveillants. C'est parce que l'outil interdit les rend deux fois plus efficaces, et que la politique de sécurité leur oppose un « non » sans alternative.

Le problème du RSSI n'est pas de savoir si ses salariés utilisent ChatGPT. Ils le font. Le problème, c'est qu'il ne sait pas quelles données ils y mettent. Un salarié qui utilise ChatGPT pour reformuler un email interne, ça n'est pas le même risque qu'un salarié qui y colle le contrat d'acquisition non signé d'un client stratégique.

L'interdiction n'est pas une réponse — elle déplace le comportement vers des usages encore moins visibles. La bonne réponse est une alternative souveraine que les gens utilisent parce qu'elle fonctionne bien, pas par obligation.

La friction n°2 : les données dans les prompts

Les utilisateurs ne pensent pas en termes de « données personnelles » ou de « données stratégiques ». Ils pensent en termes de tâche à accomplir. Pour rédiger une synthèse, ils collent le document. Pour analyser un contrat, ils mettent le contrat. Pour préparer une réunion client, ils incluent tout le contexte client.

Le RSSI découvre ça en analysant les logs — quand il peut les analyser. Parce que la plupart des outils cloud grand public ne donnent aucune visibilité sur ce qui est envoyé. Pas de logs, pas d'audit, pas de DLP possible.

C'est une perte de contrôle fondamentale. Non pas parce que le fournisseur est malveillant, mais parce que le RSSI ne peut tout simplement pas faire son travail sans visibilité sur les flux de données.

La friction n°3 : les fournisseurs sans DPA

L'explosion des outils IA a créé une nouvelle catégorie de shadow IT : des abonnements SaaS IA pris par des managers sur leur budget frais généraux, sans passage par la DSI, sans évaluation sécurité, sans contrat de traitement de données (DPA).

Un outil d'IA sans DPA, c'est un traitement de données sans base légale au sens du RGPD. C'est potentiellement une violation de données si le fournisseur utilise les inputs pour entraîner ses modèles. Et le RSSI ne le découvre qu'après — lors d'un audit, d'un incident, ou d'une question d'un journaliste.

La liste des fournisseurs IA utilisés dans l'entreprise sans contrat formel est souvent bien plus longue qu'on ne le croit. Un inventaire honnête sur ce sujet est toujours inconfortable.

Du bloqueur au facilitateur : comment le RSSI change de rôle

Le RSSI qui dit « non à tout » perd sur les deux tableaux : les usages dangereux persistent dans l'ombre, et les usages utiles sont bridés. Son image dans l'entreprise est celle d'un obstacle, pas d'un partenaire.

Les RSSI qui s'en sortent le mieux ont fait le même pivot : ils ont arrêté de cataloguer les risques pour les cataloguer, et commencé à construire des solutions acceptables. Concrètement : une plateforme IA interne avec des niveaux de classification des données, des règles d'usage claires et des logs exploitables. Un processus d'homologation rapide pour les nouveaux outils IA — pas 6 mois, 3 semaines — avec une checklist connue de tous.

Ce que le RSSI doit exiger d'un fournisseur IA est simple : un DPA en bonne et due forme, une liste des sous-traitants, une garantie que les données ne servent pas à l'entraînement des modèles, et des logs d'accès auditables. Ce n'est pas excessif — c'est le minimum pour faire son travail.

Ce qu'il n'a pas à exiger : la perfection. Un outil IA souverain déployé avec ces garanties vaut mieux que l'interdiction de facto qui pousse les usages vers des outils sans aucune garantie.