Le processus officiel d’analyse des données sur la perte de clientèle prend trois jours. Gary le sait bien, car il a déjà envoyé cette demande quatre fois ce trimestre et a dû attendre à chaque fois que l’équipe chargée des données la traite, après l’avoir placée en fin de file derrière six autres services bénéficiant d’un parrainage plus haut placé. L’outil d’IA que Gary a découvert lors d’une conférence le fait en trois minutes. Il s’inscrit avec son adresse e-mail pro. Il télécharge le jeu de données. Il obtient sa réponse. Il la montre à son chef d’équipe. Son chef d’équipe voit le résultat et ne pose pas de questions.
En moins d'un mois, deux autres services s'en sont emparés. Personne n'en parle à la sécurité. Personne n'en parle au service de conformité. Personne ne lit les conditions d’utilisation, qui expliquent dans un langage fait pour être ignoré que les données téléchargées peuvent servir à améliorer les modèles du fournisseur. Personne n’a demandé à qui appartenait ce fournisseur, ni jusqu’où ces données brutes pouvaient aller. Gary vient de donner deux ans de données sur les transactions de ses clients à un ensemble d’entraînement que son organisation ne verra jamais, n’auditera jamais et ne récupérera jamais. Il l’a fait parce que la procédure officielle avançait à la vitesse du trafic à Toronto et que personne ne lui a proposé de meilleure solution.
Gary, c'est pas le problème. Gary, c'est juste un symptôme.
La menace qui a déjà un badge de membre du personnel
Le rapport 2026 de HiddenLayer sur les menaces liées à l'IA estime que 76 % des organisations ont adopté de l'IA « fantôme », contre 61 % l'année précédente. Une hausse de quinze points en douze mois. Mais ce chiffre ne reflète pas vraiment la réalité, car la plupart de ces IA « fantômes » ne se sont pas faufilées par la petite porte. Elles sont arrivées avec une mise à jour logicielle.
Ton CRM s’est doté d’un assistant IA au trimestre dernier. Ton service d’assistance a ajouté un chatbot qui trie les tickets. Ta plateforme RH analyse désormais les CV à l’aide d’un modèle que personne au service informatique n’a été invité à évaluer. Chacun de ces outils accède à tes données, dispose des autorisations héritées de la plateforme sur laquelle il repose et prend des décisions quant à ce qu’il faut afficher, filtrer ou transférer. Aucun d’entre eux n’a fait l’objet d’un contrôle de sécurité, car personne n’a considéré une mise à jour logicielle comme un nouveau déploiement d’IA. Le fournisseur ne l’a pas présenté comme tel. Il a parlé de « fonctionnalités améliorées » dans une police de caractères qui n’incite pas à poser des questions. Personne n’a vérifié si ces outils héritaient des autorisations des utilisateurs. Le compte de Gary permet d’accéder à de nombreuses informations sensibles.
Une entreprise sur huit interrogée par HiddenLayer a déjà été victime d'une faille liée à des systèmes d'IA agentique. Et 53 % ont admis avoir omis de signaler ces failles par crainte des réactions négatives. Le nombre d'incidents relayés par les médias ne représente que le minimum. Le maximum, c'est un chiffre dont personne n'ose parler en public.
L'IA qui a oublié ce qu'elle était censée protéger
Ton outil de présélection des CV élimine des candidats qualifiés depuis trois mois. Pas de manière évidente. Pas d’une façon qui suscite des plaintes. Il a simplement cessé, en silence, de proposer des profils qui ne correspondaient pas au modèle d’apprentissage qu’il avait acquis dans une autre région et un autre secteur, car certaines données de son apprentissage lui avaient appris que ces profils n’étaient que du bruit. Ton responsable du recrutement pense que le vivier de talents est médiocre. Ton directeur des ressources humaines prévoit d’augmenter le budget dédié au recrutement. Le modèle pense qu’il fait exactement ce que tu lui as demandé. Ton tableau de bord est du même avis. Ils ont tous les deux tort.
Lakera AI a publié une étude montrant comment des données empoisonnées, injectées via le flux de données d’un agent IA, peuvent corrompre sa mémoire à long terme. Pas ses résultats. Sa compréhension. L’agent développe une croyance erronée et tenace concernant ses propres politiques de sécurité et défend cette croyance comme étant correcte lorsque des humains la remettent en question. Une IA compromise de cette manière ne génère pas d’erreurs. Elle inspire confiance. Elle semble fonctionner correctement sur tous tes tableaux de bord, car ceux-ci mesurent ce que l’agent rapporte à son propre sujet.
Et puis, il y a l’effet cascade. Galileo AI a réalisé des simulations de systèmes multi-agents et a découvert qu’un seul agent compromis avait corrompu 87 % des prises de décision en aval en l’espace de quatre heures. Ton SIEM affiche cinquante transactions échouées. Il ne peut pas te dire quel agent a déclenché la chaîne, car les agents communiquent d’une manière que tes outils de surveillance ne sont pas conçus pour analyser. Ce n’est pas une faille spectaculaire. C’est une dérive lente qui ressemble à un fonctionnement normal jusqu’à ce que les dégâts deviennent structurels. Comme le monoxyde de carbone. Inodore, incolore, et le détecteur que tu as acheté a été conçu pour la fumée.
Et si tu penses que les outils approuvés sont la seule source de risque : plus tôt cette année, une attaque de la chaîne d’approvisionnement a touché l’écosystème des plugins d’OpenAI. Des identifiants d’agents compromis ont été récupérés à partir de 47 déploiements en entreprise. Des données clients, des documents financiers, du code propriétaire : tout ça a été consulté pendant six mois avant que personne ne s’en aperçoive. Pas parce que les équipes de sécurité avaient été négligentes. Mais parce que le plugin compromis avait été approuvé. Les identifiants qu’il utilisait étaient ceux qu’il était censé avoir. Les données auxquelles il a accédé étaient celles qu’il avait l’autorisation de consulter. La seule erreur, c’est la destination de ces données par la suite : elles ont transité par un canal que personne n’avait pensé à surveiller, car pourquoi surveillerais-tu un outil qui fait exactement ce qu’il est autorisé à faire ?
La porte de Gary est toujours ouverte
L'outil de Gary fonctionne toujours. Son équipe s'en sert tous les jours. Il ne figure pas dans l'inventaire des actifs. Il n'est pas mentionné dans le guide d'intervention en cas d'incident. Si jamais il tombe en panne demain, personne ne saura qui appeler ni quoi désactiver. Et l'outil de Gary n'est qu'un parmi des dizaines d'autres disséminés dans toute l'entreprise, adoptés par des gens qui avaient besoin d'une solution plus rapide que le processus qu'on leur avait imposé.
La solution, ce n'est pas d'interdire les outils de Gary. En les interdisant, tu garantis l'apparition de doubles IA clandestins d'ici le prochain trimestre. Quand tu enlèves aux gens ce qui leur permettait d'être productifs, ils trouvent des solutions de contournement, et ces solutions ne sont soumises à aucune condition d'utilisation.
La solution, c’est de mettre en place une architecture qui permette à Gary d’utiliser l’IA en toute sécurité, avec des garde-fous dont il n’a même pas à se soucier. Une approche « policy-as-code » qui limite ce à quoi l’outil peut accéder, les données qu’il peut consulter et les destinations vers lesquelles il peut envoyer ses résultats. Une gouvernance qui détecte les nouveaux outils dès qu’ils se connectent, les évalue avant même que le premier ensemble de données ne soit téléchargé, et qui soit les intègre au système, soit explique à Gary pourquoi celui-ci ne répond pas aux critères. Un inventaire qui sait ce qui est en cours d’exécution avant que l’équipe de sécurité ne doive le découvrir à ses dépens.
C’est le travail de base sur lequel on revient sans cesse. Le catalogage, la cartographie, l’architecture de gouvernance. On en a parlé dans la série « Data Series » et on le fait depuis cinquante ans, sous différents noms. Les organisations les plus en avance en matière de sécurité de l’IA aujourd’hui ne sont pas celles qui ont les meilleurs modèles. Ce sont celles qui ont fait ce travail d’inventaire fastidieux et qui ont mis en place une architecture leur permettant d’adopter de nouveaux outils sans se demander à quoi elles s’exposent.
Gary est toujours au top. La question, c'est de savoir ce qui va suivre.
À lire ensuite
En ce moment, tous les fournisseurs au Canada parlent de « souveraineté ». Telus, Bell, CGI, et même tes pubs LinkedIn à deux dollars avant le déjeuner. L’article 4 sort ce mot du cycle des communiqués de presse pour l’intégrer au débat sur l’architecture, là où il a sa place. Qu’est-ce que la souveraineté signifie vraiment quand on la met à l’épreuve ? Moins que ce que tu penses. Plus que ce que tu espères. La souveraineté, c’est un choix architectural.
Références
Rapport HiddenLayer 2026 sur les menaces liées à l'IA: 76 % d'adoption « fantôme » de l'IA, 1 violation sur 8 due à une IA agentique, 53 % des violations n'ont pas été signalées
Lakera AI: Recherche sur la corruption de la mémoire à long terme chez les agents IA via des flux de données empoisonnés
Galileo AI: simulations en cascade multi-agents ; un seul agent compromis a faussé 87 % des décisions en aval en quatre heures
Attaque contre la chaîne d'approvisionnement de l'écosystème des plugins d'OpenAI : 47 déploiements en entreprise compromis, restés indétectés pendant six mois
