Le dirigeant en 2026 n'a pas à devenir technicien IA. Mais il doit comprendre les risques en termes business, savoir poser les bonnes questions au RSSI/CTO/DPO, prendre des décisions stratégiques éclairées (budget, priorités, vendor management, conformité), et superviser un programme de gouvernance robuste. Les sanctions EU AI Act peuvent atteindre 35M€ ou 7% du CA mondial, cumulables avec RGPD (20M€ ou 4%). Un incident type EchoLeak coûte plusieurs millions en remédiation. Cet article documente, pour direction et conseil d'administration, les 5 risques business, les 10 questions clés, le budget, les KPI à suivre, et le plan d'action 6 mois.
Pour le pendant RSSI : sécurité IA pour RSSI. Pour la conformité : EU AI Act pour entreprises.
L'IA en entreprise vue par la direction
Trois propriétés à intégrer mentalement :
-
L'IA est partout : officielle (projets formalisés) ou shadow (employés utilisant ChatGPT, Claude, Copilot sans déclaration). Estimations 2026 : organisations ont 3-5x plus d'usages IA que ce qu'elles pensent.
-
Risques structurellement nouveaux : sanctions EU AI Act, exfiltration zéro-clic (EchoLeak), hallucinations diffamatoires, manipulation business via prompt injection. Les risques classiques (cyber, RGPD) restent applicables, l'IA ajoute une couche.
-
Décisions direction directes : budget, priorisation, vendor management, conformité, décisions qui ne peuvent pas être déléguées entièrement au RSSI/CTO. Le board doit comprendre pour décider.
Tip, La direction ne doit pas devenir technicienne. Mais elle doit comprendre les 5 risques business et poser les 10 questions clés. C'est suffisant pour superviser correctement.
Les 5 risques business majeurs
Risque 1, Sanctions réglementaires (EU AI Act + RGPD)
Faits chiffrés :
| Règlement | Sanction max | Quand |
|---|---|---|
| EU AI Act Article 5 (pratiques inacceptables) | 35M€ ou 7% CA mondial | Actif depuis février 2025 |
| EU AI Act haut-risque (Annexe III) | 15M€ ou 3% CA mondial | Applicable août 2026 |
| RGPD (Article 83) | 20M€ ou 4% CA mondial | Actif depuis 2018 |
| Sectoriel (HDS, ACPR, etc.) | Variable selon secteur | Actif |
Cumul possible : un même incident peut violer EU AI Act + RGPD = doubles sanctions. Premier précédent attendu courant 2026-2027.
Implication direction : si vous opérez dans l'UE ou exportez vers l'UE, conformité EU AI Act non négociable. Deadline critique pour systèmes haut-risque : 2 août 2026.
Risque 2, Incident sécurité opérationnel
Cas de référence 2025 : EchoLeak (CVE-2025-32711), exfiltration de données Microsoft 365 Copilot zéro-clic via injection email. Estimations publiques : coût remédiation + audit + perte de confiance pour ETI = 0.5-5M€.
Classes d'incidents IA :
| Classe | Manifestation | Coût estimé ETI |
|---|---|---|
| Exfiltration zéro-clic (EchoLeak) | Data leak via assistants IA | 0.5-5M€ |
| RAG poisoning (Zou 2024) | Manipulation réponses business | 0.1-2M€ |
| Hallucinations diffamatoires | Risque procès, atteinte image | 0.1-1M€ + frais juridiques |
| Recursive tool calling (cost explosion) | Facture API LLM × 100-1000 | 50k-500k€ |
| Cross-tenant leak SaaS multi-tenant | Sanctions RGPD + clients | 1-10M€ |
| Supply chain ML compromise | Modèles malveillants en production | 0.5-5M€ |
Implication direction : ces risques se matérialisent maintenant (pas dans le futur). Investir dans la défense est rentable au regard de l'impact.
Risque 3, Lock-in vendor + souveraineté
Réalité 2026 : la majorité des entreprises sont dépendantes de 2-3 fournisseurs IA US (OpenAI, Anthropic, Google). Risques associés :
- Schrems II / Schrems III potentiel : transferts UE-US pourraient être à nouveau invalidés.
- Cloud Act US : autorités US peuvent accéder aux données stockées par entreprises US, même hors US.
- Pricing volatility : DeepSeek 2025 a recompacté l'écosystème, pricing peut chuter (bonne nouvelle) ou monter brutalement.
- Déprécation modèle : GPT-4 → GPT-5 → GPT-6 force des migrations coûteuses.
- Géopolitique : embargos, sanctions, restrictions d'export.
Implication direction : décision stratégique sur multi-provider + cloud souverain pour données sensibles (SecNumCloud en France). Coût plus élevé (15-30%) mais résilience structurelle.
Risque 4, Conformité sectorielle
Selon secteur, exigences spécifiques :
| Secteur | Exigences IA |
|---|---|
| Santé | HDS (Hébergeur de Données de Santé), HIPAA (US), DPIA renforcée |
| Finance | ACPR (France), Bâle, MiFID, sanctions financières |
| Défense / OIV | LPM, NIS 2, SecNumCloud, PASSI |
| Éducation | RGPD renforcé enfants (Article 8), EU AI Act Annexe III pt 3 |
| RH / recrutement | EU AI Act haut-risque + RGPD + droit du travail |
| Public | Open data + EU AI Act + transparence renforcée |
Implication direction : selon secteur, exigences au-delà d'EU AI Act + RGPD généraux. Coordination DPO + RSSI + juridique obligatoire.
Risque 5, Opportunité manquée par sur-prudence
Risque moins visible mais réel : sur-restriction des usages IA = perte de productivité + désavantage compétitif.
Faits 2026 :
- Concurrents qui déploient l'IA correctement gagnent en productivité (estimations McKinsey, BCG : 20-40% sur certaines fonctions).
- Recrutement : les meilleurs talents préfèrent organisations qui maîtrisent l'IA.
- Innovation : l'IA est un facteur de différenciation business croissant.
Pattern recommandé : déployer avec sécurité intégrée (security by design), pas après. Coût de la sécurité ajoutée a posteriori = 5-10x supérieur à la sécurité intégrée dès le design.
Anti-pattern : geler tous projets IA en attendant la conformité parfaite. Perte d'avantage compétitif structurel.
Les 10 questions à poser au RSSI
Questions stratégiques (3)
1. Inventaire : Combien de systèmes IA avons-nous en production ? Combien en shadow AI ?
Réponse attendue : nombre précis (officiel) + estimation (shadow) + plan de découverte. Si réponse vague = signal alerte.
2. EU AI Act readiness : Sommes-nous prêts pour la deadline 2 août 2026 sur nos systèmes haut-risque ?
Réponse attendue : liste systèmes haut-risque, % conformes, plan de mise en conformité avec deadlines. Si réponse vague = risque sanction réel.
3. Budget : Quel est le ratio investissement sécurité IA / risque incident estimé ?
Réponse attendue : ratio chiffré (cible 1:50 à 1:500). Justifie le ROI direction.
Questions opérationnelles (4)
4. Incidents : Combien d'incidents IA dans les 12 derniers mois ? Quel MTTD / MTTR ?
Réponse attendue : chiffres précis. MTTD < 30 min et MTTR < 2h pour critiques = bon. Pas de chiffres = pas de monitoring.
5. Couverture : Quels systèmes critiques n'ont pas de threat model formalisé ?
Réponse attendue : 0 ou justification. Si N > 0 : priorité d'action.
6. Audits : Quel est le calendrier d'audits externes IA (red teaming, conformité) ?
Réponse attendue : audit externe annuel minimum + red teaming trimestriel pour critiques.
7. Coordination : Comment se passent les coordinations DPO / RSSI / AppSec / DevOps sur les sujets IA ?
Réponse attendue : comité de gouvernance IA opérationnel + RACI clair. Si tensions = problème organisationnel.
Questions vendor / souveraineté (3)
8. Vendor management : Quels fournisseurs IA actifs ? DPA signés ? Stratégie multi-provider ?
Réponse attendue : inventaire fournisseurs + statut contractuel + plan multi-provider.
9. Souveraineté : Quels systèmes IA traitent des données sensibles ? Sont-ils hébergés en UE / SecNumCloud ?
Réponse attendue : matrice systèmes × niveau sensibilité × hébergement. Pour OIV/OSE : SecNumCloud obligatoire.
10. Transferts internationaux : Comment gérons-nous les transferts UE-US ? Plan de contingence Schrems III ?
Réponse attendue : analyses Schrems II documentées + endpoints UE quand possible + plan de migration.
KPI à suivre par la direction
Dashboard mensuel direction
┌──────────────────────────────────────────────────────────┐
│ Sécurité IA, Rapport Direction │
│ Avril 2026 │
├──────────────────────────────────────────────────────────┤
│ │
│ INVENTAIRE │
│ Systèmes IA officiels : 12 │
│ Shadow AI détecté : 23 outils │
│ Couverture inventaire : 87% (cible 90%) 🟡 │
│ │
│ CONFORMITÉ EU AI ACT (deadline 2 août 2026) │
│ Systèmes haut-risque : 3 │
│ Conformes : 1/3 (33%) 🔴 │
│ Plan de mise en conformité : OK pour 2/3 │
│ │
│ INCIDENTS │
│ Incidents mois : 3 (1 critique contenu) │
│ MTTD moyen : 22 min (cible 15) 🟡 │
│ MTTR moyen : 45 min (cible 30) 🟡 │
│ │
│ INVESTISSEMENT │
│ Budget consommé YTD : 65% (vs 50% attendu) │
│ Ratio coût/risque évité : 1:80 ✅ │
│ │
│ AUDITS │
│ Audits externes prévus : 1 annuel + 4 trim. 🟢 │
│ ISO 42001 readiness : 60% │
│ │
│ ALERTES DIRECTION │
│ 🔴 Conformité EU AI Act : 1/3 systèmes haut-risque │
│ conformes, DEADLINE J-95. Plan accéléré requis. │
│ │
└──────────────────────────────────────────────────────────┘Indicateurs clés à suivre
| Indicateur | Cible | Cadence reporting |
|---|---|---|
| Couverture inventaire IA | > 90% | Mensuelle |
| Systèmes haut-risque conformes EU AI Act | 100% (au 2026-08-02) | Mensuelle |
| Incidents IA / mois (par sévérité) | Variable | Mensuelle |
| MTTD critiques | < 15 min | Mensuelle |
| MTTR critiques | < 30 min | Mensuelle |
| Couverture audits externes | Annuel + trimestriel | Trimestrielle |
| Ratio coût défense / risque évité | > 1:50 | Annuelle |
| Conformité multi-frameworks (NIST/ISO/EU AI Act) | Roadmap claire | Trimestrielle |
Plan d'action direction 6 mois
Mois 1, Cadrage et sponsoring
Décisions direction :
- Nommer AI Risk Officer ou attribuer le rôle (RSSI ou rôle dédié).
- Mandater le RSSI pour l'inventaire IA complet (officiel + shadow).
- Allouer budget initial cadrage (1-3 ETP × 6 mois + outils).
- Communiquer aux équipes : politique d'usage IA en cours d'élaboration.
Mois 2, Réception du diagnostic
Le RSSI présente :
- Inventaire complet (officiel + shadow).
- Classification par catégorie de risque.
- Gap analysis EU AI Act / RGPD / ISO 42001.
- Estimation effort + budget de mise en conformité.
Décisions direction :
- Validation des priorités (systèmes haut-risque d'abord).
- Budget complet sur 12-18 mois.
- Communication interne (politique d'usage IA officielle).
Mois 3, Approbation politique et plan
Documents validés direction :
- Politique IA d'entreprise (5-10 pages).
- RACI cross-équipes.
- Plan de mise en conformité 18 mois.
- Budget alloué.
Mois 4-5, Suivi exécution
- Tableau de bord mensuel (cf. dashboard ci-dessus).
- Comité de gouvernance IA trimestriel (RSSI, DPO, CTO, AppSec, juridique, métiers).
- Décisions sur arbitrages (déploiement vs report, fournisseurs, etc.).
Mois 6, Bilan et ajustement
- Audit interne de la maturité atteinte.
- Ajustement budget pour année 2.
- Préparation audits externes (ISO 42001 si visée).
- Communication direction → board.
Investissement type
Décomposition budget sécurité IA pour ETI (1000 employés, ~10 systèmes IA)
| Poste | Budget annuel |
|---|---|
| AI Risk Officer (rôle dédié ou partagé) | 80-150k€ |
| Outils / licences (LLM Guard, Lakera, Langfuse, etc.) | 30-100k€ |
| Infra spécifique (vector DB, observabilité) | 50-150k€ |
| Audit externe annuel (red teaming + conformité) | 30-80k€ |
| Conseil + formation | 30-100k€ |
| Mises en conformité (DPIA, FRIA, certifications) | 50-200k€ première année |
| Total annuel | 270-780k€ |
Pour grandes entreprises : multiplier × 3-5. Pour PME : diviser × 3-5.
Justification : représente ~0.5-2% du CA sur SI moyen. À mettre en regard de :
- Sanctions cumulables EU AI Act + RGPD : jusqu'à 55M€ ou 11% CA.
- Coût incident type EchoLeak : 0.5-5M€.
- Ratio coût défense / risque évité : 1:50 à 1:500.
Vendor management, décisions direction
Critères stratégiques
Au-delà des aspects techniques (DPA, ISO, etc.), critères direction :
| Critère | Implication direction |
|---|---|
| Souveraineté | Données sensibles → SecNumCloud (Outscale, OVH, Bleu, S3NS, Numspot) |
| Multi-provider | Décision stratégique anti-lock-in (15-30% surcoût acceptable) |
| Self-hosted critique | Pour OIV/OSE : Llama/Mistral en interne pour systèmes vitaux |
| Pricing volatility | Contractualiser cap pricing si possible |
| Géopolitique | Plan de contingence Schrems III, embargos potentiels |
Endpoints UE recommandés (2026)
- Microsoft Azure OpenAI : régions UE (France, Suède, Pays-Bas).
- AWS Bedrock : régions UE (Frankfurt, Ireland, Paris).
- Google Vertex AI : régions UE.
- Anthropic via Vertex : régions UE.
- Mistral (FR) : hébergement souverain disponible.
- OVHcloud : LLMs sur infrastructure souveraine.
SecNumCloud-qualifiés 2026 (pour OIV/données très sensibles)
- Outscale (groupe Dassault Systèmes).
- OVHcloud (offres SecNumCloud).
- Bleu (Capgemini + Orange + Microsoft, basé Azure).
- S3NS (Thales + Google Cloud).
- Numspot (Docaposte + Orange + Dassault Systèmes).
Conformité, décisions direction
Quels frameworks viser ?
| Framework | Visée | Quand |
|---|---|---|
| NIST AI RMF | Cadre opérationnel pragmatique | Année 1, fondation |
| ISO 42001 | Certification + signal B2B | Année 2-3, différenciateur commercial |
| EU AI Act | Conformité juridique obligatoire | Mai-août 2026, deadline |
| RGPD | Continuité (en coordination DPO) | Continu |
| ISO 27001 | Sécurité info classique | Si pas déjà certifié |
| ANSSI (FR) | Si OIV/OSE/secteur sensible | Selon secteur |
| Sectoriel (HDS, ACPR, etc.) | Si applicable | Selon secteur |
Décision direction : roadmap conformité pluriannuelle. Pour ETI moyenne : ISO 27001 → NIST AI RMF → ISO 42001 → EU AI Act conformité = 3 ans typiquement.
Communication direction → board
Format présentation board trimestriel
10-15 slides recommandés :
- Périmètre IA et évolution.
- Risques majeurs identifiés (top 5).
- Incidents trimestre + leçons apprises.
- KPI consolidés (cf. dashboard).
- Conformité (EU AI Act, RGPD, sectoriel).
- Budget consommé vs prévu.
- Vendor management évolutions.
- Plan trimestre suivant.
- Décisions board demandées.
- Q&A.
Indicateurs board (annuel)
- ROI sécurité IA (incidents évités estimés).
- Conformité réglementaire (% systèmes conformes).
- Maturité par framework (NIST/ISO/EU AI Act).
- Évolution risque résiduel.
- Comparaison benchmark sectoriel (si disponible).
Gestion du shadow AI, décisions direction
Fait 2026
Estimations multiples sources (Gartner, Forrester, Accenture) :
- 75-90% des employés utilisent un outil IA (ChatGPT, Copilot, etc.) au moins occasionnellement.
- 30-50% l'utilisent sans déclaration officielle.
- 15-30% ont déjà saisi des PII clients ou données confidentielles dans des prompts.
Décision direction : politique d'usage IA
Document de 2-5 pages validé direction, communiqué à tous employés :
# Politique d'usage de l'IA, Acme Corp
## 1. Principe
L'usage de l'IA est encouragé pour améliorer la productivité,
sous conditions de sécurité et conformité.
## 2. Périmètre autorisé
- Plateforme IA interne (URL): pour TOUTES données entreprise.
- Outils SaaS publics validés (liste annexe) : pour données
PUBLIQUES uniquement.
## 3. Périmètre interdit
- Saisie de PII clients dans tout outil non validé.
- Saisie de données confidentielles entreprise dans outils publics.
- Code source propriétaire dans Codeium / Cursor / Copilot
individuel (utiliser version Enterprise validée).
## 4. Cas d'usage approuvés
[Liste des cas d'usage validés par DPO + RSSI]
## 5. Procédure de demande nouveau cas d'usage
[Process documenté : demande → validation DPO/RSSI → activation]
## 6. Sanctions
[Conformément aux règles disciplinaires usuelles + RGPD interne]Anti-pattern : interdiction totale = contournements. Pattern défendable : alternative interne attractive + politique claire + formation + monitoring.
8 erreurs fréquentes direction sur l'IA
| Erreur | Symptôme | Fix |
|---|---|---|
| Sécurité IA = problème technique | Délégation totale au RSSI | Comité gouvernance IA avec direction |
| Geler les projets IA | Perte avantage compétitif | Déployer avec sécurité by design |
| Ignorer le shadow AI | Découverte choquante en audit | Inventaire structuré + politique |
| EU AI Act = sujet 2027 | Découverte tardive du retard | Audit conformité dès 2025-2026 |
| Vendor lock-in non évalué | Dépendance unique fournisseur | Multi-provider stratégie |
| Budget reactive | Demande budget après incident | Budget prévisionnel justifié |
| Pas de KPI direction | Reporting invisible/incompréhensible | Dashboard mensuel adapté |
| Communication board défensive | Board craint l'IA, blocages | Communication équilibrée (risques + opportunités) |
Pour aller plus loin
- Sécurité IA pour RSSI, vue détaillée RSSI.
- EU AI Act pour entreprises, règlement contraignant.
- ISO 42001, certification AIMS.
- NIST AI RMF, cadre opérationnel.
- Audit conformité IA NIST/ISO/EU AI Act, méthodologie.
- Sécurité IA pour DPO, coordination DPO.
Points clés à retenir
- Direction 2026 : comprendre les risques business (pas devenir technicien) + poser les bonnes questions + prendre les décisions stratégiques (budget, priorités, conformité, vendor).
- 5 risques business : sanctions (EU AI Act 35M€/7% + RGPD 20M€/4% cumulables), incidents opérationnels (EchoLeak class 0.5-5M€), lock-in/souveraineté, conformité sectorielle, opportunité manquée par sur-prudence.
- 10 questions clés au RSSI : 3 stratégiques + 4 opérationnelles + 3 vendor/souveraineté.
- KPI direction mensuel : couverture inventaire, conformité EU AI Act, incidents/MTTD/MTTR, budget vs prévu, ratio coût/risque évité.
- Plan 6 mois : Cadrage (M1) → Diagnostic (M2) → Politique + plan (M3) → Suivi exécution (M4-5) → Bilan + ajustement (M6).
- Budget typique ETI : 270-780k€/an (~0.5-2% du CA). Justifié par sanctions cumulables 55M€/11% CA + incident 0.5-5M€.
- Vendor management : multi-provider + endpoints UE + SecNumCloud pour très sensibles.
- Roadmap conformité : NIST AI RMF (Y1) → ISO 42001 (Y2-3) → EU AI Act (deadline août 2026 haut-risque).
- 8 erreurs fréquentes : déléguer au RSSI, geler projets, ignorer shadow AI, ignorer EU AI Act, vendor lock-in, budget réactif, pas de KPI, communication board défensive.
Le dirigeant 2026 sur l'IA n'a pas à devenir technicien, mais il a la responsabilité directe de la gouvernance et des décisions stratégiques. La maturité organisationnelle s'atteint en 6-18 mois avec un sponsoring fort + plan structuré. Les organisations qui le font sont avantagées (moins d'incidents, conformité prête, talents attirés, confiance clients).
