Chaque année, le Forum InCyber rappelle l'importance de la sensibilisation aux risques numériques. En 2026, l'intelligence artificielle (IA) s'impose comme le thème central de cette mobilisation. Pourquoi ? Parce que l'IA redéfinit les règles du jeu, tant pour les défenseurs que pour les attaquants. Omniprésente, elle transforme la détection des menaces, l'automatisation des attaques et la protection des données.
Pourtant, son premier défi reste sa définition même : comment réguler un outil dont la nature échappe encore aux cadres juridiques ?
Analyse en cinq axes :
1 - L'IA : un outil aux contours juridiques flous
Pour la CNIL, l'IA est un « procédé logique et automatisé ». Le Parlement européen y voit un outil reproduisant des comportements humains. La Commission européenne, elle, opte pour une approche par typologies (apprentissage automatique, logique, statistiques…). Cette diversité de définitions reflète la complexité de l'IA, mais elle complique aussi son encadrement juridique et sa gouvernance.
Le plus gros problème actuel lié à l'IA est… la définition même de celle-ci.
2 - IA : alliée ou menace pour la cybersécurité ?
L'IA est un couteau suisse : elle peut détecter des attaques en temps réel, analyser des schémas de menace, ou automatiser la réponse aux incidents. Mais elle peut aussi être détournée pour orchestrer des cyberattaques sophistiquées, comme le phishing personnalisé ou les deepfakes.
Exemple concret : Des entreprises comme Microsoft utilisent l'IA pour contrer le phishing, tandis que des cybercriminels l'exploitent pour créer des deepfakes audio et vidéo ultra-réalistes. Selon l'étude Surfshark (mars 2026), les pertes cumulées liées aux fraudes par deepfake ont dépassé 1,33 milliard d'euros depuis 2023, dont 863 millions d'euros pour la seule année 2025. Le coût de ces attaques a bondi de 2 000 % depuis 2023 (Signicat).
Avec l'AI Act, dont l'application générale entre en vigueur le 2 août 2026, les IA à haut risque sont désormais soumises à des audits, des exigences de transparence et des obligations de reporting. Les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Mais la course entre innovation et régulation est loin d'être terminée.
3 - Les dangers invisibles de l'IA en entreprise
L'IA n'est pas qu'un outil : elle peut aussi être une cible. Les risques sont multiples :
- Fuite de données : Des collaborateurs utilisant des IA comme ChatGPT avec des documents sensibles. Selon la National Cybersecurity Alliance (2025), 43 % des utilisateurs d'IA ont déjà partagé des informations sensibles professionnelles avec des outils d'IA à l'insu de leur employeur.
- Violation de propriété intellectuelle : Des algorithmes « nourris » avec des données stratégiques, exposées à la concurrence.
- Attaques par empoisonnement ou inversion de modèle : Des cybercriminels manipulant les systèmes d'IA pour en extraire des informations.
Aujourd'hui, l'IA est à la fois un atout et un danger direct pour nos systèmes. 73 % des professionnels de la cybersécurité affirment que les menaces alimentées par l'IA impactent déjà leur organisation (Darktrace, State of AI Cybersecurity 2026).
Solution : Une gouvernance transversale, associant SSI, protection des données, éthique et métiers, est indispensable. Il faut aussi sensibiliser les équipes aux nouveaux risques (phishing « augmenté », deepfakes, etc.) et intégrer la sécurité dès la conception (privacy by design).
4 - L'IA, nouvelle arme des hackers
Les cybercriminels exploitent l'IA pour automatiser des attaques, comme le montre l'outil Deep Exploit, utilisé aussi bien par les attaquants que par les défenseurs. Pire : l'IA elle-même peut être trompée. Des motifs conçus par IA (patches contradictoires) permettent de déjouer les systèmes de reconnaissance faciale, comme l'a démontré la marque Cap_able.
Cas emblématique : Le programme Face++ d'Alibaba, piraté par des chercheurs grâce à des lunettes à 22 cents imitant les points de repère faciaux.
5 - Vers une IA responsable : quelles actions concrètes ?
Pour maîtriser ces enjeux, les entreprises doivent :- Cartographier les risques :Analyser les vulnérabilités des systèmes d'IA (SIA) via des tests adversariaux et des audits réguliers.
- Encadrer l'usage :Former les collaborateurs, signer des chartes, et limiter l'exposition des données sensibles.
- Intégrer l'éthique :Respecter les principes de privacy by design, de transparence et de conformité (RGPD, AI Act).
- Collaborer :Associer experts en sécurité, juristes, DPO et RSSI pour une gouvernance holistique.
L'IA n'est ni bonne ni mauvaise : elle est ce que nous en faisons. Son potentiel est immense, mais ses risques le sont tout autant. L'enjeu n'est plus de savoir si l'IA va révolutionner notre monde, mais comment nous allons la réguler pour qu'elle serve le progrès sans menacer nos libertés.
La balle est dans notre camp : entreprises, régulateurs et citoyens doivent travailler ensemble pour construire un cadre sécurisé, éthique et innovant. Le temps de l'action est venu.
Tribune de Laurent Galvani, expert en cybersécurité et protection des données chez Fidens by TVH Consulting
