L’intelligence artificielle entre aujourd’hui dans les feuilles de route de nombreuses entreprises. Mais derrière les promesses d’efficacité, de productivité ou d’innovation, une autre question s’impose progressivement : comment intégrer l’IA sans créer de nouvelles zones de vulnérabilité ?
C’était tout l’enjeu de la dernière session du Club Experts Cybersécurité de Digital League, organisée le 13 mai 2026 autour d’un thème devenu central : sécuriser une feuille de route IA.
Une matinée construite en deux temps : une table ronde pour croiser les regards cyber, IA, logiciels et juridiques, puis un atelier de co-construction entre membres du Club autour de cas concrets.
L’objectif n’était pas de produire un panorama théorique de plus sur l’intelligence artificielle mais au contraire de partir du terrain, des usages déjà visibles dans les entreprises et de travailler sur une question très opérationnelle : comment les experts cyber peuvent-ils accompagner leurs clients dans le déploiement maîtrisé de l’IA ?
L’IA est souvent déjà là
L’un des premiers enseignements de cette session est simple : lorsqu’une entreprise parle de construire une feuille de route IA, elle ne part presque jamais d’une page blanche.
L’IA est souvent déjà présente dans les usages des collaborateurs, dans les outils SaaS, dans les copilotes, dans les logiciels métiers, dans les expérimentations internes ou encore chez certains prestataires.
Autrement dit, le sujet n’est plus seulement « faut-il adopter l’IA ? » mais plutôt « où l’IA est-elle déjà utilisée, avec quelles données, dans quels outils, avec quels droits et sous quelle responsabilité ? ».
Cette bascule change beaucoup de choses. Elle oblige les entreprises à ne pas raisonner uniquement en termes d’innovation ou de productivité, mais aussi en termes de maîtrise : maîtrise des données, des accès, des processus, des décisions, des fournisseurs et des dépendances créées.
On ne sécurise pas “l’IA” en général
La table ronde a également permis de rappeler un point essentiel : toutes les IA ne posent pas les mêmes questions.
Un collaborateur qui utilise ponctuellement un outil pour reformuler un texte ne crée pas le même niveau de risque qu’un assistant intégré dans un logiciel métier, qu’un outil connecté à une base documentaire client, qu’un agent capable d’appeler une API ou qu’une IA intégrée à un processus industriel.
Le Club a ainsi travaillé autour d’une idée forte : on ne sécurise pas “l’IA” en général mais on sécurise des usages.
Et ces usages doivent être regardés selon plusieurs critères : les données manipulées, le niveau d’intégration au système d’information, l’autonomie accordée à l’IA, les actions possibles, la criticité du processus concerné, la capacité à tracer, superviser, désactiver ou reprendre la main.
Ce raisonnement est particulièrement important avec l’arrivée progressive des IA dites “agentiques”, capables non seulement de répondre, mais aussi d’agir : lire un document, écrire dans un outil, envoyer une information, appeler une API, déclencher une tâche ou modifier une donnée.
À partir de ce moment, la question ne se limite plus à « l’IA répond-elle correctement ? mais « que peut-elle faire ? Jusqu’où peut-elle aller ? Qui supervise ? Qui valide ? Qui répond en cas d’erreur ? Et comment l’arrête-t-on ? ».
Deux réalités très différentes : éditeurs et industriels
La session a volontairement distingué plusieurs contextes, notamment celui des éditeurs de logiciels et celui des entreprises industrielles.
Pour un éditeur, la question clé devient « Qu’est-ce que j’intègre dans mon produit et que je mets entre les mains de mes clients ? ».
Données clients, cloisonnement, API, RAG, assistant conversationnel, responsabilité contractuelle, documentation, support, capacité de désactivation : l’intégration de l’IA dans un logiciel ouvre de nouveaux sujets de sécurité, de conformité et de confiance.
Pour une entreprise industrielle, la question est différente « Qu’est-ce que je laisse entrer dans mes processus critiques ? ».
Lorsque l’IA touche la production, la maintenance, la qualité, les données machines, les plans, les procédés ou les outils connectés à l’ERP ou au MES, le risque n’est plus seulement numérique. Il peut devenir opérationnel : arrêt de ligne, mauvaise classification, fausse alerte, perte de reprise en main, dépendance fournisseur ou difficulté à fonctionner en mode dégradé.
Cette distinction a été au cœur des travaux du Club : sécuriser une feuille de route IA suppose de comprendre le contexte métier avant de proposer une méthode.
Une table ronde pour cadrer, un atelier pour produire
La matinée s’est ouverte par une table ronde réunissant Pauline Ducoin (Cabinet Cornet Vincent Segurel), Fabrice Didier (Dimo Software) et Jean-Luc Marini (Groupe SRA).
Les échanges ont permis de poser les grands enjeux : shadow AI, responsabilité, AI Act, RGPD, dépendances technologiques, intégration dans les logiciels, usages industriels, agents IA, gouvernance, preuves de maîtrise et capacité de reprise en main.
Mais la valeur de cette session s’est aussi créée dans la seconde partie : l’atelier de co-construction.
Les membres du Club ont travaillé à partir de quatre cas concrets :
- les usages IA internes chez un éditeur de logiciel ;
- l’intégration de l’IA dans un logiciel vendu à des clients ;
- les usages IA métiers dans une entreprise industrielle ;
- l’IA intégrée dans des processus de production.
L’objectif n’était pas de livrer une checklist générique, mais de confronter les regards, d’identifier les zones d’exposition, de formuler des scénarios de risque et de faire émerger des premières conditions de maîtrise.
Ces travaux ont vocation à être poursuivis entre membres, afin d’alimenter de futurs livrables du Club Experts Cybersécurité, notamment autour des approches “éditeur” et “industrie”.
La valeur du Club : prendre de l’avance collectivement
Cette session illustre pleinement le rôle du Club Experts Cybersécurité de Digital League.
Le Club n’est pas seulement un espace de rencontre. C’est un lieu où les experts cyber régionaux peuvent prendre du recul sur les sujets émergents, confronter leurs expériences terrain et commencer à structurer des réponses avant que ces sujets ne deviennent des urgences pour les entreprises. L’IA en cela est un bon exemple.
Il y a encore quelques mois, beaucoup d’organisations abordaient l’intelligence artificielle sous l’angle des usages, des gains de temps ou de l’innovation. Aujourd’hui, le sujet s’élargit : dépendances technologiques, responsabilité, résilience, réversibilité, continuité d’activité, gouvernance des agents, maîtrise des données.
Pour les experts cyber, cela ouvre un nouveau champ d’accompagnement. Il ne s’agit pas de freiner l’innovation, mais d’aider les entreprises à avancer sans perdre le contrôle.
C’est précisément là que la force du collectif prend tout son sens : partager les signaux faibles, croiser les angles, produire des méthodes, distinguer les vrais risques des faux débats, et construire une lecture utile et commune pour les clients.
Avancer sans lâcher le volant
La session “Sécuriser une feuille de route IA” a confirmé une conviction forte : l’enjeu n’est plus seulement d’adopter l’IA, mais de l’intégrer de manière maîtrisée.
Les entreprises qui réussiront ne seront pas nécessairement celles qui auront testé le plus d’outils ou déployé le plus rapidement les dernières fonctionnalités. Ce seront celles qui sauront identifier leurs usages, qualifier leurs risques, clarifier leurs responsabilités, encadrer leurs dépendances et préserver leur capacité de reprise en main.
L’IA peut accélérer beaucoup de choses. Mais l’accélération n’a de valeur que si l’entreprise sait encore où elle va, ce qu’elle délègue, ce qu’elle garde sous contrôle et comment elle peut reprendre la main si nécessaire.
Au fond, sécuriser une feuille de route IA, ce n’est pas empêcher les entreprises d’avancer mais c’est leur permettre d’avancer sans lâcher le volant.
Le Club Experts Cybersécurité poursuivra ces travaux lors de prochaines sessions, avec l’ambition de transformer ces réflexions collectives en ressources utiles pour les membres de Digital League et pour l’écosystème régional.