Brief IA : ChatGPT : quand l'IA menace la sécurité des entreprises

ChatGPT : quand l'IA menace la sécurité des entreprises

Brief IA
Tom Levy·7 min·2 vues

Un directeur de la CISA a transféré des documents sensibles sur ChatGPT, exposant des failles de sécurité. Samsung a interdit ChatGPT après des fuites de données critiques via ses ingénieurs en 2023. Des erreurs générées par l'IA coûtent du temps et de l'argent aux entreprises, selon une étude de 2025.

En bref
1Un directeur de la CISA a transféré des documents sensibles sur ChatGPT, exposant des failles de sécurité.
2Samsung a interdit ChatGPT après des fuites de données critiques via ses ingénieurs en 2023.
3Des erreurs générées par l'IA coûtent du temps et de l'argent aux entreprises, selon une étude de 2025.
💡Pourquoi c'est importantLa gestion inadéquate de l'IA expose les entreprises à des risques de sécurité et de productivité, nécessitant une gouvernance renforcée.
Le brief IA que lisent les pros

Tu suis la course aux modèles IA ?

Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

Fuites de données : un risque omniprésent

Les récentes affaires de fuites de données dans les entreprises ne sont pas simplement des incidents isolés, mais le reflet d'une tendance inquiétante où le jugement humain est souvent mis de côté. Prenons l'exemple marquant du directeur par intérim de la CISA, l'agence fédérale américaine chargée de la cybersécurité, qui a été pris en flagrant délit de transfert de documents internes sur ChatGPT, un outil d'intelligence artificielle accessible au grand public. Cet incident, survenu début 2026, a été découvert grâce aux systèmes de surveillance internes de l'administration. Bien que l'agence ait affirmé que l'accès était autorisé et l'usage limité, le fait que des informations sensibles aient été confiées à un système non contrôlé reste préoccupant.

Ce type de situation pourrait se produire dans n'importe quelle organisation. Le problème ne réside pas dans l'outil lui-même, mais dans l'attitude des utilisateurs qui choisissent de déléguer leur jugement et de transmettre des informations sans vérification préalable.

Quand les données s'échappent

L'utilisation non autorisée et non supervisée d'outils d'intelligence artificielle, souvent désignée sous le terme d'"IA fantôme", est devenue courante. Selon une étude publiée par IBM, l'utilisation de l'IA générative par les employés est passée de 74 % à 96 % entre 2023 et 2024. Parmi ces utilisateurs, 38 % admettent avoir introduit des informations professionnelles sensibles dans ces outils sans autorisation.

L'affaire Samsung en 2023 est un exemple frappant de cette problématique. En l'espace de vingt jours, trois incidents de fuite de données via ChatGPT ont été signalés : un ingénieur a partagé le code source d'une base de données de semi-conducteurs, un autre a divulgué des modèles de test confidentiels, et un troisième a demandé un résumé d'une réunion interne. Ces données, une fois saisies, pouvaient être utilisées pour entraîner le modèle d'IA, échappant ainsi au contrôle de l'entreprise. En réponse, Samsung a interdit l'utilisation d'outils d'IA générative sur le lieu de travail.

Les fuites ne se limitent pas aux équipes techniques. En février 2026, le juge fédéral américain Jed Rakoff a statué que les analyses produites par un ancien dirigeant de GWG Holdings avec un assistant IA, dans le cadre d'une affaire de fraude boursière, pouvaient être communiquées. L'argument était que l'interaction avec une IA pouvait être considérée comme un échange avec un tiers, annulant ainsi la protection du secret avocat-client.

Dans votre entreprise, savez-vous précisément quels outils d'IA sont utilisés par vos équipes et avec quelles données ?

Quand l'IA invente et que personne ne vérifie

Un autre risque, plus insidieux, est celui des erreurs générées par l'IA qui passent inaperçues. L'IA peut produire des textes qui semblent crédibles mais qui sont en réalité faux. Si personne ne vérifie, ces erreurs peuvent avoir des conséquences graves.

En octobre 2025, un cabinet de conseil a dû rembourser partiellement le gouvernement australien pour un rapport contenant des erreurs générées par l'IA, y compris des références académiques inexistantes et une citation fabriquée attribuée à un juge fédéral.

Le secteur juridique a également connu des incidents similaires. En 2023, dans l'affaire Mata contre Avianca à New York, un avocat a été condamné à une amende de 5 000 dollars pour avoir soumis des décisions judiciaires inventées par ChatGPT. Au Canada, en 2024, une avocate a dû payer les frais de la partie adverse après avoir cité des jurisprudences fictives dans un litige de garde d'enfant. Le problème sous-jacent est toujours le même : l'absence de relecture et de vérification.

Au-delà de ces cas spectaculaires, un phénomène plus discret, le "work slop", affecte la productivité quotidienne. Ce terme désigne le contenu généré par l'IA qui semble professionnel mais manque de profondeur, obligeant le destinataire à tout reprendre. Une étude de BetterUp Labs et Stanford, publiée dans la Harvard Business Review en septembre 2025, estime que chaque occurrence de "work slop" coûte en moyenne près de deux heures de correction, soit environ 186 dollars par mois et par employé concerné.

Trois mécanismes alimentent ces dérives : l'excès de confiance (on suspend son esprit critique face à un texte bien tourné), la course à l'adoption (les managers déploient les usages plus vite que les contrôles ne suivent), et la délégation excessive (on confie à la machine la synthèse, le conseil, voire la décision, sans vérifier le résultat).

Sur vos derniers livrables à fort enjeu, combien ont été relus par un humain capable d'en repérer une erreur de fond ?

Reprendre la main

Interdire l'utilisation de l'IA n'est pas une solution viable, car cela pousse les utilisateurs à contourner les règles. Une charte ou une formation isolée ne suffit pas face à la pression de livrer rapidement. Pour réduire les risques de manière structurelle, une organisation doit développer trois capacités essentielles qui répondent directement aux risques identifiés.

  • Visibilité des usages réels : Tant que l'entreprise ignore quels outils sont utilisés, par qui et avec quelles données, elle reste dans l'ombre. Il est crucial de détecter non seulement les applications officiellement déclarées, mais aussi les extensions de navigateur, les fonctionnalités IA intégrées aux logiciels métiers et les usages via des comptes personnels.

  • Contrôle au moment de l'interaction et de l'exécution : Bloquer des sites ne suffit plus. Il est nécessaire d'analyser le contenu d'un message avant qu'il ne soit envoyé à un modèle externe et de surveiller les actions que l'IA propose d'exécuter. Cette exigence devient critique avec les agents autonomes, capables d'agir directement sur les systèmes d'information.

  • Exécution locale pour les données sensibles : Pour les cas relevant du secret professionnel, des informations stratégiques ou de données personnelles à haut risque, faire transiter systématiquement l'information vers un fournisseur externe crée une exposition permanente. Exécuter le modèle sur une infrastructure interne – ou via une passerelle sécurisée vers un modèle plus puissant quand c'est nécessaire – permet de garder la donnée dans le périmètre de l'entreprise.

Ces trois capacités ne remplacent pas la culture d'usage, elles la rendent opérationnelle. Sans visibilité, on ne peut pas former ni responsabiliser. Sans contrôle en temps réel, les bons réflexes restent insuffisants. Sans exécution locale, le collaborateur est parfois contraint de choisir entre productivité et conformité.

Cette culture se décline par métier. Un juriste n'envoie jamais les faits d'une affaire sensible à un outil externe. Un manager exige une relecture humaine sur tout livrable à impact client ou stratégique, ainsi qu'une traçabilité de l'usage de l'IA. Un développeur teste et sécurise le code généré au lieu de le croire prêt à l'emploi.

La preuve que cette approche porte ses fruits existe. Une plateforme du secteur de la construction a obtenu en six mois la première certification mondiale ISO 42001 en structurant à la fois ses outils de contrôle et ses processus de validation. Selon des retours d'éditeurs, une grande entreprise mondiale de technologie de santé a, de son côté, ramené à un niveau proche de zéro les usages d'IA non autorisés sur plus de 60 000 utilisateurs en combinant découverte automatisée et surveillance des interactions.

Le coût de l'inaction

La question n'est plus de savoir si l'IA va se déployer dans votre entreprise. Elle est déjà déployée. La vraie question est de savoir à quel prix. Les organisations qui traitent encore la gouvernance comme un sujet secondaire accumulent des coûts cachés : temps passé en corrections, incidents de données, décisions fondées sur des bases fragiles et érosion progressive de la qualité des livrables.

Celles qui construisent visibilité, contrôle en temps réel et capacité d'exécution locale – et qui ancrent les bons réflexes dans chaque métier – réduisent ces coûts tout en rendant l'adoption plus rapide et plus stable.

Les prochains incidents ne viendront pas d'une faille technique isolée, mais d'un enchaînement de gestes quotidiens répétés sans cadre. Dans votre organisation, la gouvernance de l'IA est-elle encore un règlement à faire respecter, ou un système de capacités à construire ?

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires