7 avril 2026

Les questions à poser à ton fournisseur

IA contre IA
| Partie
6

Temps de lecture :

5 minutes

Sept questions. Imprime-les. Apporte-les à la réunion. La démo était au point. Puis quelqu'un a demandé où s'effectuait l'inférence. L'ambiance a tout de suite changé.

Découvre toute la série sur la sécurité de l'IA

1. La faille que personne ne surveille
93 % de confiance. 29 % de préparation. Une seule personne a piraté un chatbot et vidé dix administrations. Le fossé entre ce qu’on raconte aux dirigeants et ce que dit le rapport d’incident.

2. Ils sont plus rapides que toi
Des temps de pénétration de 27 secondes. Des attaques de phishing générées par l’IA qui connaissent ton équipe par son nom. Le hacker au sweat à capuche noir a lui aussi perdu son boulot au profit de l’IA. Ce qui l’a remplacé ne dort jamais.

3. Ton IA, c'est leur porte d'entrée
76 % des entreprises ont une IA « fantôme ». La menace n’est pas à la porte. Elle a un badge que tu lui as donné. Des modèles intégrés par les fournisseurs, des plugins compromis et les outils que ton équipe a elle-même installés.

4. La souveraineté, c'est un choix d'architecture
Tout le monde parle de « souveraineté ». Cet article explique ce qui se passe quand ton client te pose la question et que ta réponse doit être nuancée. Interchangeabilité, indépendance vis-à-vis des fournisseurs, et ce que le CLOUD Act implique pour les données canadiennes.

5. Le problème des ressources humaines
L'offre d'emploi en sécurité IA demande quatre profils en une seule personne. Cette personne n'existe pas. Le travail, lui, existe bel et bien. Des banques d'heures, un contexte réutilisable et un PMO qui assure la cohésion de l'ensemble.

6. Quelles questions poser à ton fournisseur
Sept questions. Imprime-les. Apporte-les à la réunion. Attends-toi à des réponses directes, pas à des changements de sujet soigneusement formulés. Pose-les à tout le monde. Y compris à nous.

7. À quoi ça ressemble quand la sécurité de l'IA fonctionne
Mardi matin. Le téléphone n'a pas sonné. Le client n'est pas parti. Le fil de discussion sur Reddit n'a pas été publié. Voilà à quoi ressemble une bonne sécurité.

Auteur

Dimitri Phalen est le responsable marketing chez ISM préfère le langage simple aux grandes promesses. Depuis des années, il bosse en coulisses pour transformer des problèmes informatiques compliqués et confus en solutions concrètes que les équipes peuvent vraiment utiliser. Si un texte donne l'impression d'avoir été écrit par quelqu'un qui n'a pas bu assez de café et qui est resté assis trop près de l'équipe de développement pendant trop longtemps, c'est sûrement de sa faute.

La démo était impeccable. Elles le sont toujours. Le chargé de compte connaissait ton secteur d’activité, a lâché le nom de ton concurrent comme une menace en passant, et a utilisé le mot « souverain » juste assez de fois pour paraître bien informé sans avoir à prouver quoi que ce soit. Les diapos avaient cette nuance spécifique de bleu « d’entreprise » qui veut dire « on a dépensé pas mal d’argent chez une agence de design ». Quarante-cinq minutes de confiance pure et sans accroc. Tu en as presque oublié qu’on était en train de te vendre quelque chose.

Puis Gary a demandé où s'exécutait l'inférence.

Un demi-temps. Juste un demi-temps. Puis une phrase techniquement exacte, un peu comme une prévision météo annonçant un ciel « partiellement nuageux » est techniquement exacte pendant les tempêtes de grêle à Calgary. Deux clauses de nuance. Une référence à un accord de partenariat qui ne figurait pas dans la présentation. Un changement de cap vers une diapositive de feuille de route qui répondait à une question que personne n’avait posée. Le vendeur en costume s’en est super bien sorti. C’est toujours comme ça. Gary l’a remarqué, en tout cas. Gary a eu une année difficile et il en a marre de se fier aux présentations.

La plupart des vendeurs te proposent des cuisines de rêve dans des bâtiments aux fondations en contreplaqué. Les questions ci-dessous te permettent de faire la différence. Il y en a sept. Imprime-les. Apporte-les à la réunion. Fais gaffe à ce qui se passe dans les trois premières secondes après que tu aies posé la question. Une réponse directe arrive tout de suite. Un changement de sujet soigneusement formulé s’accompagne d’un compliment sur la qualité de ta question. Sérieusement, quelle question perspicace, merci de l’avoir posée !

Utilise-les avec tous les fournisseurs. Y compris nous. Surtout nous. On préfère ça.

Les sept questions

1. Où se déroule l'inférence, et sous quelle juridiction ?

Tu veux une réponse claire qui précise où se trouve l'infrastructure informatique, qui l'exploite et quelle législation régit les demandes d'accès. Pas juste « région canadienne » avec une épingle sur une carte. La juridiction exacte. L'opérateur exact. Si la réponse nécessite une note de bas de page, tes clients finiront par avoir vent de cette intrusion étrangère avant même que tu sois prêt à leur expliquer.

2. Qui détient les clés de chiffrement, et est-ce que quelqu'un peut t'obliger à les remettre ?

« On crypte tes données » et « c’est toi qui contrôles le cryptage » sont deux phrases différentes qui ont des implications juridiques très différentes. Si c’est le fournisseur qui détient les clés, c’est lui qui contrôle les données, peu importe où elles sont stockées. La réponse que tu cherches tient en quatre mots : « C’est toi qui détiens les clés. »

3. Quels modèles d'IA de ta plateforme ont accès à mes données ? Est-ce que mes données sont utilisées dans le cadre d'opérations futures auxquelles je n'ai pas donné mon accord ?

Tu veux une liste. Les noms précis des modèles, les données qu’ils traitent, si les résultats servent à l’entraînement, et une réponse claire sur ce qui se passera quand le fournisseur signera un nouveau partenariat au trimestre prochain. Si la réponse est « notre plateforme utilise l’IA pour améliorer l’expérience » sans plus de détails, ça revient à te demander de confier les données de tes clients à une boîte noire. Le rapport 2026 de HiddenLayer a révélé que 76 % des entreprises ont une « IA fantôme ». Une partie de ces coûts figurait sur la facture.

4. Décris la piste d'audit d'une décision prise par l'IA sur ta plateforme. Est-ce qu'elle est intégrée d'emblée ou constituée a posteriori ?

L'auditabilité au niveau de l'architecture, ça veut dire que chaque action d'un agent est automatiquement enregistrée, et que chaque décision peut être rattachée à la politique qui l'a autorisée. Avec horodatage, immuable, et accessible sans que personne ait besoin de compiler quoi que ce soit. Si le discours du fournisseur sur l'audit commence par « on peut générer un rapport », ça veut dire que la piste est reconstituée, pas enregistrée. Il y a un gouffre entre ces deux choses, et ton auditeur le remarquera.

5. Quel est ton SLA en matière d'intervention en cas d'incident pour une panne liée à l'IA ?

Une attaque de phishing qui a compromis les identifiants de Gary et un agent « dormant » qui fausse les décisions en aval depuis trois mois, ce n’est pas la même chose. Si la réponse est « notre SLA standard couvre tous les incidents », ce n’est pas vrai. Menace différente, réponse différente, expertise différente. Galileo AI a montré qu’un seul agent compromis pouvait fausser 87 % des décisions en aval en quatre heures. Ton SLA réseau n’a pas été conçu pour ça.

6. Qu'adviendra-t-il de mes données et de mes opérations si votre entreprise (ou un de vos fournisseurs) est rachetée ?

La société qui a été constituée au Canada mardi dernier pourrait l'être en Virginie mardi prochain si l'entité acquéreuse décide de se restructurer. Les contrats sont transférés. Les juridictions changent. Tu veux une clause contractuelle qui prévoie ce cas de figure, pas un simple « on ne prévoit aucun changement ». La meilleure solution, c'est une clause qui te permette de te retirer sans pénalité si l'acquisition modifie ta situation en matière de conformité. La pire solution, c'est un long silence, ou un « oh, ne t'inquiète pas ».

7. Si des droits de douane, une acquisition ou un conflit commercial rendaient ma stratégie actuelle intenable, en combien de temps pourrais-je m'adapter ?

C'est là tout le problème canadien. Tes données sont sur une plateforme américaine. Les relations commerciales basculent à la moindre menace. Tes clients en parlent déjà sur les réseaux sociaux. Et maintenant ? Tu ne te demandes pas si tu peux partir sans frais. Tu te demandes si le fournisseur t'a enfoncé si profondément dans des intégrations propriétaires que changer de cap nécessiterait une migration de plusieurs années et un peu de chance. Si la réponse ressemble au plan de reconstruction des Leafs – tout en espoir et sans calendrier précis –, tu sais déjà comment ça va finir.

Gary a posé la question n° 7

Gary était présent à la réunion. Il a écouté la démo bien ficelée. Il a vu tout le monde dans la salle commencer à hocher la tête. Juste avant que quelqu’un ne propose de passer à la question des tarifs, Gary s’est penché en avant et a demandé : « Si la situation commerciale change l’année prochaine et qu’on doit retirer nos charges de travail d’IA de votre plateforme, comment ça se passerait concrètement ? »

L'ambiance a changé. Pas parce que la question était hostile. Mais parce qu'elle était précise, et ce sont justement les questions précises qui permettent de distinguer les fournisseurs qui ont misé sur la flexibilité de ceux qui ont misé sur la dépendance. Ceux qui valent le coup ne bronchent pas. Ils sont prêts à ça. Ils veulent que tu poses la question, car la réponse, c'est leur meilleur atout. Ceux qui ne valent pas le coup vont te complimenter sur ta question, consulter un collègue, promettre de te recontacter, et espérer que tu aies oublié tout ça le temps que le contrat soit signé.

Un fournisseur qui t'enferme tellement dans son écosystème qu'une simple annonce tarifaire se transforme en crise opérationnelle, ce n'est pas un partenaire. C'est une dépendance. Et dans le domaine de la sécurité de l'IA, où les menaces évoluent à la vitesse des machines et où le cadre réglementaire change tous les trimestres, une dépendance dont tu ne peux pas te libérer, c'est une vulnérabilité qui te coûte un abonnement.

ISM cette couche opérationnelle qui fait le lien entre ton organisation et la pile technologique sous-jacente. Un seul contrat. La flexibilité de changer de fournisseurs, de plateformes et de prestataires cloud au fur et à mesure que le paysage évolue. Des collaborateurs agréés au Canada qui répondent au téléphone à Regina, parce que c'est là qu'ils vivent. Des pistes d’audit intégrées dès la conception, pas sur simple demande. Quand Azure devenir AWS, ou qu’un partenariat avec un fournisseur modifie le cadre de conformité, l’architecture s’adapte parce qu’elle a été conçue pour ça. Pas parce que quelqu’un a déposé une demande de modification et attendu huit mois.

Les portes claquent sans arrêt. L'IA de l'autre côté du mur ne participe pas aux réunions avec les fournisseurs et se fiche complètement des objectifs trimestriels de qui que ce soit. Ce qu'elle va trouver en tournant la poignée dépend entièrement de la capacité du fournisseur que tu as choisi à répondre à sept questions sans avoir à sortir une présentation PowerPoint.

À lire ensuite

Le dernier article de cette série te montre à quoi ça ressemble quand tout ça fonctionne. Pas une intervention spectaculaire. Pas un accident évité de justesse. Juste un mardi matin où il ne s'est rien passé. Où l'IA a traité ce qu'elle devait traiter, où le rapport de conformité s'est généré tout seul, et où le téléphone du RSSI est resté silencieux. Ce silence, c'est le résultat le plus précieux en matière de sécurité. Voilà à quoi ça ressemble quand la sécurité basée sur l'IA fonctionne.

Références

Rapport HiddenLayer 2026 sur les menaces liées à l'IA: 76 % d'adoption « fantôme » de l'IA, 1 violation sur 8 due à une IA agentique

Galileo AI: un seul agent compromis a faussé 87 % des décisions en aval en quatre heures

Déposition de Microsoft France devant le Sénat français, juin 2025 : impossibilité de garantir la souveraineté des données, quel que soit le lieu de stockage

Tu veux savoir comment on fonctionne ?

Chaque conversation commence par ton environnement. Pas par notre liste de produits.

Contacte-nous
FlècheFlèche

Ce n'est pas une question de technologie ou de processus. Ce qui compte, ce sont tes clients, tes utilisateurs et la confiance que tu as su gagner à la sueur de ton front. Toutes nos équipes gardent ça à l'esprit.

Appel à l'action sur mobile