IA au travail : 5 angles morts qui coûtent cher — et comment garder la main.

Vos équipes utilisent déjà l'IA. La vraie question n'est donc pas « faut-il l'autoriser ? » mais « savez-vous ce qu'elles en font ? » Une récente intervention d'IBM liste cinq risques liés à l'usage non encadré de l'IA en entreprise. Aucun n'est une fatalité technologique : tous découlent de la même cause — l'absence de règles claires. Décryptage, et ce qu'on en fait concrètement sur le terrain.

Le déclencheur : 580 000 € de surcoût

Le rapport Cost of a Data Breach 2025 d'IBM avance un chiffre qui mérite qu'on s'y arrête. Une violation de données impliquant du « shadow AI » — des outils d'IA utilisés sans validation de la DSI — coûte en moyenne 580 000 € de plus (≈ 670 000 $) qu'une violation sans IA non maîtrisée. Pendant que le coût global des violations baisse pour la première fois en cinq ans (l'IA défensive y aide), l'IA non maîtrisée, elle, fait grimper la facture.

Le message est limpide : ce n'est pas l'IA qui coûte cher, c'est l'IA qu'on ne pilote pas. Voici les cinq angles morts les plus fréquents.

1. L'IA clandestine (le shadow AI)

Un collaborateur colle un compte-rendu confidentiel dans un assistant grand public pour gagner du temps. Geste anodin, intention louable — sauf que la DSI ne le sait pas, et que la donnée vient de sortir de l'entreprise. IBM estime que 20 % des organisations ont déjà subi une fuite causée par un usage non approuvé.

2. La fuite de données

Tout ce qu'on confie à un outil non vérifié peut être stocké, réutilisé pour entraîner un modèle, ou simplement mal protégé. Code propriétaire, fichiers RH, données clients : une fois sortis, ils ne reviennent pas.

3. Le « blanchiment d'hallucination »

L'IA produit une réponse plausible mais fausse. Un collaborateur la reprend telle quelle, sans vérifier, et la présente comme son travail. La décision qui en découle est bâtie sur du sable — et c'est la crédibilité de l'entreprise qui trinque.

4. La manipulation des assistants

Un acteur malveillant glisse, dans un document ou un email, des instructions cachées qui détournent l'assistant IA de ses consignes de sécurité — pour lui faire révéler une information sensible ou exécuter une action non prévue. Les spécialistes appellent ça l'injection de consigne ; en pratique, c'est une porte dérobée ouverte par le langage lui-même.

5. Les agents IA livrés à eux-mêmes

Dernière génération d'outils : des agents IA capables d'agir seuls — interroger une base, envoyer un message, modifier un fichier. Sans supervision, un agent peut exécuter une action non conforme… voire continuer à tourner avec des accès oubliés, longtemps après qu'on l'ait cru éteint.

La cause commune : pas de gouvernance

Reprenez les cinq points. Aucun n'est un problème d'algorithme. Tous sont des problèmes d'organisation : qui a le droit d'utiliser quoi, avec quelles données, sous quel contrôle. C'est une bonne nouvelle — cela se règle avec des décisions, pas avec un budget colossal.

« L'IA n'est pas une fin en soi, et la maîtrise ne se délègue pas à un outil. Elle se construit là où le travail se fait. »

Notre conviction est constante : la maîtrise se construit au contact de vos équipes, qui savent déjà où l'IA les aide et où elle les expose. C'est tout l'objet du gemba walk — une phase d'observation où l'on échange avec vos équipes et où l'on va voir comment ça se passe concrètement sur le terrain, avant de décider. Interdire l'IA est illusoire ; la subir est coûteux. Entre les deux, il y a une troisième voie : reprendre la main.

Source : IBM, « Five AI Risks That Can Get You Fired » (Martin Keen, IBM Technology) et Cost of a Data Breach Report 2025. Le chiffre de 580 000 € (≈ 670 000 $, converti au taux de référence BCE du 30 juillet 2025 — date du rapport —, 1 € = 1,1527 $) correspond à l'écart de coût moyen entre une violation avec un niveau élevé de shadow AI (4,63 M$, ≈ 4,02 M€) et une violation sans (3,96 M$, ≈ 3,44 M€).