9 avril 2026

Le déficit humain

IA contre IA
| Partie
5

Temps de lecture :

5 minutes

Un contrat de 6 mois. Quatre métiers dans une seule offre d'emploi. Les personnes capables de faire ce boulot ne le recherchent pas. Les agences de recrutement n'arrivent pas à les contacter. Il y a une autre solution.

Découvre toute la série sur la sécurité de l'IA

1. La faille que personne ne surveille
93 % de confiance. 29 % de préparation. Une seule personne a piraté un chatbot et vidé dix administrations. Le fossé entre ce qu’on raconte aux dirigeants et ce que dit le rapport d’incident.

2. Ils sont plus rapides que toi
Des temps de pénétration de 27 secondes. Des attaques de phishing générées par l’IA qui connaissent ton équipe par son nom. Le hacker au sweat à capuche noir a lui aussi perdu son boulot au profit de l’IA. Ce qui l’a remplacé ne dort jamais.

3. Ton IA, c'est leur porte d'entrée
76 % des entreprises ont une IA « fantôme ». La menace n’est pas à la porte. Elle a un badge que tu lui as donné. Des modèles intégrés par les fournisseurs, des plugins compromis et les outils que ton équipe a elle-même installés.

4. La souveraineté, c'est un choix d'architecture
Tout le monde parle de « souveraineté ». Cet article explique ce qui se passe quand ton client te pose la question et que ta réponse doit être nuancée. Interchangeabilité, indépendance vis-à-vis des fournisseurs, et ce que le CLOUD Act implique pour les données canadiennes.

5. Le problème des ressources humaines
L'offre d'emploi en sécurité IA demande quatre profils en une seule personne. Cette personne n'existe pas. Le travail, lui, existe bel et bien. Des banques d'heures, un contexte réutilisable et un PMO qui assure la cohésion de l'ensemble.

6. Quelles questions poser à ton fournisseur
Sept questions. Imprime-les. Apporte-les à la réunion. Attends-toi à des réponses directes, pas à des changements de sujet soigneusement formulés. Pose-les à tout le monde. Y compris à nous.

7. À quoi ça ressemble quand la sécurité de l'IA fonctionne
Mardi matin. Le téléphone n'a pas sonné. Le client n'est pas parti. Le fil de discussion sur Reddit n'a pas été publié. Voilà à quoi ressemble une bonne sécurité.

Auteur

Dimitri Phalen est le responsable marketing chez ISM préfère le langage simple aux grandes promesses. Depuis des années, il bosse en coulisses pour transformer des problèmes informatiques compliqués et confus en solutions concrètes que les équipes peuvent vraiment utiliser. Si un texte donne l'impression d'avoir été écrit par quelqu'un qui n'a pas bu assez de café et qui est resté assis trop près de l'équipe de développement pendant trop longtemps, c'est sûrement de sa faute.

RESPONSABLE DE LA SÉCURITÉ IA
Contrat de 6 mois | Télétravail (Canada) | Habilitation de sécurité requise
Possibilité de prolongation

On cherche un pro expérimenté pour prendre en charge notre programme de sécurité IA.
Tu seras sous la responsabilité du RSSI et tu travailleras en collaboration avec les équipes de sécurité, de données et d’IA.

Exigences :
- Architecture de sécurité, 5 ans d’expérience ou plus
- Expérience en gouvernance et classification des données
- Opérations d’apprentissage automatique et déploiement de modèles
- Conformité réglementaire (LPRPDE, spécifique au secteur)
- Capacité à diriger de manière transversale entre les parties prenantes techniques et la direction

Atouts :
- Expérience avec les cadres « policy-as-code »
- Connaissance des exigences canadiennes en matière de souveraineté
- Bilingue (contrats fédéraux)
- Capacité à expliquer les risques liés à l’IA à un conseil d’administration en langage simple

Tu seras le programme. Pas d’équipe. Pas d’adjoints. Tu es responsable de la stratégie,
de l’architecture, de la gouvernance, des relations avec les fournisseurs, de la conformité
des déclarations réglementaires, des présentations au conseil d’administration et des appels d’urgence à 2 heures du matin.
Tu es le service.

Rémunération compétitive. Publié il y a 8 mois.
3 000 candidatures générées par l’IA.
Des dizaines d’entretiens infructueux.
Deux candidats que nous pouvions nous permettre.
Aucun des deux ne remplissait la moitié des critères requis.
Le contrat est toujours ouvert. Le périmètre n’a pas changé.

Gary a écrit ce message

Gary met à jour la liste des candidats depuis juillet. Elle a été partagée sur un Teams à Ottawa, dans un groupe LinkedIn à Toronto, et sur un forum gouvernemental consacré à la sécurité qui compte peut-être une quarantaine de lecteurs actifs les bonnes semaines. C'est épuisant. Aucun candidat qualifié n'est sorti de tout ça. Le projet doit avancer, tout de suite.

Un autre recruteur envoie des candidats qui maîtrisent l'architecture de sécurité mais qui n'ont jamais mis les mains sur un ensemble de données d'entraînement. Ou des candidats qui connaissent les ML Ops sur le bout des doigts mais qui pensent que la LPRPDE est une posture de yoga. Les meilleurs d’entre eux n’acceptent pas de mission de six mois. Les CV générés par l’IA s’améliorent aussi, ce qui est une ironie en soi : la menace contre laquelle Gary essaie de se prémunir, c’est justement cette technologie qui inonde sa boîte mail de faux candidats qui, sur le papier, correspondent exactement au profil qu’il recherche.

Un vrai candidat remplissait tous les critères. Il voulait 280 000 $ par an, la sécurité de l'emploi et une équipe de quatre personnes sous ses ordres, ce qui va plutôt à l'encontre de l'objectif d'un contrat de six mois où il était précisé : « Tu es le service tout entier ». Sur un marché canadien où le vivier de talents qualifiés pour ce poste hybride se compte en dizaines, et non en centaines, l'offre de Gary n'est pas seulement en concurrence avec d'autres entreprises. Elle est en concurrence avec les lois des maths.

Cinq métiers en trench-coat

  1. Architecture de sécurité, plus de 5 ans d'expérience. C'est quelqu'un qui a passé la dernière décennie au sein de centres d'opérations de sécurité (SOC), à concevoir des modèles de menaces et à mettre en place des cadres de détection. Cette personne raisonne en termes de périmètres et de surfaces d'attaque. Elle n'a jamais passé une seule journée à entraîner un modèle d'apprentissage automatique.
  2. Gouvernance et classification des données. C'est un tout autre profil. Quelqu'un qui a passé des années à cataloguer, à mettre en place des cadres taxonomiques, à se disputer avec les services opérationnels pour définir ce qui est considéré comme « sensible ». Cette personne raisonne en termes de schémas et de politiques de conservation. Elle n'a jamais écrit de règle YARA.
  3. Opérations ML et déploiement de modèles. Une troisième carrière. Ingénierie de plateforme. Pipelines, gestion des versions de modèles, surveillance des dérives. Ils pensent en termes d’époques et de latence d’inférence. Ils n’ont jamais eu à subir un audit de conformité.
  4. Conformité réglementaire. Carrière n° 4. Dans le domaine juridique, ça maîtrise parfaitement la LPRPDE, le patchwork des réglementations provinciales et les cadres éthiques sur l'IA qui changent tous les trimestres. Ces gens-là pensent en termes d'obligations et de preuves. Ils n'ont jamais eu à trier une alerte à 2 heures du matin.
  5. L'annonce recherche quelqu'un dont le CV doit faire état de quatre carrières menées en parallèle pendant cinq ans. Cette personne n'existe pas. Pas parce que ces compétences sont rares prises individuellement. Mais parce qu'aucun parcours professionnel au monde ne permet d'obtenir cette combinaison chez un seul et même individu. Tu recrutes pour un personnage de film de braquage, pas pour un poste dans ton organigramme.

Ceux qui en sont capables ne cherchent pas de missions ponctuelles

Voilà ce qui rend la situation vraiment pénible, et pas seulement difficile. L’architecte cloud avec une habilitation de sécurité canadienne qui a défini l’infrastructure d’IA dans des environnements réglementés ? Elle a un emploi. Depuis six ans. Elle fait partie de l’équipe de quelqu’un en ce moment même, en plein déploiement, et elle ne passe pas son temps à parcourir les sites d’offres d’emploi entre deux réunions. Elle cherche juste à gravir les échelons, pas un petit boulot temporaire en parallèle. Le responsable de la gouvernance qui a mené des sprints de classification fédérale ? Il est en plein projet à Ottawa et son agenda est complet jusqu’en septembre. L’ingénieure en opérations d’apprentissage automatique qui a déployé des modèles avec des garde-fous réglementaires en production ? Elle a refusé trois recruteurs le mois dernier parce que les missions étaient des contrats avec des agences qui ne pouvaient pas décrire l’environnement dans lequel elle allait se retrouver.

Ces gens-là ne sont pas au chômage. Ils ne sont pas entre deux boulots. Ils ne sont pas assis dans un Starbucks à Mississauga en train de mettre à jour leur titre sur LinkedIn pour indiquer « ouvert à de nouvelles opportunités ». Ils travaillent.

Les agences de recrutement que Gary appelle ensuite pêchent dans le même étang vide. Elles recrutent sur le marché libre, trouvent n’importe qui de niveau inférieur qui est disponible, sélectionnent les candidats sur la base de mots-clés plutôt que de leur expérience, et envoient à Gary quelqu’un qui a besoin de trois semaines de formation pour comprendre dans quoi il s’embarque. Cette personne travaille chez Gary, c’est vrai. Mais elle part de zéro dans un environnement qu’elle ne connaît pas, apprend les règles de conformité aux frais de Gary, et repart au bout de six mois avec tout ce qu’elle a appris. La suivante repart de zéro. Gary paie le prix fort pour un cycle de mise en route permanent où il forme la personne qu’il vient d’embaucher.

Entre-temps, huit mois se sont écoulés. Au cours de ces huit mois, les attaques basées sur l’IA ont augmenté de 89 % par rapport à l’année d’avant. Le temps nécessaire pour contourner les protections est tombé à vingt-neuf minutes. Quelqu’un a piraté un chatbot et vidé dix agences gouvernementales de leurs données. Trois services du bâtiment de Gary ont adopté des outils d’IA parallèles que personne n’avait vérifiés. La campagne de hameçonnage qui a touché tous les Gary du bâtiment au trimestre dernier ? Personne ne la surveillait, parce que la personne censée s’en charger n’est toujours qu’une ligne vide dans l’organigramme. L’architecture de souveraineté que le RSSI a présentée en janvier ? Elle est toujours dans un diaporama, en attendant que quelqu’un la mette en place.

Le rapport de Kyndryl sur l'état de préparation indique que 67 % des entreprises citent la pénurie de talents comme leur principal défi en matière de sécurité. Ce n'est pas une pénurie de main-d'œuvre. C'est une pénurie de personnes disponibles sur un marché où les meilleurs sont déjà pris, et où le canal que tout le monde utilise pour les trouver a été conçu pour un monde où ce sont les candidats qualifiés qui cherchent du travail. Autrement dit, les meilleurs sont déjà pris, ma chérie.

Ce qui ISM des autres

Les collaborateurs ISMfont déjà partie de l’équipe. Ils ont déjà obtenu leur habilitation. Ils travaillent déjà dans des environnements similaires au tien, soumis au même cadre réglementaire et utilisant les mêmes outils. Quand un client a besoin d’un architecte cloud pour définir le périmètre de son infrastructure d’IA, ISM publie ISM offre d’emploi. L’entreprise affecte quelqu’un qui a terminé une mission similaire le mois dernier. Cette personne arrive le lundi et est opérationnelle dès le mardi, car elle a déjà été formée sur le projet d’un autre client au trimestre dernier.

Ils travaillent au sein de ton environnement. Sous ta direction. Ils rendent compte à ton RSSI, participent à tes réunions quotidiennes et opèrent dans le cadre de ta gouvernance. Ce ne sont pas des étrangers qui débarquent avec un dossier de méthodologie. Ce sont des spécialistes qui effectuent le travail défini par ton équipe, en connaissant suffisamment le contexte pour s’y atteler sans qu’on leur demande sans cesse : « Alors, où est la documentation ? »

C’est le système de « banque d’heures » qui rend ce modèle de travail financièrement viable. La sécurité IA, ça ne se résume pas à quarante heures par semaine pendant six mois. Ça, c’est être architecte cloud pendant six semaines, puis enchaîner avec un sprint de gouvernance, un audit de conformité, puis un déploiement. Les heures montent en flèche puis redescendent. Tu utilises quarante heures ce mois-ci, dix le mois prochain, soixante le mois d’après. C’est le projet qui détermine les dépenses, pas l’inverse. Tu ne paies pas un prestataire pour qu’il reste assis à ne rien faire entre deux phases, et tu ne paies pas la marge d’une agence sur un employé qu’elle a trouvé jeudi dernier.

Et quand la phase suivante démarre, la personne qui a défini ton architecture en janvier peut revenir en juin sans repartir de zéro. Même habilitation de sécurité. Même savoir-faire institutionnel. Même compréhension des raisons pour lesquelles la solution de contournement de Gary datant de 2021 tient toujours la route, et des trois éléments qui plantent si tu y touches un vendredi. C’est cette continuité qui constitue ISMvéritable avantage concurrentiel ISM. Pas le fait qu’ils aient du personnel. Tout le monde a du personnel. C’est que leurs collaborateurs conservent le contexte d’une mission à l’autre, et c’est ce contexte qui transforme un blocage de six mois en une livraison en six semaines. Le modèle complet, les banques d’heures, le contexte réutilisable et le fonctionnement du recrutement direct auprès d’une réserve de collaborateurs salariés sont présentés dans la série « Staffing ».

Gary a clôturé le fil de discussion

Huit mois. Trois mille candidatures générées par l’IA. Des dizaines d’entretiens. Un contrat qui n’a pas bougé d’un pouce. L’agence de recrutement vient d’envoyer un autre CV. Une personne différente, même démarrage à froid, même période d’adaptation de trois semaines, même départ au bout de six mois, avec tout le contexte qui s’en va avec elle.

Le boulot, c'est du sérieux. L'annonce pour le poste de licorne ne va pas se remplir toute seule. Le talent dont Gary a besoin existe, mais il ne cherche pas Gary, et les agences que Gary contacte n'arrivent pas à le trouver. Ferme l'annonce. Recrute des gens qui ont déjà fait ce boulot. Les portes ne se gardent pas toutes seules.

À lire ensuite

Tu as l'architecture, la prise de conscience, le plan de souveraineté et l'équipe. L'article 6 explique ce qui se passe quand tu te retrouves face à un fournisseur et que tu commences à lui poser les questions qui fâchent. Sept questions, pour être précis. La démo était impeccable. Puis quelqu'un a demandé où s'exécutait l'inférence. L'ambiance a tout de suite changé. Que demander à ton fournisseur ?

Références

Rapport Kyndryl sur l'état de préparation en matière de sécurité et de réseaux 2025-2026: 67 % des personnes interrogées citent la pénurie de talents comme principal défi en matière de sécurité

Rapport mondial sur les menaces 2026 de CrowdStrike: augmentation de 89 % des opérations menées par des attaquants utilisant l'IA, temps moyen de pénétration de 29 minutes

Tu veux savoir comment on fonctionne ?

Chaque conversation commence par ton environnement. Pas par notre liste de produits.

Contacte-nous
FlècheFlèche

Ce n'est pas une question de technologie ou de processus. Ce qui compte, ce sont tes clients, tes utilisateurs et la confiance que tu as su gagner à la sueur de ton front. Toutes nos équipes gardent ça à l'esprit.

Appel à l'action sur mobile