L’intelligence artificielle est passée de l’expérimentation à l’adoption en entreprise. Dans tous les secteurs, les organisations intègrent l’IA dans l’ingénierie logicielle, les opérations informatiques, l’expérience client, les flux de travail d’affaires et les processus de prise de décision.

Le rapport Impératifs d’impact de l’IA 2026 de HCLTech reflète clairement cette évolution : 86 % des organisations utilisent déjà l’IA dans leurs flux de travail existants, alors que les dirigeants d’entreprise subissent une pression pour fournir une valeur mesurable, avec un délai médian de retour sur investissement attendu pour les grandes initiatives d’IA d’environ 18 mois.

Ce rythme d’adoption crée un nouveau défi pour les responsables de la cybersécurité. L’IA n’est plus simplement une technologie à sécuriser; elle fait désormais partie intégrante de la façon dont les entreprises fonctionnent, prennent des décisions, rédigent du code, gèrent leur infrastructure et répondent aux risques. À mesure que les modèles d’IA de pointe deviennent plus performants, les RSSI doivent se préparer à un environnement où l’IA peut accélérer tant la défense que l’attaque.

Des modèles comme Mythos ont mis cette question en lumière. Les évaluations menées par le UK AI Security Institute ont démontré que les systèmes d’IA de pointe peuvent découvrir et exploiter des vulnérabilités de façon autonome et exécuter des attaques en plusieurs étapes dans des environnements contrôlés. Toutefois, ces capacités comportent encore des limites importantes et n’ont été démontrées que lorsque le modèle était explicitement dirigé et avait accès au réseau, ciblant des systèmes vulnérables sans défenseurs actifs ni outils défensifs.

Pour les RSSI, la priorité n’est pas de ralentir l’adoption de l’IA. Il s’agit plutôt de mettre en place la gouvernance, la visibilité et les capacités de gestion de l’exposition nécessaires pour adopter l’IA de façon sécuritaire et responsable. L’IA de pointe transforme fondamentalement la rapidité et l’ampleur avec lesquelles les risques cybernétiques peuvent être découverts, créés et traités. Par conséquent, le rôle du RSSI s’étend au-delà de la sécurisation des environnements technologiques pour inclure la gouvernance de la façon dont les systèmes autonomes interagissent avec les processus d’affaires, les identités, les applications et les données.

L’adoption de l’IA dépasse la préparation des entreprises

Le rapport Impératifs d’impact de l’IA 2026 met en évidence une tension centrale à laquelle sont confrontées les entreprises : l’adoption de l’IA est généralisée, mais obtenir un impact constant demeure difficile. Le rapport note que 43 % des grandes initiatives d’IA devraient échouer. Le rapport indique que 43 % des grands projets d’IA lancés au cours des 24 prochains mois finiront par échouer, alors que les organisations se heurtent à des difficultés de coordination interfonctionnelle, d’alignement entre les initiatives d’IA et la stratégie d’affaires, ainsi qu’à l’établissement de mesures de réussite adéquates.

Cela a des répercussions directes sur la cybersécurité. Lorsque les initiatives d’IA progressent rapidement sans contrôles adéquats, les organisations peuvent créer de nouvelles expositions au sein des environnements de données, des applications, des identités machines, des API et des écosystèmes tiers. Le rapport note également que 51 % des applications d’entreprise sont des systèmes hérités, ce qui signifie que de nombreuses organisations déploient l’IA dans des environnements technologiques qui n’ont pas été conçus pour des systèmes autonomes et d’apprentissage continu.

Il en résulte un écart grandissant entre l’ambition en matière d’IA et la préparation en cybersécurité. Les équipes d’affaires veulent déployer l’IA rapidement et les équipes technologiques modernisent les plates-formes. Les équipes de sécurité doivent s’assurer que les flux de travail alimentés par l’IA ne créent pas de risques non gérés. Les RSSI sont de plus en plus appelés à aider les entreprises à avancer plus vite tout en maintenant la confiance, la conformité et la résilience. Cela nécessite un passage des contrôles réactifs à la gestion continue de l’exposition.

La nouvelle surface d’attaque est modelée par l’autonomie

Les programmes traditionnels de cybersécurité étaient conçus autour des utilisateurs, des applications, de l’infrastructure et des réseaux. L’IA de pointe introduit une nouvelle dimension : l’action autonome.

Les agents d’IA peuvent rédiger du code, résumer de l’information sensible, déclencher des flux de travail, interagir avec des applications, générer des modifications de configuration et soutenir les décisions opérationnelles. Dans de nombreux cas, ces systèmes reposent sur des identités machines, l’accès aux API, des permissions infonuagiques et des pipelines de données que les équipes de sécurité peuvent ne pas comprendre ou surveiller entièrement.

Cela transforme la nature de l’exposition en entreprise. Une faiblesse ne se trouve pas forcément dans le modèle d’IA lui-même. Elle peut résider dans les permissions accordées à un agent, le pipeline de données qui alimente le modèle, l’application à laquelle il se connecte ou l’environnement infonuagique où il opère. Les enjeux de sécurité surviennent souvent lorsque ces couches interagissent de façon inattendue.

Pour les RSSI, la question critique évolue de « le modèle est-il sécurisé? » à « que peut accéder, influencer ou modifier un système alimenté par l’IA? »

Cette distinction a son importance. Un agent conversationnel avec un accès limité représente un certain niveau de risque. Un agent autonome connecté aux systèmes d’entreprise, aux données clients ou aux flux financiers présente un tout autre profil de risque. À mesure que l’IA s’intègre dans davantage de processus opérationnels, la gestion des identités, l’autorisation, la surveillance et la gouvernance deviennent des piliers essentiels de la résilience cybernétique.

Mythos est un signal, pas un événement isolé

L’attention actuelle entourant Mythos démontre à quelle vitesse les capacités de l’IA de pointe progressent dans le domaine de la cybersécurité. Les évaluations menées par le UK AI Security Institute montrent que les modèles avancés peuvent désormais enchaîner des tâches cybernétiques d’une manière que les générations précédentes ne pouvaient pas. Cependant, ces capacités demeurent fortement dépendantes du contexte et n’ont pas encore été pleinement testées dans des environnements réalistes et bien défendus dotés d’une surveillance active, de la détection des points de terminaison et d’une réponse aux incidents en temps réel.

Cette nuance est importante. L’IA de pointe ne rend pas instantanément tous les attaquants extrêmement compétents. Toutefois, elle pourrait réduire le temps et l’expertise nécessaires pour découvrir des vulnérabilités, exploiter des systèmes faibles et mener des opérations cybernétiques à étapes multiples. Elle offre également aux défenseurs de puissantes opportunités pour renforcer les tests de sécurité, identifier les faiblesses et améliorer la remédiation.

L’agenda du RSSI devrait donc éviter deux extrêmes : la panique et la complaisance. Considérer chaque modèle d’IA de pointe comme une catastrophe cybernétique imminente n’est pas productif, tandis que supposer que les contrôles en place sont suffisants est tout aussi risqué. Une réponse plus pragmatique consiste à voir l’IA de pointe comme un changement opérationnel exigeant une plus grande visibilité, une gouvernance plus forte et une réduction plus rapide des risques.

L’émergence de modèles comme Mythos ne doit pas décourager l’adoption de l’IA. Au contraire, elle devrait encourager les organisations à faire mûrir leurs modèles opérationnels de sécurité. Les entreprises qui tireront le plus de valeur de l’IA seront celles capables de gouverner l’autonomie, de valider l’exposition et de remédier aux risques à la vitesse de l’entreprise.

L’IA responsable est désormais une préoccupation de sécurité

Le rapport Impératifs d’impact de l’IA 2026 a révélé que 76 % des organisations affirment que les préoccupations en matière d’IA responsable ont retardé les déploiements. Bien que considérée comme un défi d’affaires ou de conformité, l’IA responsable est de plus en plus une préoccupation de cybersécurité.

L’IA responsable va au-delà de l’équité, la transparence et l’explicabilité. Il s’agit aussi du contrôle. Les responsables de la sécurité ont besoin de visibilité sur la façon dont les systèmes d’IA sont entraînés, les données auxquels ils accèdent, la validation des résultats, les endroits où une supervision humaine est requise et la gestion des exceptions. Sans cette base, les systèmes d’IA peuvent créer des brèches de confiance qui se transforment en risques opérationnels et de réputation.

Pour les RSSI, l’IA responsable devrait être soutenue par des contrôles de sécurité pratiques, notamment des inventaires d’actifs d’IA, la gouvernance de l’accès aux données, la surveillance des invites et des résultats, l’évaluation des risques des modèles, l’examen des IA tierces, les contrôles d’identité pour les agents autonomes et des guides de réponse aux incidents pour les échecs reliés à l’IA.

C’est à l’intersection de la cybersécurité, de la gouvernance de l’IA et de la gestion des risques d’entreprise que ces disciplines commencent à converger. Les RSSI n’ont pas à posséder toutes les décisions liées à l’IA, mais ils jouent un rôle déterminant dans la définition de l’environnement de contrôle dans lequel l’IA opère.

La gestion de l’exposition devient la couche opérationnelle

À mesure que l’IA accélère à la fois le développement logiciel et la découverte des menaces, les organisations ont besoin d’un moyen plus efficace pour prioriser les risques. La gestion traditionnelle des vulnérabilités génère souvent de longues listes de problèmes sans suffisamment de contexte d’affaires. L’IA de pointe risque d’accentuer ce défi en facilitant l’identification des faiblesses à travers un nombre toujours croissant de systèmes.

La gestion de l’exposition offre un modèle opérationnel plus efficace. Elle permet aux organisations d’identifier où les vulnérabilités, les identités, les permissions, les mauvaises configurations, les applications et les processus d’affaires se croisent pour créer de réels chemins d’attaque. Dans des environnements propulsés par l’IA, cette approche est particulièrement précieuse, car les risques découlent souvent des relations entre systèmes plutôt que d’une seule faiblesse.

Un RSSI naviguant avec l’IA de pointe devrait pouvoir répondre à des questions critiques telles que :

• Quels agents IA ont accès à des données sensibles ?
• Quelles identités de machine possèdent des privilèges excessifs ?
• Quelles applications héritées sont connectées aux flux de travail IA ?
• Quelles expositions pourraient avoir un impact sur les processus d'affaires critiques ?
• Quels risques doivent être corrigés en priorité selon l'impact sur les activités ?

Ces questions ne peuvent pas être résolues uniquement par des outils de sécurité. Elles exigent des opérations de gestion des risques intégrées qui relient la télémétrie de sécurité, le contexte commercial, les exigences de gouvernance et les flux de travail de remédiation.

Élaborer un programme pratique de sécurité pour l’IA de pointe

La prochaine phase de l’IA en entreprise mettra à l’épreuve la préparation des dirigeants autant que la maturité technologique. Les organisations ne rencontrent pas de difficultés parce que l’IA n’est pas disponible. Elles ont des difficultés parce que les modèles d’exécution, les structures opérationnelles et les mécanismes de reddition de comptes n’ont pas évolué au même rythme que l’avancement technologique.

Pour les RSSI, un programme pratique de sécurité pour l’IA de pointe devrait se concentrer sur cinq priorités :

1. Établir la visibilité sur les actifs d’IA, les agents, les flux de données, les identités et les intégrations.
2. Définir des droits de décision clairs pour les systèmes activés par l’IA, en identifiant quelles actions nécessitent une approbation humaine, lesquelles peuvent être automatisées et lesquelles ne devraient jamais être déléguées.
3. Valider l’exposition en continu grâce à des tests réguliers, des simulations d’attaque (red teaming), une analyse des chemins d’attaque et la validation des contrôles.
4. Moderniser les processus de remédiation en priorisant les enjeux selon l’exploitabilité, l’impact sur les activités et le risque opérationnel plutôt qu’uniquement selon les scores de gravité.
5. Relier la gouvernance de l’IA à la résilience organisationnelle, en offrant à la haute direction une vue claire de la façon dont les risques liés à l’IA pourraient affecter les opérations, la conformité, la confiance des clients et la performance financière.

La prochaine frontière pour les RSSI s’étend au-delà de la sécurité de l’IA vers l’assurance opérationnelle de l’IA. Les entreprises ont besoin d’avoir confiance que les systèmes propulsés par l’IA sont visibles, encadrés, testés et résilients afin de soutenir les résultats d’affaires critiques.

L’occasion pour les RSSI

L’IA de pointe remet en question les hypothèses traditionnelles de la cybersécurité, mais crée aussi une occasion pour les RSSI de rehausser leur rôle au sein de l’entreprise. La sécurité peut devenir un catalyseur stratégique de l’adoption de l’IA en aidant les organisations à passer de l’expérimentation à la confiance à grande échelle.

Ceci est particulièrement important alors que la demande d’IA continue de s’accélérer en milieu d’affaires. Les organisations font face à une pression croissante pour démontrer des résultats rapides et une valeur mesurable à partir des investissements dans l’IA. Les RSSI jouent donc un rôle critique pour permettre l’adoption tout en prévenant une exposition non gérée.

Les organisations qui réussiront ne seront pas nécessairement celles qui déploient l’IA le plus rapidement. Ce seront celles qui allient vitesse, gouvernance, visibilité de l’exposition, remédiation disciplinée et résilience opérationnelle.

L’IA récompense les organisations qui avancent avec confiance. Pour les RSSI, cette confiance vient de la compréhension de l’endroit où se trouvent les expositions, de la façon dont elles pourraient affecter l’entreprise et des actions à prioriser pour réduire les risques. L’IA de pointe ne fait qu’augmenter l’importance de cette discipline.

À l’ère de l’IA de pointe, le leadership en cybersécurité ne consiste plus uniquement à protéger les systèmes. Il s’agit d’encadrer le risque autonome, de permettre une adoption de confiance et de bâtir la résilience requise pour la transformation des entreprises menée par l’IA.