Selon une étude de CoreView, plus de la moitié des grandes organisations (51 %) ont annulé des modifications apportées par l'IA dans Microsoft 365 en raison de préoccupations liées à la sécurité ou à la gouvernance. L’étude révèle que 70 % des responsables IT jugent l'administration pilotée par l'IA précieuse, mais les fondations de gouvernance et de sécurité nécessaires à son déploiement fiable font défaut dans la grande majorité des environnements.
Ce constat s'inscrit dans un contexte de complexification continue de Microsoft 365. La plateforme, utilisée par plus de deux millions d'entreprises dans le monde selon les données de Statista, a étendu son périmètre fonctionnel et ses options de configuration au point que 82 % des responsables IT interrogés la décrivent désormais comme un lourd fardeau opérationnel. Plus d'un tiers estiment qu'elle est devenue nettement plus complexe et gourmande en ressources au cours des deux dernières années. Une entreprise sur cinq déclare qu'il est presque impossible de gérer et de sécuriser la plateforme à l'échelle de l'organisation — un chiffre qui atteint 27 % au Royaume-Uni et 24 % aux États-Unis.
L’étude publiée ce mois par CoreView, spécialiste de la résilience des environnements Microsoft 365, a été réalisée auprès de 500 responsables IT d'entreprises comptant plus de 1 000 utilisateurs au Royaume-Uni, aux États-Unis, en Allemagne et en Australie, et complétée par l'analyse de données réelles portant sur 1,6 million d'utilisateurs.
L'analyse des données issues des utilisateurs de Microsoft 365 révèle un déficit de contrôles de sécurité de base particulièrement préoccupant. Selon CoreView, 90 % des organisations peinent à appliquer des mesures élémentaires telles que les politiques de mots de passe et la surveillance des tentatives de connexion échouées. Le chiffre le plus critique concerne l'authentification multi-facteurs : 87 % des organisations comptaient au moins certains administrateurs sans MFA activé, la MFA n'étant effective que pour 28 % des administrateurs et 7 % des utilisateurs. Dans ce contexte, les 140 443 tentatives de connexion échouées par semaine et par organisation — chiffre moyen issu des données de tenants analysés — représentent un volume d'événements de sécurité que des équipes sous-dotées en outils d'automatisation ne peuvent traiter manuellement.
L'IA déployée dans des environnements qui n'y sont pas préparés
La visibilité sur l'environnement constitue un deuxième angle mort structurel. Près de la moitié des organisations (45 %) déclarent ne pas disposer d'une visibilité et d'un contrôle complets sur leur tenant Microsoft 365 — 52 % au Royaume-Uni, 47 % aux États-Unis. Cette absence de maîtrise se traduit directement sur les processus de conformité : 43 % des organisations signalent des audits échoués ou retardés en raison de rapports Microsoft 365 lents, incomplets ou reposant sur des processus manuels, les problèmes n'étant identifiés que lors des contrôles réglementaires plutôt qu'en temps réel.
Le taux de rétractation révélé par l'étude, 51 % des organisations ayant annulé des changements induits par l'IA dans Microsoft 365, traduit une tension entre la pression de l'automatisation et l'incapacité à valider les modifications produites dans un environnement insuffisamment gouverné. Ce taux varie significativement selon les pays : 64 % au Royaume-Uni, 52 % en Australie, 46 % en Allemagne, 40 % aux États-Unis. La dispersion géographique de ces chiffres suggère des niveaux de maturité en gouvernance IT très hétérogènes, le Royaume-Uni affichant paradoxalement le taux de rétractation le plus élevé malgré une adoption de l'IA généralement avancée dans ce marché.
Andrew Sivieri, Chief Product & Technology Officer de CoreView, a formulé le diagnostic de l'étude de façon directe : « l'IA est déployée dans des environnements qui n'y sont pas prêts, et lorsque les contrôles de gouvernance et de sécurité ne sont pas déjà en place, l'automatisation ne résout pas le problème, elle l'accélère, faisant passer le risque en production plus vite que les équipes ne peuvent le maîtriser ». Cette formulation synthétise la principale implication pour les DSI : l'adoption de Copilot ou de tout autre outil d'administration IA sur M365 présuppose une hygiène de gouvernance préalable que la majorité des organisations n'ont pas encore atteinte.
La gouvernance IA, condition préalable à la confiance
L'étude mesure également l'impact des lacunes de sécurité sur la dynamique de décision au niveau exécutif. Un quart des responsables IT (24 %) déclarent rencontrer une résistance de leur direction générale à l'adoption de l'IA en raison de préoccupations liées à la sécurité — 34 % en Allemagne, 32 % aux États-Unis, 28 % en Australie. Ce frein de gouvernance au niveau du Comex constitue un obstacle à la trajectoire d'automatisation que 45 % des organisations planifient pourtant pour les vingt-quatre prochains mois, avec le remplacement d'outils existants par des solutions augmentées par l'IA.
Deux conditions sont identifiées par les répondants comme déterminantes pour la réussite de cette transition : 46 % s'inquiètent que l'IA agisse sans supervision humaine suffisante, et 45 % estiment que la traçabilité et l'explicabilité des actions automatisées sont des prérequis non négociables. Pour les équipes IT, cela se traduit par une exigence de journalisation exhaustive, d'alertes configurables sur les modifications de configuration et de mécanismes de réversion rapide. Des capacités que Microsoft 365 ne fournit pas en natif, ni à la granularité requise, selon CoreView, dont le positionnement commercial repose précisément sur ce manque.
Distinguer entre observation et prescription
Il faut, à ce stade, faire la part des choses et distinguer entre observation et prescription. Lorsque l'étude mesure que 24 % des responsables IT font face à une résistance de leur direction générale à l'adoption de l'IA pour des raisons de sécurité, elle documente un état de fait à un instant donné dans quatre pays. Transformer ce constat en affirmation normative — la gouvernance serait une condition préalable à la confiance — implique un raisonnement causal que les données disponibles ne démontrent pas. La résistance des directions générales peut tout aussi bien s'expliquer par une méconnaissance des outils, par des expériences négatives antérieures sans lien direct avec la gouvernance, ou par une aversion au risque. Les 76 % restants — dont les directions ne manifestent pas cette résistance — ne valident pas pour autant une gouvernance solide : ils peuvent simplement ne pas avoir encore engagé le sujet à ce niveau.
Ce type de glissement est particulièrement fréquent dans le traitement de données d'enquête, où la corrélation entre deux variables — ici, déficit de gouvernance et résistance à l'IA — est reformulée en relation de causalité, puis en recommandation. CoreView, dont le modèle commercial repose précisément sur les lacunes de gouvernance M365 que l'étude documente, a un intérêt à présenter ces déficits comme des prérequis bloquants plutôt que comme des risques à pondérer. Ce biais de publication ne disqualifie pas les données — les chiffres issus de l'analyse de 1,6 million d'utilisateurs effectifs conservent une valeur documentaire indépendante des conclusions que l'éditeur en tire, mais il impose de distinguer ce que l'étude mesure effectivement de ce qu'elle recommande implicitement. Pour le décideur IT, la règle de lecture est simple : les statistiques d'exposition (87 % d'administrateurs sans MFA généralisée, 140 000 tentatives de connexion échouées par semaine) sont des données de terrain vérifiables ; les conclusions sur la séquence d'adoption de l'IA restent des positions de l'éditeur, à traiter comme telles.
