IA & CYBERSECURITE : DES USAGES « SHADOW » A LA GOUVERNANCE STRATEGIQUE — CE QU’IL FAUT RETENIR DU BREIZH CYBER SHOW 2025

Le Breizh Cyber Show 2025, organisé à Océanopolis à Brest, a mis en lumière un paradoxe qui touche toutes les PME : l’IA booste la productivité, mais elle ouvre aussi des risques de sécurité et de conformité si elle n’est pas encadrée.
Deux tables rondes ont livré un message clair :

• Acculturer sans bloquer pour éviter le shadow AI et les fuites de données.
• Installer une gouvernance solide alignée sur l’AI Act, les guides ANSSI, la PSSI-IA du CLUSIF et les recommandations CNIL.
  Au-delà de la conformité, c’est un avantage concurrentiel fondé sur la confiance.

Shadow AI : le risque invisible qui explose

Dans la plupart des entreprises, l’IA est déjà là… mais souvent sans cadre. Marketing teste un générateur de contenu, RH résume des CV, dev utilise un assistant de code. C’est le shadow AI : adoption non encadrée d’outils IA par les équipes.

Risques immédiats :

• Fuites de données sensibles via prompts.
• Perte de traçabilité (qui a demandé quoi ?).
• Dépendance à des services tiers opaques.
  Selon Gartner, 60 % des organisations auront du shadow AI en 2025 si rien n’est fait.

Pourquoi agir vite ?
Le rapport ENISA 2024/2025 montre que phishing reste la première porte d’entrée (≈ 60 % des intrusions), et l’IA amplifie ces attaques (phishing dopé, automatisation sociale).

AI Act : la conformité devient stratégique

L’AI Act est en vigueur depuis août 2024. Ses obligations arrivent par étapes :

• Février 2025 : interdictions (pratiques prohibées).
• Août 2025 : gouvernance & GPAI.
• Août 2026 : application générale.
• 2027 : marquage CE pour IA à haut risque.

Ce que ça change pour vous :

• Si vous intégrez un modèle externe pour fournir un système IA, vous pouvez devenir fournisseur au sens AI Act avec des obligations de qualité, logs, supervision, marquage CE pour les cas haut risque.
• Anticiper maintenant évite les sanctions et accélère vos projets IA.

Quick wins pour sécuriser vos usages IA

Les experts du Breizh Cyber Show et les guides publics convergent sur 3 actions immédiates :

• Former sans bloquer : l’AI Act impose la littératie IA (art. 4). Sensibilisez vos équipes à ce qu’est un modèle, un prompt, et aux risques de fuite.
• Cartographier vos cas d’usage : identifiez les données exposées, tenez un registre (CNIL + AI Act).
• Contrôler prompts & outputs : filtrage d’entrée, sanitization des sorties, journalisation (ANSSI, OWASP LLM Top 10).

Pourquoi c’est un avantage concurrentiel

Les entreprises qui outillent l’audace (acculturation, sandbox, modèles approuvés) et institutionnalisent la prudence (PSSI-IA, contrôles ANSSI/NIST, conformité AI Act/CNIL) prennent une longueur d’avance.
Parce que la confiance devient la monnaie de la transformation IA.

L’IA, c’est des opportunités, mais aussi des responsabilités.

Pour en tirer le meilleur, il faut former, sensibiliser et accompagner les équipes, tout en s’appuyant sur les ressources déjà disponibles : les guides de l’ANSSI, la PSSI-IA du CLUSIF, et les recommandations de la CNIL.