En mars 2026, le groupe de travail Utilisation sécurisée de l’IA en organisation a proposé un premier livrable, très synthétique, des premières mesures de sécurisation des systèmes d’IA a destination des RSSI et responsables cyber.
Contexte
La généralisation rapide des usages de l’intelligence artificielle en entreprise, combinée à la montée en puissance des outils grand public et des solutions “Shadow IA”, expose les organisations à de nouveaux risques :
- fuite de données sensibles via les prompts,
- non-conformité réglementaire (RGPD, IA Act, droit international et propriété intellectuelle),
- dépendance à des fournisseurs non maîtrisés,
- vulnérabilités techniques spécifiques (prompt injection, jailbreak, data poisoning, fine tuning malveillant),
- perte de maîtrise des usages réels.
Dans ce contexte, les RSSI sont confrontés à des situations très différentes selon le niveau de maturité de l’organisation et l’urgence opérationnelle.
Objectif du livrable
L’objectif de ce document est de proposer une sélection de mesures de sécurité IA facilement activables, organisées selon trois situations types fréquemment rencontrées par les RSSI :
- RSSI en prise de poste dans une organisation peu mature sur l’IA,
- RSSI confronté à une explosion des usages et au Shadow IA,
- RSSI en situation d’urgence IA.
Pour chacune de ces situations, le livrable identifie “des mesures prioritaires”, permettant :
- de sécuriser rapidement les usages existants et de réduire les risques critiques,
- de structurer une trajectoire de gouvernance IA,
- La mise en place de ces actions n’est pas la seule responsabilité du RSSI. Il a besoin de l’appui de l’ensemble des parties prenantes de l’organisation dans laquelle il se trouve. C’est-à-dire la direction juridique, le DPO, la direction informatique… A adapter au contexte de chaque organisation.
- A noter que la déclinaison des mesures prioritaires dépend de l’environnement technique disponible et de l’évolution de la technologie très rapide. C’est pourquoi les mesures sont à un niveau macro.
Ce livrable n’a pas vocation à proposer une application de l’IA ACT ou d’une autre réglementation. Il propose des mesures pragmatiques de sécurité. Les mesures peuvent être appliquées sur les prestataires par la suite.
Méthodologie de priorisation
Le cheminement suivi pour identifier les 3 postures, repose sur quatre critères principaux :
a. Niveau de maturité IA de l’organisation
- absence ou faiblesse de gouvernance IA,
- outillage de sécurité non adapté aux risques IA (inexistence d’inventaire IA)
b. Niveau de pression opérationnelle
- demandes métiers/direction générale fortes,
- multiplication des usages non contrôlés (Shadow IA),
c. Niveau d’urgence / exposition au risque
- incident ou suspicion de fuite de données,
- audit ou contrôle réglementaire imminent,
d. Impact rapide et faisabilité
Les mesures ont été sélectionnées selon leur capacité à :
- produire un effet rapide,
- être activées sans transformation lourde,
- s’intégrer dans un cadre GRC existant.
Les trois postures étudiées :
| Posture | Objectif principal |
| Posture 1 – Prise de poste / prise en main du sujet | Construire des fondations de gouvernance IA solides et pérennes. Cadrage du sujet IA dans une organisation peu mature sur le sujet. |
| Posture 2 – Prévention / Shadow IA | Reprendre rapidement le contrôle des usages et réduire l’exposition |
| Posture 3 – RSSI Pompier | Gérer la crise, limiter l’impact et sécuriser l’existant en urgence |
A propos du GT Utilisation sécurisée de l’IA en organisation du Clusif
Fondé fin 2025, ce GT regroupe des RSSI, juristes, consultants, risks managers… et produit des livrables liés à la sécurisation de l’usage de l’intelligence artificielle en organisation (évaluation des solutions et des implémentations, sensibilisation des collaborateurs, gouvernance de l’IA…)