Sans une cybergouvernance solide, ce potentiel peut rapidement se transformer en risque. Votre organisation est-elle prête à sécuriser l’IA dès aujourd’hui?

De l’optimisation des réseaux et de la maintenance prédictive à l’approvisionnement et aux processus administratifs, l’IA générative et agentique propulse les secteurs ER&PI du Canada en créant des gains d’efficacité, en prolongeant la durée de vie des actifs et en améliorant la résilience des systèmes.

Cependant, à mesure que l’adoption de l’IA s’accélère, la cybergouvernance du directeur de la sécurité de l’information peine à suivre le rythme. Alors que l’utilisation de l’IA agentique devrait augmenter partout au Canada dans les deux prochaines années, seulement 25 % des organisations déclarent avoir une gouvernance avancée en place pour les agents autonomes.

Dans les environnements ER&PI où la résilience opérationnelle et la sécurité sont incontournables, des lacunes de gouvernance peuvent rapidement se transformer en perturbations, en pertes financières ou en risques réglementaires.

Les leaders en cybersécurité doivent se demander : notre fonction de cybersécurité est-elle prête à sécuriser l’IA à la vitesse (et à l’échelle) exigée par notre entreprise?  

La plupart des équipes déploient l’IA sans renforcer la sécurité

L’IA s’introduit dans les environnements ER&PI à un rythme que les structures de gouvernance et les architectures héritées n’ont pas été conçues pour soutenir. Sous la pression constante des coûts et la surveillance réglementaire croissante, les équipes des opérations sur le terrain, de l’ingénierie, de l’approvisionnement et des fonctions organisationnelles adoptent des outils d’IA en dehors de la supervision formelle, créant une empreinte croissante d’IA fantôme dans l’entreprise.

Cette montée de l’IA fantôme contourne souvent les normes de sécurité et laisse les responsables de la cybersécurité dans l’ignorance. À mesure que l’adoption s’accélère, l’écart de gouvernance se creuse, entraînant avec lui des risques opérationnels, financiers et réglementaires. La résilience opérationnelle et la sécurité étant non négociables, le risque augmente plus vite que les mécanismes de contrôle conçus pour le contenir.

Qu’est-ce que cela signifie pour le directeur de la sécurité de l’information?
Une responsabilité à l’échelle de l’entreprise, sans visibilité ni supervision à la même échelle.

Dans ce contexte, l’alignement entre le directeur de la sécurité de l’information, le directeur des systèmes d'information et le directeur de la technologie sur l’architecture et la gouvernance ne suffit plus. Les leaders en cybersécurité doivent impliquer les décideurs tôt et bâtir une sensibilisation plus forte, à l’échelle de l’entreprise, aux obligations de cybersécurité, de sécurité et de confidentialité pour garantir que l’adoption de l’IA s’accompagne des bonnes mesures de protection.  

Mesures sans regret pour renforcer vos défenses

Les équipes de cybersécurité sont sous pression pour suivre le rythme de l’IA tout en gérant les coûts, la réglementation et la complexité. Ces cinq mesures sans regret aideront les leaders des secteurs ER&PI à combler les lacunes de visibilité, contenir le risque et protéger la marge sans freiner l’innovation.

Accroître la visibilité sur l’utilisation de l’IA, surtout l’IA fantôme
L’adoption de l’IA dans les organisations à forte intensité d’actifs est rarement centralisée. Des employés bien intentionnés dans les opérations sur le terrain, l’informatique, l’ingénierie, l’approvisionnement et les équipes organisationnelles adoptent souvent des outils d’IA de façon indépendante pour répondre aux exigences de coûts et d’efficacité. Il est donc essentiel que les directeurs de la sécurité de l’information comprennent de façon proactive où et comment l’IA est utilisée dans l’organisation avant qu’elle ne se développe au-delà des capacités de supervision.

Pour garder une longueur d’avance, les directeurs de la sécurité de l’information peuvent tirer parti des outils de sécurité existants (p. ex. découverte de données) pour identifier comment l’IA entre et circule dans les flux de travail et les environnements opérationnels.

En pratique : Une entreprise canadienne d’énergie a intégré des classificateurs personnalisés directement à sa plateforme de découverte de données afin de détecter automatiquement où les modèles d’IA, les instructions et les ensembles de données étaient utilisés dans l’entreprise. Plutôt que d’attendre que les projets passent par les canaux d’approbation traditionnels, elle a intégré la visibilité directement dans le flux de travail. Cela a offert à l’équipe de cybersécurité une façon évolutive et sans friction de surveiller l’IA fantôme sans ajouter de surcharge opérationnelle.

S’appuyer sur les défenses existantes
Toute la sécurité pour l’IA n’a pas besoin d’être nouvelle. Les directeurs de la sécurité de l’information peuvent utiliser et optimiser les points de contrôle existants sur lesquels ils comptent déjà pour protéger l’entreprise. En optimisant leur infrastructure de sécurité actuelle plutôt qu’en la réinventant, des capacités comme la cartographie de la surface d’attaque et la segmentation du réseau peuvent être ajustées pour renforcer la posture face aux menaces liées à l’IA.

En pratique : Lorsque les équipes d’une entreprise canadienne de produits industriels et de construction ont commencé à utiliser des outils d’IA externes comme ChatGPT, Claude et Gemini, la réponse n’a pas été de déployer une nouvelle infrastructure ni d’imposer une interdiction générale. L’organisation a plutôt activé les capacités existantes de son courtier de sécurité d’accès au nuage afin de détecter ces utilisations et de les rediriger vers sa solution interne approuvée, comblant ainsi le risque d’exfiltration de données sans ajouter de complexité ni perturber la façon de travailler.

Élargir la gouvernance au-delà de la « cybersécurité »
Les risques liés à l’IA dans les secteurs ER&PI ne relèvent pas d’une seule fonction. Ils influencent la stratégie d’affaires, les technologies opérationnelles et les risques liés aux modèles, ce qui signifie que la gouvernance ne peut pas être la seule responsabilité des équipes de cybersécurité.

Les directeurs de la sécurité de l’information doivent collaborer étroitement avec les équipes responsables de la confidentialité, des données et de l’analytique, de l’ingénierie, des opérations sur le terrain et de la gestion des risques afin de définir des responsabilités claires et de renforcer la gouvernance avant que les problèmes ne surviennent. Lorsque ces fonctions s’alignent tôt, la reddition de comptes devient explicite, créant ainsi les conditions nécessaires pour réduire la fragmentation des contrôles, limiter les dépenses en double et diminuer le coût de correction des risques liés à l’IA à plus long terme.

En pratique : Une organisation canadienne de pétrole et gaz a mis en place un forum de gouvernance de l’IA interfonctionnel pour structurer l’adoption rapide de l’IA dans l’entreprise. Codirigé par les équipes responsables de la confidentialité, avec une forte représentation des fonctions cybersécurité et technologies, le forum est devenu l'instance unique chargée d’évaluer les cas d’utilisation de l’IA, d’établir des balises claires et de prendre des décisions, permettant ainsi de soutenir l’innovation tout en veillant à ce que les contrôles appropriés soient en place.
 

Concevoir pour l’avenir
Aucune organisation n’a encore tout résolu. Un point de départ pratique pour les directeurs de la sécurité de l’information consiste à concentrer les investissements en sécurité là où l’entreprise expérimente déjà avec l’IA, puis à étendre progressivement à partir de là.

Concrètement, cela signifie de revoir les modèles de menace, les processus de développement logiciel, les contrôles d’accès et les stratégies de gestion des talents afin de tenir compte de nouveaux comportements pilotés par l’IA et des agents autonomes. Cela signifie aussi intégrer l’IA aux opérations de cybersécurité (ex. triage, enquête, rapport, etc.) pour libérer la capacité limitée et améliorer les temps de réponse.
 

Favoriser une collaboration ciblée
Le marché de la sécurité de l’IA est saturé, et presque tous les fournisseurs revendiquent désormais une protection activée par l’IA. Dans les environnements ER&PI sensibles aux coûts, les directeurs de la sécurité de l’information ne peuvent pas se permettre de naviguer seuls dans ce paysage ni d’ajouter une complexité inutile.

Plutôt que de disperser les investissements entre de multiples outils et fournisseurs, les directeurs de la sécurité de l’information devraient s’entourer d’un nombre restreint de conseillers de confiance, capables de soutenir à la fois les environnements TI et les technologies opérationnelles, afin d’accélérer une adoption responsable de l’IA.

En pratique : Alors que le marché de la sécurité de l’IA est plus encombré que jamais, une organisation canadienne de produits industriels et de construction a fait un choix délibéré : moins de fournisseurs, une collaboration plus approfondie. En s’appuyant sur un groupe restreint de conseillers de confiance, elle est actuellement en train de concevoir et de tester un modèle de menaces lié à l’IA sur une plateforme centrale unique, misant sur des efforts ciblés pour obtenir une réduction des risques que des investissements larges et fragmentés permettent rarement d’atteindre.  

Plan directeur de cybersécurité pour l’IA et cadre d’architecture

L’IA s’intègre en temps réel aux opérations principales des ER&PI. La capacité des organisations à réagir ou à prendre les devants dépendra de la solidité de leurs fondations.

Le plan directeur de cybersécurité pour l’IA de Deloitte offre un cadre clair et opérationnel permettant d’intégrer la sécurité à l’ensemble du cycle de vie de l’IA, en identifiant les risques spécifiques et en définissant les contrôles nécessaires pour protéger les systèmes critiques à mesure que l’adoption s’accélère.