7 avril 2026

À quoi ça ressemble quand la sécurité de l'IA fonctionne bien

IA contre IA
| Partie
7

Temps de lecture :

3 minutes

Mardi matin. Le téléphone n'a pas sonné. Le client n'est pas parti. Le fil de discussion sur Reddit n'a pas été publié. Voilà à quoi ressemble une bonne journée.

Découvre toute la série sur la sécurité de l'IA

1. La faille que personne ne surveille
93 % de confiance. 29 % de préparation. Une seule personne a piraté un chatbot et vidé dix administrations. Le fossé entre ce qu’on raconte aux dirigeants et ce que dit le rapport d’incident.

2. Ils sont plus rapides que toi
Des temps de pénétration de 27 secondes. Des attaques de phishing générées par l’IA qui connaissent ton équipe par son nom. Le hacker au sweat à capuche noir a lui aussi perdu son boulot au profit de l’IA. Ce qui l’a remplacé ne dort jamais.

3. Ton IA, c'est leur porte d'entrée
76 % des entreprises ont une IA « fantôme ». La menace n’est pas à la porte. Elle a un badge que tu lui as donné. Des modèles intégrés par les fournisseurs, des plugins compromis et les outils que ton équipe a elle-même installés.

4. La souveraineté, c'est un choix d'architecture
Tout le monde parle de « souveraineté ». Cet article explique ce qui se passe quand ton client te pose la question et que ta réponse doit être nuancée. Interchangeabilité, indépendance vis-à-vis des fournisseurs, et ce que le CLOUD Act implique pour les données canadiennes.

5. Le problème des ressources humaines
L'offre d'emploi en sécurité IA demande quatre profils en une seule personne. Cette personne n'existe pas. Le travail, lui, existe bel et bien. Des banques d'heures, un contexte réutilisable et un PMO qui assure la cohésion de l'ensemble.

6. Quelles questions poser à ton fournisseur
Sept questions. Imprime-les. Apporte-les à la réunion. Attends-toi à des réponses directes, pas à des changements de sujet soigneusement formulés. Pose-les à tout le monde. Y compris à nous.

7. À quoi ça ressemble quand la sécurité de l'IA fonctionne
Mardi matin. Le téléphone n'a pas sonné. Le client n'est pas parti. Le fil de discussion sur Reddit n'a pas été publié. Voilà à quoi ressemble une bonne sécurité.

Auteur

Dimitri Phalen est le responsable marketing chez ISM préfère le langage simple aux grandes promesses. Depuis des années, il bosse en coulisses pour transformer des problèmes informatiques compliqués et confus en solutions concrètes que les équipes peuvent vraiment utiliser. Si un texte donne l'impression d'avoir été écrit par quelqu'un qui n'a pas bu assez de café et qui est resté assis trop près de l'équipe de développement pendant trop longtemps, c'est sûrement de sa faute.

Mardi matin. Début mars. Il fait encore nuit quand la première personne se connecte depuis chez elle, un café à la main, tandis que son chat fait des bêtises avec les rideaux. Les tâches planifiées de la nuit sont terminées. Le pipeline d'inférence IA a traité sa file d'attente. Le tableau de bord de conformité s'est mis à jour tout seul. Le centre des opérations de sécurité de Barrie n'a signalé rien d'inhabituel dans les données télémétriques de l'IA.

Le téléphone du RSSI était posé sur la table de chevet, silencieux, tellement ennuyeux.

Une campagne de phishing a frappé l'entreprise cette nuit. Elle était personnalisée : un e-mail par employé, créé à partir de profils LinkedIn récupérés et de données publiques sur les projets, programmé pour arriver juste entre la fin du service de nuit et le début de la matinée. Chaque e-mail était différent. Chacun avait l’air authentique. Aucun n’a marché. La couche de politiques a intercepté chaque identifiant compromis au moment même de la tentative, avant qu’une session ne puisse démarrer, avant qu’une autorisation ne puisse être testée. Les e-mails se trouvent dans un journal de quarantaine que quelqu’un examinera après la réunion du matin. Personne n’est pressé. L’infrastructure a tenu le coup parce qu’elle a été conçue pour ça, pas parce que quelqu’un a eu de la chance un mardi.

En ce moment même, pendant qu’on parle, Gary utilise un outil d’IA pour faire quelque chose qui lui aurait pris trois jours avec l’ancienne méthode. La différence, c’est que cet outil a été validé. L’accès aux données est limité par une politique. Les résultats sont consignés. Quand Gary tombe inévitablement sur un nouvel outil dans une publication LinkedIn et s’inscrit avec son adresse e-mail pro, la couche de gouvernance le repère, l’évalue, puis soit l’intègre au système, soit explique gentiment à Gary pourquoi celui-ci ne répond pas aux critères. Le travail de catalogage et de classification qui a permis de mettre en place ces garde-fous a été effectué il y a des mois par des personnes qui sont déjà passées à une autre mission. Gary ne se sent pas limité. Gary a l’impression d’aller vite.

Gary a aussi posé la question n° 7 lors de la réunion avec les fournisseurs le mois dernier. Où se font les déductions. Que se passe-t-il si la situation commerciale change ? Quelqu'un a fini par remarquer à quel point c'était important. L'équipe de Gary passe une bonne année.

Le client n’a jamais posté sur Reddit. Il n’y avait rien à dire. Leurs données sont au Canada, gérées par des Canadiens, et soumises à la législation canadienne. Quand les pratiques d’un concurrent en matière de données ont fait la une des journaux locaux le mois dernier, quelques clients ont pris des nouvelles. La réponse tenait en une phrase. Une seule phrase a suffi. Ils sont restés. Pas parce qu’ils étaient prisonniers d’un contrat. Mais parce qu’on s’occupait bien d’eux.

La réunion du conseil d'administration de la semaine prochaine a à l'ordre du jour « l'expansion de l'IA » au lieu de « l'évaluation des risques liés à l'IA ». L'équipe de sécurité planifie, elle ne réagit pas. Le budget est stable parce que l'architecture est stable. L'équipe qui a mis en place le programme de sécurité IA n'a pas été constituée d'un seul « licorne » qu'il a fallu huit mois à dénicher. Elle s'est formée avec quatre spécialistes en quatre mois, chacun arrivant avec son bagage, chacun repartant sans emporter la mémoire institutionnelle, un PMO pour assurer la cohésion, et un « compte d'heures » qui a permis de commencer le travail dès la première semaine au lieu du neuvième mois.

ISM les bases dans les entreprises canadiennes depuis plus de cinquante ans. Les noms changent. La gouvernance des données. La préparation au cloud. La préparation à l’IA. La sécurité de l’IA. Mais le travail de fond reste le même. Ça a toujours été pareil. Kyndryl apporte son expertise mondiale, ses partenariats et sa plateforme qui a fait ses preuves dans des milliers d’environnements. ISM tout ça en une solution qui marche ici. Une architecture locale. Une maîtrise technique stable. Du personnel habilité. Des gens qui répondent au téléphone un samedi matin de février parce qu’ils habitent ici, que le parking est déjà enseveli sous la neige et qu’ils viennent quand même travailler.

Le vent de la prairie est en train de faire des ravages sur ce parking en ce moment, mais à l'intérieur, tout est resté en place.

93 % de confiance. 29 % de préparation. On a commencé cette série avec ces chiffres parce que c'est dans l'écart entre les deux que tout se joue. Sept articles plus tard, cet écart s’est comblé. Pas grâce au lancement d’un produit. Pas grâce à une présentation PowerPoint. Grâce au travail. Le genre de travail qui ne fait pas l’objet d’un discours d’ouverture, d’une étude de cas ou d’un gros titre. Le genre de travail qui fait qu’un mardi matin, le téléphone n’a pas sonné, le client n’est pas parti et le fil de discussion sur Reddit n’a pas été créé.

Voilà à quoi ressemble la beauté.

Si tu as lu les sept articles, merci. Si tu commences par celui-ci, les six autres valent le détour. Si tu veux discuter de la manière dont ça se passe dans ton milieu, on est faciles à joindre.

Références

Rapport Kyndryl sur l'état de préparation en matière de sécurité et de réseaux 2025-2026: 93 % de confiance, 29 % de préparation

La plateforme Kyndryl Bridge: des analyses basées sur l'IA et l'automatisation opérationnelle à grande échelle

Centre d'opérations de sécurité de Kyndryl, à Barrie, en Ontario: géré par du personnel canadien et Azure Microsoft Azure

Tu veux savoir comment on fonctionne ?

Chaque conversation commence par ton environnement. Pas par notre liste de produits.

Contacte-nous
FlècheFlèche

Ce n'est pas une question de technologie ou de processus. Ce qui compte, ce sont tes clients, tes utilisateurs et la confiance que tu as su gagner à la sueur de ton front. Toutes nos équipes gardent ça à l'esprit.

Appel à l'action sur mobile