L'IA d'entreprise frappe le mur de la sécurité des données — et la plupart ne sont pas prêtes

Les déploiements d'IA d'entreprise frappent un mur de sécurité fondamental pour lequel la plupart des organisations ne sont pas préparées, selon Ronan Murphy, directeur stratégique des données chez Forcepoint. Alors que l'IA agentique prend de l'ampleur dans les entreprises, la classification faible des données et les contrôles d'accès non gouvernés créent ce que Murphy décrit comme des situations où les entreprises sont « à un prompt du désastre ». Le problème central ne concerne pas seulement la sécurité du modèle d'IA — c'est que l'infrastructure de données sous-jacente sur laquelle s'appuient la plupart des entreprises n'a jamais été conçue pour gérer les modèles d'accès sophistiqués que créent les agents IA.

Ceci se connecte directement à ce que j'ai écrit en mars quand les systèmes d'identité d'entreprise ont commencé à craquer sous les charges de travail des agents IA. Le problème a évolué : ce n'est pas juste l'authentification qui échoue, c'est toute la couche de gouvernance des données. Quand un agent IA peut potentiellement accéder et synthétiser l'information à travers des dizaines de sources de données en une seule requête, les modèles de sécurité traditionnels basés sur le périmètre s'effondrent. Le point de Murphy sur les équipes « trop confiantes » sonne juste — plusieurs organisations déploient l'IA sans comprendre que leurs systèmes de classification de données existants ne peuvent pas gérer les décisions d'accès nuancées que ces outils requièrent.

Ce qui rend cela particulièrement préoccupant, c'est que le risque n'est pas théorique. Contrairement aux brèches de sécurité traditionnelles qui nécessitent des attaques délibérées, l'exposition de données pilotée par l'IA peut arriver à travers des prompts apparemment innocents qui exposent accidentellement des informations sensibles auxquelles le modèle n'était jamais supposé accéder. Pour les développeurs qui construisent des applications IA, cela signifie que la gouvernance des données ne peut pas être une réflexion après coup — elle doit être architecturée dès le premier jour, avec des limites claires autour des sources de données auxquelles votre IA peut accéder et des contrôles explicites autour de la synthèse d'information à travers les domaines de sécurité.