L’adoption de l’IA progresse rapidement. Mais la gouvernance est en retard.

La plupart des entreprises Apple adoptent l’IA. Elles sont bien moins nombreuses à comprendre ce qu’elle fait réellement. Nous ne parlons pas de l’IA qu’Apple intègre à son système d’exploitation. Nous parlons des outils tiers que les équipes adoptent de leur propre initiative : les assistants IA, les outils pour développeurs et les fonctionnalités d’IA intégrées aux logiciels courants.

Nous avons recueilli les témoignages de 687 responsables informatiques et de la sécurité au sein d’entreprises qui privilégient les produits Apple. Près des trois quarts (72,9 %) ont déjà déployé l’IA sous une forme ou une autre, mais ils sont aussi plus de quatre sur cinq (81,7 %) à avoir déjà subi un incident lié à l’IA ou à le prévoir. Ces chiffres dissimulent une tendance qu’il faut analyser : ce sont les entreprises qui sont les plus avancées dans l’adoption de l’IA qui signalent le plus grand nombre d’incidents.

Appelons cela le « déficit de visibilité ». L’IA s’étend plus rapidement que les outils et les politiques destinés à la réguler, et plus une organisation progresse dans cette voie, plus cet écart a tendance à se creuser. Mais une bonne nouvelle ressort de ces données : les équipes les plus avancées ont déjà cessé de considérer l’équilibre entre gouvernance et autonomisation comme un inévitable compromis.

Les réalités de l’IA dans les entreprises Apple

1. Plus le déploiement de l’IA est poussé, plus le taux d’incidents est élevé.

On pourrait s’attendre à ce qu’un programme d’IA plus abouti réserve moins de surprises. Les données suggèrent le contraire. Parmi les organisations ayant largement intégré l’IA, 27,1 % ont été confrontées à un incident lié à l’IA au cours de l’année écoulée. Parmi celles qui en sont encore au stade de l’exploration, ce chiffre ne dépasse pas 19,4 %. Autrement dit, la fréquence des incidents est supérieure de 40 % au sein des équipes qui, pourtant, devraient maîtriser les fondamentaux.

Les entreprises les plus dynamiques ont tendance à étendre leur utilisation de l’IA plus vite qu’elles ne parviennent à en assurer la visibilité. Chaque nouvel outil ajoute des points de terminaison, des appels vers le cloud, du traitement sur l’appareil, des agents et des intégrations. Et tout cela, sans aucune couche de gouvernance. Ces pratiques creusent un fossé entre les outils réellement exécutés et ceux que le service informatique peut observer, et c’est ce fossé qui provoque les incidents.

2. L’adoption a dépassé le point de non-retour, mais la visibilité ne l’a pas encore rattrapée.

Près des trois quarts des organisations que nous avons interrogées (72,9 %) ont mis en œuvre l’IA sous une forme ou une autre : cela va des projets pilotes limités à une équipe aux intégrations approfondies dans les workflows quotidiens. Pour l’essentiel, le débat sur l’intérêt d’adopter l’IA est clos. La question qui se pose désormais est celle de la visibilité et de la gouvernance au fil de l’expansion du déploiement.

Lorsque nous avons demandé aux personnes interrogées de décrire dans leurs propres termes les défis qu’il leur restait à relever en matière d’IA, 178 d’entre elles nous ont répondu. Quatre thèmes revenaient sans cesse :

• L’IA de l’ombre : les employés adoptent des outils sans l’accord du service informatique et utilisent leur compte personnel pour envoyer des données sensibles, échappant à toute supervision
• IA agentique et IA de développement : des outils en ligne de commande, des extensions d’IDE, des modèles intégrés et des paquets tiers, qui fonctionnent au sein d’environnements hors de portée des outils de surveillance traditionnels
• Prolifération des fournisseurs : les fournisseurs intègrent des outils d’IA aux produits déjà déployés dans le parc sans laisser le temps aux équipes de les évaluer
• Coûts imprévus : la tarification à l’utilisation rend les dépenses impossibles à prévoir

L’un des participants a parfaitement résumé cette tension : « Tout le monde veut pouvoir utiliser l’IA dès maintenant. Nous voulons prendre le temps de vérifier, de tester et de sécuriser les choses, mais la révolte gronde à nos portes. » Selon un autre responsable, l’arsenal actuel est « essentiellement incapable de détecter les outils en ligne de commande, les extensions d’IDE, les extensions de navigateur et les paquets tiers ». Les principaux sites web sont faciles à repérer. Tout le reste, en revanche, échappe aux détections.

3. Les équipes les plus avancées combinent gouvernance et autonomisation.

Depuis des années, la gouvernance et l’autonomisation sont présentées comme des forces opposées, comme si chaque mesure de contrôle entraînait une perte d’efficacité. Les données montrent que les équipes les plus avancées ont dépassé cette idée reçue. Lorsque nous avons demandé aux responsables informatiques et de la sécurité de classer leurs grandes priorités pour l’année à venir dans le domaine de l’IA, un trio de tête très resserré s’est rapidement dégagé : l’automatisation des opérations informatiques (44,4 %), le déploiement d’outils de productivité basés sur l’IA (41,0 %) et la mise en place d’une gouvernance de l’IA (36,7 %).

Ces équipes recherchent à la fois la rapidité et la sécurité, parce qu’elles savent que ces deux aspects sont loin d’être incompatibles, contrairement aux idées reçues.

Ce changement d’approche, qui consiste à envisager le déploiement et la gouvernance comme un tout plutôt que comme un dilemme, est précisément ce qui permet d’échapper aux incidents. Les équipes qui n’attendent pas pour mettre en place des contrôles de visibilité et d’accès ne freinent pas leurs collègues. Elles s’épargnent de lourds travaux de nettoyage. Pour être durable, un déploiement rapide doit être adossé dès le départ à des pratiques de gouvernance.

Combler le déficit de visibilité

Les conclusions de l’enquête sont sans appel. Avec l’intégration croissante de l’IA au cœur du fonctionnement des entreprises Apple, il est plus crucial que jamais de pouvoir voir et contrôler ce qui s’exécute sur les appareils.

Les environnements Apple ont une particularité qu’il est important de comprendre. Le modèle de confidentialité d’Apple et les contrôles de gestion intégrés à la plateforme offrent aux équipes informatiques une base solide. Mais pour tirer pleinement parti de cet avantage, il est indispensable d’utiliser des outils conçus dès le départ pour Apple. Les outils basés sur le réseau vous permettent de visualiser le trafic et de savoir quels services d’IA cloud vos utilisateurs consultent et à quelle fréquence, mais le signal s’arrête au périmètre du réseau. Même lorsque l’IA est exécutée dans le cloud, c’est sur l’appareil que s’effectuent les opérations : il reste crucial de savoir quels outils y sont installés, quels processus ils lancent et à quels fichiers ils accèdent. Rien de tout cela n’apparaît dans un journal DNS. Pour superviser et contrôler ces pratiques, il faut pouvoir observer l’appareil lui-même, et pas seulement le trafic qui l’entoure.

Les organisations qui ont trouvé la bonne formule font preuve de la plus grande rigueur. Elles investissent dans la visibilité pour savoir ce que fait leur IA, définissent des règles pour encadrer son utilisation, et donnent aux utilisateurs la liberté d’accéder aux outils dont ils ont besoin.