L’entrée en vigueur pleine de l’AI Act remet une pression nette sur les entreprises. Le vrai sujet n’est plus l’adoption de l’IA, mais son contrôle.
En bref
- L’AI Act durcit la pression dès le 2 août
- Les agents IA échappent encore trop au contrôle
- La gouvernance devient un impératif sécurité
Le 2 août, le sujet change de catégorie. Pour les entreprises actives en IA, la question n’est plus seulement de déployer vite, mais de prouver qu’elles gardent la main. Avec l’entrée en vigueur pleine de l’AI Act, les régulateurs de l’UE et les autorités nationales des 27 États membres pourront enquêter, restreindre et sanctionner des usages non conformes. Résultat, la gouvernance sort du confort des débats internes.
Le 2 août change la nature du sujet
Chez Keeper Security, Shane Barney, CISO du groupe, met le doigt là où ça fait mal. Dans son message autour de la Journée de la reconnaissance de l’IA, il dit en substance que la vraie question n’est pas ce que l’IA a rendu possible, mais ce qu’elle fait une fois installée dans l’environnement de l’entreprise. Et sa réponse est rude. Pour la plupart des équipes sécurité, le niveau de visibilité reste insuffisant.
On comprend l’alerte. Depuis deux ans, pas mal d’organisations ont surtout cherché à accélérer l’adoption. Mais un agent IA qui tourne dans un SI, ce n’est pas juste une fonction en plus. C’est une entité qui agit, accède, traite et parfois décide seule.
Le problème n’est pas l’outil, c’est l’identité
C’est sans doute le point le plus important. Les agents d’IA opèrent avec des accès privilégiés, manipulent des données sensibles et prennent des décisions de manière autonome, souvent avec un niveau de supervision comparable à celui d’un compte de service non surveillé. Vu du terrain sécurité, ce n’est pas un détail d’architecture. C’est une nouvelle surface de risque.
Du coup, continuer à regarder ces agents comme de simples outils serait une erreur. Keeper Security estime qu’il faut les traiter comme de nouvelles identités numériques, avec droits d’accès, obligations d’audit et capacité réelle de provoquer des dommages si rien n’encadre leur activité.
Le vrai signal faible est déjà visible
Le chiffre avancé par l’étude mondiale 2026 de Keeper mérite qu’on s’y arrête. 56 % des organisations citent le partage involontaire d’informations sensibles par les employés via des outils d’IA comme leur principale faille de sécurité.
Ce point est intéressant parce qu’il déplace le débat. Le problème n’est pas présenté comme un déficit technologique pur, mais comme un défaut de contrôle et de gouvernance, alors même que l’adoption continue d’accélérer.
Ce que les équipes sécurité doivent étendre maintenant
La feuille de route, elle, reste assez classique, et c’est justement ce qui la rend crédible. Il s’agit d’appliquer le privilège minimal, de maintenir des contrôles sur les identifiants et de disposer d’une traçabilité complète pour chaque identité du système, humaine ou non.
Bref, les fondamentaux ne changent pas. Ils s’étendent. Et c’est là que le message de Shane Barney tape juste, quand il résume l’enjeu ainsi : « les organisations savent-elles ce que fait l’IA une fois qu’elle est déployée au sein de leurs environnements ? » Pour beaucoup, clairement, pas encore assez.