La sécurité de l’IA englobe les pratiques, technologies et cadres qui protègent les systèmes d’IA contre les attaques, les usages abusifs et les comportements imprévus, tout en encadrant la manière dont les outils d’IA sont utilisés au sein des organisations. Elle comporte deux dimensions distinctes : sécuriser les systèmes d’IA eux-mêmes (protéger les modèles contre les attaques adverses, l’empoisonnement des données et le vol) et protéger l’entreprise contre les risques liés à l’IA (gérer la Shadow AI, prévenir les fuites de données vers les outils d’IA et encadrer le comportement des agents d’IA).
Les menaces pesant sur les systèmes d’IA incluent les attaques d’apprentissage automatique adverse (entrées conçues pour tromper les modèles), l’inversion de modèle (extraction de données d’entraînement à partir des sorties du modèle), le vol de modèle (réplication de modèles propriétaires par interrogation répétée), l’empoisonnement des données (corruption des données d’entraînement pour dégrader les performances du modèle ou y introduire des portes dérobées) et l’injection de requête (manipulation du comportement du modèle au moyen d’entrées malveillantes).
Les risques de sécurité liés à l’IA en entreprise tournent autour de la prolifération des outils d’IA que les employés utilisent sans supervision. Selon Gartner (2025), 68 % des employés utilisent des outils d’IA non autorisés, exposant les organisations à des fuites de données, à des violations de conformité et à des vulnérabilités de sécurité au sein de plateformes d’IA tierces. Le IBM Cost of Data Breach Report 2024 a révélé que les incidents liés à l’IA coûtent aux organisations en moyenne 4,88 millions de dollars par violation.
Les principaux contrôles de sécurité de l’IA comprennent : la découverte et l’inventaire des outils d’IA (savoir quelle IA est utilisée dans l’ensemble de l’organisation) ; des politiques d’usage acceptable assorties de mécanismes d’application ; la prévention des pertes de données (DLP) pour les interactions avec l’IA ; des cadres de gouvernance des agents d’IA pour les systèmes autonomes ; une surveillance continue de l’usage de l’IA en vue de détecter les violations de politiques ; des exercices réguliers de red teaming de l’IA pour identifier les vulnérabilités ; et des manuels de réponse aux incidents spécifiquement conçus pour les événements de sécurité liés à l’IA.
Les cadres réglementaires intègrent de plus en plus d’exigences en matière de sécurité de l’IA. L’EU AI Act impose des tests de sécurité pour les systèmes d’IA à haut risque, le NIST AI RMF inclut la sécurité comme considération centrale, et des régulateurs sectoriels tels qu’APRA (Australie), FCA (Royaume-Uni) et OCC (États-Unis) publient des lignes directrices de gestion des risques liés à l’IA pour les services financiers.