L’inventaire des actifs d’IA est bien plus qu’une simple liste d’outils. Il s’agit d’une démarche stratégique pour assurer la sécurité des données, la conformité réglementaire et la maîtrise des risques liés à l’IA.

Face à la montée en puissance de l’intelligence artificielle (IA), les entreprises doivent non seulement s’adapter à un écosystème technologique en constante évolution, mais aussi répondre aux défis sécuritaires et réglementaires qu’impose cette nouvelle réalité. Les outils d’IA non autorisés, souvent intégrés discrètement dans les processus internes, posent une menace directe à la sécurité des données et à la conformité des entreprises. Pour éviter un dérapage incontrôlé, la première étape essentielle est la création d’un inventaire complet des actifs d’IA. Cette démarche permet non seulement d’identifier les risques, mais aussi d’anticiper les besoins en matière de gouvernance et de sécurité.

L’inventaire des actifs d’IA, socle de la gouvernance de la sécurité

La création d’un inventaire des actifs d’IA ne relève plus d’une démarche volontaire, mais s’impose comme une obligation réglementaire. L’UE a franchi un cap avec l’entrée en vigueur de la loi sur l’IA en août 2024, imposant aux entreprises une cartographie détaillée des outils d’IA utilisés et une évaluation des risques associés. La norme ISO 42001 fournit un cadre de gestion, mettant l’accent sur la transparence et la traçabilité. Aux États-Unis, le cadre AI Risk Management Framework (AI RMF) du NIST exige que les entreprises identifient les risques liés à l’utilisation de l’IA et mettent en place une gestion adaptée.

L’inventaire devient la clé de voûte de la gouvernance. Sans une visibilité claire sur les outils d’IA en activité, les entreprises naviguent à l’aveugle. La diversité des systèmes d’IA utilisés, des modèles de langage (LLM) aux outils de traitement d’images, complexifie la tâche. Les entreprises doivent donc prioriser leurs efforts, en se concentrant sur les systèmes à haut risque, comme l’IA générative et les solutions d’analyse prédictive. La transparence devient un enjeu stratégique : savoir où et comment les outils d’IA sont utilisés permet de mieux gérer les risques et de renforcer la sécurité globale des données.

Créer un inventaire des actifs d’IA est devenu une exigence réglementaire dans de nombreuses juridictions. L’EU AI Act, la norme ISO 42001 et le cadre AI Risk Management Framework (AI RMF) du National Institute of Standards and Technology (NIST) aux États-Unis imposent désormais une obligation explicite de cartographier les technologies d’IA utilisées et d’évaluer leurs risques.

La législation européenne sur l’IA (EU AI Act), entrée en vigueur en août 2024, impose aux entreprises une obligation de recensement complet des technologies d’IA utilisées, avec une évaluation des risques associée. Ce cadre couvre presque tous les systèmes d’IA, y compris les modèles génératifs, les outils d’automatisation et les systèmes décisionnels.

De son côté, la norme ISO 42001 fournit un cadre de gestion des systèmes d’IA, insistant sur la transparence, la responsabilité et la traçabilité. Le cadre du NIST, bien que volontaire, exige dans sa fonction « MAP » que les entreprises identifient les risques liés à l’utilisation de l’IA.

Ces nouvelles règles montrent que l’inventaire des actifs d’IA n’est plus une simple formalité — il est devenu le socle de la gouvernance de la sécurité de l’IA.

L’IA fantôme, menace silencieuse et incontrôlée

La prolifération de l’IA non autorisée au sein des entreprises constitue une menace directe pour la sécurité des données. Le phénomène du « Shadow AI » illustre cette dérive : de nombreux employés utilisent des outils d’IA gratuits ou accessibles via des comptes personnels, échappant ainsi à la surveillance du service informatique. Selon un rapport de ZScaler publié en 2024, plus de 60 % des employés admettent utiliser des outils d’IA non validés par leur entreprise. Cette utilisation clandestine expose les données sensibles à des tiers, créant des failles de sécurité difficilement contrôlables.

DeepSeek, dont la popularité a explosé début 2024, est devenu le symbole de ce risque. Son mode de fonctionnement, basé sur le stockage de données dans le cloud, a suscité une controverse majeure. Les employés, en utilisant cet outil sans autorisation, ont exposé des informations confidentielles à des systèmes externes. L’IA fantôme agit comme un cheval de Troie : elle introduit des vulnérabilités sans que l’entreprise n’en ait conscience, augmentant le risque de fuite de données ou d’attaques ciblées.

Les responsables de la sécurité doivent agir en amont. Il ne s’agit pas seulement de surveiller les outils utilisés, mais d’anticiper leur impact. Les outils d’IA générative évoluent rapidement : un modèle jugé sûr aujourd’hui peut devenir une menace dès lors qu’il adopte une nouvelle fonction ou un nouveau mode de traitement des données. La clé réside dans une surveillance active et une réactivité immédiate face aux nouvelles configurations des outils d’IA.

Le défi de la cartographie et du suivi des actifs d’IA

Cartographier les actifs d’IA reste un défi complexe. Les méthodes traditionnelles de suivi se révèlent insuffisantes face à la vitesse d’adoption de l’IA. Le suivi basé sur les achats permet de contrôler l’introduction de nouveaux outils, mais ne détecte pas les mises à jour ou les fonctionnalités cachées. L’analyse des journaux réseau offre une visibilité partielle, mais sa mise en œuvre est chronophage et peu adaptée à un environnement de travail hybride. Les solutions de gestion des identités, comme OAuth, permettent de suivre certaines applications, mais restent inefficaces face aux outils d’IA accessibles en dehors des plateformes contrôlées.

Les courtiers d’accès sécurisé au cloud (CASB) apportent une visibilité sur les outils cloud, mais peinent à s’adapter à la diversité des systèmes utilisés. La gestion de la posture de sécurité du cloud (CSPM) permet de surveiller l’usage de l’IA dans les environnements cloud publics comme AWS ou Google Cloud, mais ne couvre pas les environnements internes. Les listes de contrôle existantes, quant à elles, sont souvent obsolètes face à la rapidité d’évolution des technologies d’IA. La multiplicité des outils et la diversité des plateformes compliquent la mise en place d’un suivi cohérent.

L’essor des solutions automatisées

Face à ces limites, l’industrie se tourne vers des solutions automatisées de gestion des actifs d’IA. L’intelligence artificielle elle-même devient un levier pour surveiller les activités liées à l’IA. Darktrace AI Guardian, dont le lancement est prévu début 2025, promet une surveillance en temps réel du trafic réseau, une détection automatique des outils d’IA non autorisés et une mise à jour dynamique de l’inventaire. Microsoft a déjà intégré un tableau de bord de suivi de l’IA dans ses services cloud en 2024, permettant aux entreprises d’identifier rapidement les outils utilisés par leurs employés.

Ces solutions automatisées offrent un avantage clé : elles s’adaptent à la rapidité d’évolution de l’IA. Une mise à jour du modèle ou une modification dans les conditions d’utilisation est immédiatement signalée. Cette réactivité permet de renforcer la sécurité des systèmes tout en assurant une gestion proactive de la conformité. Les outils automatisés permettent également une meilleure formation des employés : en identifiant les outils validés et sécurisés, les entreprises favorisent une adoption contrôlée de l’IA, limitant ainsi le recours à des solutions non autorisées.

Transformer une obligation réglementaire en avantage stratégique

La gestion des actifs d’IA ne doit pas être perçue comme une contrainte administrative, mais comme une opportunité stratégique. Les entreprises qui maîtrisent leur écosystème d’IA sont mieux placées pour guider l’innovation tout en sécurisant leurs opérations. L’inventaire des actifs d’IA permet d’identifier les besoins réels des employés, d’anticiper les failles de sécurité et de proposer des solutions conformes adaptées à chaque cas d’usage.

Google a montré la voie en 2024. Après avoir détecté une forte demande d’outils génératifs parmi ses employés, l’entreprise a rapidement déployé des solutions internes sécurisées. Ce mouvement stratégique a non seulement renforcé la sécurité des données, mais aussi amélioré la productivité. L’adoption contrôlée d’outils d’IA permet de créer une culture d’innovation tout en réduisant les risques liés à la Shadow AI.

Les entreprises doivent agir rapidement. La mise en place d’un inventaire d’actifs d’IA est le premier pas vers une gouvernance renforcée. Les solutions automatisées, la surveillance en temps réel et la formation des employés constituent les piliers d’une stratégie de gestion des risques adaptée à l’ère de l’IA. Les acteurs qui s’adaptent dès maintenant prendront une longueur d’avance dans cette nouvelle révolution technologique.

Six façons d’utiliser l’IA pour le suivi des actifs

1. Suivi basé sur les achats : Cette méthode est efficace pour surveiller l’achat de nouveaux outils d’IA, mais elle reste insuffisante pour détecter l’ajout de capacités d’IA aux outils existants ou l’utilisation d’outils BYOT (Bring Your Own Tool) par les employés.

2. Collecte manuelle des journaux : L’analyse du trafic réseau et des journaux permet de repérer des activités liées à l’IA, mais cette méthode est chronophage et offre une couverture limitée.

3. Identité et authentification OAuth : L’examen des journaux d’accès à partir de plateformes comme Okta ou Entra permet de suivre certaines applications d’IA, mais uniquement si elles sont intégrées à ces services.

4. Courtier d’accès sécurisé au cloud (CASB) et prévention des pertes de données (DLP) : Des solutions comme ZScaler et Netskope offrent une visibilité sur les outils d’IA utilisés dans le cloud, mais elles ont une capacité limitée à classifier précisément ces outils.

5. Gestion de la posture de sécurité du cloud (CSPM) : Des outils comme Wiz permettent de surveiller l’usage de l’IA dans AWS et Google Cloud, mais ils ne couvrent pas les environnements sur site ou non cloud.

6. Élargir les listes de contrôle existantes : La catégorisation des outils d’IA en fonction des risques permet d’améliorer la gouvernance, mais cette méthode peine à suivre le rythme rapide de l’évolution de l’IA.