IA en entreprise : la DGSI alerte sur les risques d’un usage mal encadré

L’intelligence artificielle s’est installée très vite dans les usages professionnels. Traduire un document, résumer un texte, préparer une réponse, gagner du temps sur une tâche répétitive : tout cela paraît pratique, parfois même anodin. C’est justement là que le risque commence.

Dans une note publiée en décembre 2025, la DGSI alerte sur les dérives liées à l’usage de l’IA en entreprise. Son message n’est pas de rejeter ces outils, mais de rappeler qu’un usage mal encadré peut exposer l’entreprise à des fuites d’informations, à des fraudes ou à des erreurs de décision.

Pour le montrer, elle s’appuie sur trois situations très concrètes.

Premier cas : des salariés utilisent une IA grand public pour traduire des documents confidentiels.
Dans l’entreprise impliquée, cet usage s’était installé sans validation hiérarchique. L’objectif était simple : aller plus vite. Mais en copiant ces documents dans un outil externe, les salariés ont aussi pris le risque de faire sortir des informations sensibles de l’entreprise. Selon les services utilisés, les données peuvent être conservées, hébergées à l’étranger, voire réutilisées. Ce qui ressemble à un simple gain de temps peut donc devenir une fuite d’information.

Deuxième cas : une société se fie à un outil d’IA pour évaluer ses partenaires commerciaux.
Par manque de temps, les résultats fournis par l’outil ne sont pas vérifiés. Or une IA peut produire une réponse convaincante tout en étant biaisée, incomplète ou tout simplement fausse. Elle peut aussi inventer des éléments. Le danger n’est pas seulement l’erreur : c’est l’erreur présentée avec assurance. À force de s’en remettre à l’outil, l’entreprise perd en vigilance et laisse la machine orienter des décisions qui devraient rester humaines.

Troisième cas : un responsable reçoit un faux appel vidéo de son dirigeant.
Le visage, la voix, le ton, tout semble crédible. Pourtant, il s’agit d’une tentative d’escroquerie par hypertrucage. L’objectif était d’obtenir un transfert de fonds. Dans ce cas, le responsable a eu le bon réflexe : interrompre l’échange et vérifier par les canaux habituels. Mais ce type d’attaque montre à quel point l’IA peut rendre les fraudes plus réalistes et plus difficiles à repérer.

À travers ces exemples, la DGSI rappelle quelques règles simples :

• ne pas coller dans une IA grand public des documents internes, confidentiels ou contenant des données personnelles ;
• ne pas considérer comme fiable un résultat simplement parce qu’il est bien rédigé ;
• vérifier les analyses produites par l’IA avant de s’en servir ;
• rester prudent face aux appels, messages ou vidéos inhabituels, même s’ils semblent venir d’une personne connue ;
• définir en interne des règles claires sur les usages autorisés.

La DGSI recommande aussi de mieux encadrer ces outils dans les entreprises, de former les équipes, de privilégier des solutions offrant davantage de garanties en matière de sécurité et, lorsque c’est possible, de recourir à des outils mieux maîtrisés.

L’IA peut faire gagner du temps. Mais au travail, elle ne doit jamais devenir un réflexe sans contrôle. Avant de lui confier un document, une analyse ou une décision, une question simple doit rester systématique : est-ce que cette information peut vraiment sortir de l’entreprise ?

Lire le communiqué de la DGSI : Les risques associés à l’usage de l’intelligence artificielle dans le monde professionnel 

Rappel / Les bons réflexes IA

À faire :

• utiliser uniquement les outils autorisés par l’entreprise ;
• vérifier systématiquement les réponses fournies par l’IA ;
• relire tout contenu avant envoi ou diffusion ;
• conserver une validation humaine pour les décisions importantes ;
• signaler à sa hiérarchie l’usage de l’IA pour un travail sensible ;
• se méfier des demandes inhabituelles, urgentes ou confidentielles ;
• vérifier par un autre canal en cas d’appel, message ou visio suspects ;
• se former régulièrement aux usages et aux risques.

À ne pas faire :

• copier-coller dans une IA grand public un document confidentiel ;
• transmettre des données personnelles ou sensibles à un outil non maîtrisé ;
• faire confiance à une réponse uniquement parce qu’elle est bien rédigée ;
• utiliser l’IA seule pour évaluer un partenaire, un dossier ou un risque ;
• valider un paiement ou une demande urgente sans contrôle ;
• supposer qu’une vidéo, une voix ou un message est authentique ;
• improviser des usages sans règle interne ;
• considérer l’IA comme un expert infaillible.