Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Principaux enseignements du rapport ISACA sur les tendances technologiques 2026 pour la gestion des risques dans le secteur public

Principaux enseignements du rapport ISACA sur les tendances technologiques 2026 pour la gestion des risques dans le secteur public

par Patrick Spencer updated octobre 23, 2025 Gestion des risques liés à la cybersécurité
temps de lecture: 14 minutes

Le paysage de la cybersécurité gouvernementale connaît un tournant décisif. Selon le sondage Tech Trends and Priorities Pulse Poll 2026 de l’ISACA, qui a interrogé 2 963 professionnels de la confiance numérique dans les domaines de la cybersécurité, de l’audit IT, de la gouvernance, du risque et de la conformité, les agences fédérales et étatiques font face à une convergence inédite de menaces, d’exigences réglementaires et de complexité technologique.

Les résultats mettent en lumière des réalités préoccupantes pour les professionnels de la gestion des risques du secteur public. 59 % des répondants considèrent les cybermenaces pilotées par l’IA et les deepfakes comme leur principale préoccupation pour 2026—c’est la première fois que les menaces liées à l’intelligence artificielle dépassent les vecteurs d’attaque traditionnels. Parallèlement, 66 % citent la conformité réglementaire comme priorité majeure de leur organisation, tandis que 62 % placent la continuité d’activité et la résilience en tête de leurs préoccupations. Plus inquiétant encore : seuls 13 % des professionnels se sentent « très bien préparés » à gérer les risques liés à l’IA générative.

Ces statistiques sont cruciales, car les agences gouvernementales traitent les données les plus sensibles du pays—des renseignements classifiés aux informations personnelles identifiables (PII) des citoyens. Alors que les agences accélèrent leur transformation numérique et l’adoption de l’IA sous l’impulsion de textes comme l’Executive Order 14028 et la stratégie Zero Trust du DoD, l’intersection entre sécurité des données, conformité et confidentialité exige des solutions capables de répondre à la fois aux menaces traditionnelles et émergentes.

Résumé des points clés

  1. Les menaces pilotées par l’IA dominent désormais la cybersécurité. 63 % des professionnels citent l’ingénierie sociale pilotée par l’IA comme la cybermenace la plus importante pour 2026, devant des préoccupations traditionnelles comme les ransomwares. Les agences gouvernementales font face à des campagnes de phishing sophistiquées, des deepfakes et des opérations de reconnaissance automatisées à une échelle inédite.
  2. Un manque de préparation critique en matière de gestion des risques liés à l’IA. Seuls 13 % des professionnels se sentent très bien préparés à gérer les risques liés à l’IA générative, alors que 59 % considèrent les menaces IA comme leur principale préoccupation. Ce décalage crée des vulnérabilités alors que les agences accélèrent l’adoption de l’IA sous la pression des exigences fédérales.
  3. La conformité réglementaire exige une action immédiate avec des délais serrés. CMMC 2.0 deviendra obligatoire pour les contrats DoD en octobre 2026, nécessitant 12 à 18 mois pour la certification. Les agences doivent en parallèle mettre en œuvre l’architecture Zero Trust d’ici 2027 tout en s’adaptant à des cadres réglementaires IA en constante évolution.
  4. La mise en œuvre du Zero Trust requiert une architecture de sécurité centrée sur les données. Un Zero Trust efficace va au-delà des contrôles réseau pour adopter des approches définies par le contenu, protégeant les données selon leur classification. Les systèmes IA nécessitent des contrôles d’accès basés sur les attributs, des passerelles sécurisées et des journaux d’audit tout au long du cycle de vie de l’IA.
  5. Le développement des compétences est essentiel pour faire face aux menaces émergentes. 41 % citent la nécessité de suivre le rythme des évolutions IA comme leur principale préoccupation professionnelle. Les agences doivent investir dans la montée en compétences de leurs équipes sur la sécurité IA, développer une expertise transversale en gouvernance IA et attirer des talents rares en sécurité IA.

Évolution des menaces : l’IA comme adversaire

Les menaces pilotées par l’IA dominent les préoccupations professionnelles

L’enquête ISACA met en évidence un changement fondamental dans l’environnement des menaces. 63 % des répondants citent l’ingénierie sociale pilotée par l’IA comme la principale cybermenace pour les organisations en 2026—le taux le plus élevé du sondage. Il s’agit d’un changement notable par rapport aux années précédentes, où les ransomwares dominaient les préoccupations. Si les ransomwares restent élevés à 54 %, et les attaques sur la supply chain inquiètent 35 % des répondants, les menaces IA sont désormais au centre de l’attention.

Les conséquences pour les opérations gouvernementales sont majeures. L’ingénierie sociale pilotée par l’IA permet de concevoir des campagnes de phishing ultra-personnalisées ciblant les agents fédéraux, de générer des deepfakes crédibles pour usurper l’identité de responsables et d’automatiser la reconnaissance des réseaux gouvernementaux à une échelle inédite. Les agences étatiques et locales, souvent dotées de ressources limitées en cybersécurité, sont particulièrement vulnérables à ces attaques sophistiquées.

Manque de préparation

Les données révèlent un écart préoccupant entre la prise de conscience des menaces et la préparation organisationnelle. Si 59 % des professionnels s’attendent à ce que les menaces IA les empêchent de dormir, la préparation réelle reste très en retrait. Seuls 13 % décrivent leur organisation comme « très bien préparée » à gérer les risques liés à l’IA générative. 30 % reconnaissent même ne pas être très préparés, voire pas du tout.

Ce manque de préparation se traduit par une pression sur les effectifs. 41 % des répondants identifient la nécessité de suivre le rythme des évolutions IA comme leur principal défi professionnel à l’approche de 2026, suivie par la complexité croissante des menaces (27 %). Cette difficulté s’ajoute à des problèmes existants : 23 % citent la rétention et le recrutement de talents, et 14 % font état d’un épuisement du personnel en cybersécurité.

Risques IA spécifiques aux données pour les opérations gouvernementales

L’intégration de l’IA dans les opérations gouvernementales introduit des défis de sécurité des données distincts des modèles de menace traditionnels. L’accès non autorisé de systèmes IA à des informations non classifiées contrôlées (CUI) ou à des données classifiées représente un risque majeur. Contrairement aux utilisateurs humains, les systèmes IA peuvent consommer et traiter d’énormes volumes de données à la vitesse machine, rendant les contrôles d’accès traditionnels insuffisants.

La protection des données d’entraînement constitue une autre préoccupation majeure. Les agences développant des fonctions IA doivent sécuriser les données d’entreprise utilisées pour l’entraînement des modèles. L’empoisonnement des données—l’injection d’informations malveillantes ou trompeuses dans les jeux d’entraînement—peut compromettre l’intégrité des modèles IA. Ce risque ne concerne pas que les acteurs externes, mais aussi les menaces internes et les vulnérabilités de la supply chain dans les processus de développement IA.

Les systèmes IA en production exposent en continu les données lors des opérations d’inférence et de prise de décision. Les attaques par injection de prompt peuvent manipuler les systèmes IA pour contourner les contrôles de sécurité ou extraire des informations sensibles. Les systèmes IA gouvernementaux prenant des décisions à fort enjeu—éligibilité à des prestations, habilitations de sécurité, allocation de ressources—nécessitent un accès contrôlé aux données, maintenant la classification de sécurité appropriée tout au long du cycle de vie de l’IA.

Pour relever ces défis, les agences doivent mettre en place des contrôles d’accès IA Zero Trust vérifiant chaque demande, des autorisations granulaires réservant l’accès aux seules IA autorisées, et un suivi en temps réel offrant une visibilité complète sur la consommation de données par l’IA. Des passerelles sécurisées créent des canaux protégés entre les systèmes IA et les référentiels de données, tout en assurant des journaux d’audit pour la conformité et l’investigation des incidents.

Conformité réglementaire : la priorité n°1

La conformité comme impératif stratégique

La conformité réglementaire arrive en tête des priorités organisationnelles pour 2026, 66 % des répondants ISACA la jugeant très importante. Cette priorité reflète l’ampleur croissante et la complexité des exigences en cybersécurité du secteur public. 32 % s’attendent à ce que la complexité réglementaire et les risques de conformité à l’international les empêchent de dormir—une préoccupation majeure dans un contexte où la non-conformité peut entraîner l’exclusion des appels d’offres, des sanctions financières et un impact sur la mission.

Les données révèlent aussi une évolution de la perception des exigences réglementaires. Plutôt que de voir la conformité comme une contrainte, 62 % des répondants estiment que la réglementation cyber favorisera la croissance, et 78 % pensent qu’elle renforcera la confiance numérique dans les prochaines années. Ce changement traduit la reconnaissance que les cadres de conformité, bien appliqués, renforcent la sécurité et la capacité organisationnelle.

Obligation d’architecture Zero Trust

L’Executive Order 14028, « Improving the Nation’s Cybersecurity », impose aux agences fédérales d’adopter les principes de l’architecture Zero Trust (ZTA). La stratégie Zero Trust du DoD fixe l’objectif d’adoption à l’exercice fiscal 2027 pour atteindre les fonctions initiales sur l’ensemble du périmètre défense. Les recommandations de microsegmentation de la CISA proposent des stratégies concrètes pour empêcher les déplacements latéraux sur le réseau—un principe clé du Zero Trust.

Le Zero Trust marque un changement fondamental : on passe d’une sécurité périmétrique à une vérification continue. Ce modèle part du principe qu’aucune confiance implicite n’existe selon la localisation réseau, et exige une vérification pour chaque demande d’accès, quelle qu’en soit la source. La sécurité centrée sur les données est la base d’un Zero Trust efficace : comprendre les flux de données, mettre en place des contrôles d’accès granulaires et maintenir une visibilité sur toutes les interactions avec les données.

Pour les systèmes IA, la mise en œuvre du Zero Trust impose des contrôles d’accès basés sur les attributs (ABAC) qui ajustent dynamiquement les autorisations selon la sensibilité des données, les besoins du système IA et le contexte. Cette approche remplace la logique binaire par une évaluation des risques prenant en compte plusieurs variables. Les agences doivent établir des canaux sécurisés entre les systèmes IA et les référentiels de données, surveiller en temps réel la consommation de données IA et automatiser l’application des règles de gouvernance lors des demandes d’accès.

Exigences de conformité CMMC 2.0

Le programme Cybersecurity Maturity Model Certification (CMMC) 2.0 fixe des standards de cybersécurité obligatoires pour la base industrielle de défense. La règle DFARS finale, publiée le 10 septembre 2025, entre en vigueur le 10 novembre 2025. À partir du 31 octobre 2026, la conformité CMMC sera obligatoire pour tout nouveau contrat DoD.

Le CMMC comporte trois niveaux de certification :

  • Niveau 1 (Fondation) pour les informations contractuelles fédérales, exigeant 17 pratiques de base et une auto-évaluation
  • Niveau 2 (Avancé) pour la CUI, exigeant les 110 pratiques du NIST SP 800-171 et une évaluation tierce pour les contrats prioritaires
  • Niveau 3 (Expert) pour les informations critiques de sécurité nationale, évalué par le Defense Industrial Base Cybersecurity Assessment Center

Obtenir la certification CMMC niveau 2 nécessitant généralement 12 à 18 mois, les sous-traitants et agences doivent se préparer dès maintenant pour rester éligibles aux contrats de défense.

Cadres réglementaires spécifiques à l’IA

L’adoption de l’IA par le secteur public s’accélère sous l’effet de multiples obligations, mais les cadres réglementaires pour la sécurité IA continuent d’évoluer. Le NIST AI Risk Management Framework (AI RMF 1.0) fournit des recommandations pour identifier, évaluer et gérer les risques IA, couvrant la validité, la fiabilité, la sécurité, la résilience, la responsabilité, la transparence et la protection de la vie privée.

L’Executive Order 14110 établit des exigences fédérales en matière de sécurité IA, demandant aux agences de mettre en place des garde-fous pour les systèmes IA, de tenir des inventaires de données utilisées par l’IA et de s’aligner sur les standards NIST. Les agences doivent suivre quels systèmes IA accèdent à quelles données, documenter les sources de données d’entraînement et conserver des journaux d’audit sur les interactions IA.

Répondre à ces exigences suppose des fonctions techniques telles que des journaux d’audit retraçant les sources de données utilisées pour l’entraînement et l’inférence IA, le suivi de la provenance des données pour identifier les jeux d’entraînement tout au long du cycle IA, la gestion de l’intégrité des informations pour garantir la qualité des données d’entraînement, et la journalisation immuable pour créer des traces infalsifiables de toutes les interactions IA.

Confidentialité et souveraineté des données

30 % des répondants ISACA identifient la confidentialité et la souveraineté des données comme des priorités technologiques pour 2026. Les agences gèrent des obligations complexes selon les réglementations sectorielles : Privacy Act de 1974, HIPAA pour les données de santé, lois étatiques comme le California Consumer Privacy Act.

Les exigences de transfert de données à l’international compliquent les opérations gouvernementales transfrontalières. Les obligations de localisation imposent que certaines catégories de données restent dans des zones géographiques précises. Les agences opérant à l’international doivent mettre en place des contrôles techniques pour garantir la conformité à la résidence des données, souvent via des infrastructures et des règles de routage spécifiques. Pour l’IA, cela inclut le contrôle du lieu d’entraînement et d’inférence pour préserver la souveraineté des données.

Fondamentaux de la sécurité des données pour le secteur public

Approche Zero Trust définie par le contenu

Un Zero Trust efficace pour le secteur public suppose de dépasser la sécurité centrée sur le réseau au profit d’approches définies par le contenu, protégeant les données selon leur classification, leur sensibilité et leur contexte métier. Les agences gèrent des données variées nécessitant des niveaux de protection différenciés : les informations contractuelles fédérales requièrent une protection de base, la CUI impose les 110 exigences du NIST SP 800-171, et les données classifiées relèvent des directives du renseignement.

La catégorisation des données est la pierre angulaire de cette approche. Les agences doivent identifier les données détenues, les classer selon leur sensibilité et les exigences réglementaires, documenter leur emplacement et leur circulation dans les systèmes. Cet inventaire permet de mettre en place des contrôles d’accès granulaires et de prouver la conformité réglementaire.

Le suivi en temps réel des accès offre la visibilité essentielle à la validation Zero Trust. Les agences ont besoin de journaux complets indiquant qui a accédé à quelles données, quand, depuis où, et quelles actions ont été réalisées. Cette visibilité permet la détection d’anomalies, l’investigation des incidents et fournit des preuves pour les audits de conformité.

Contrôles techniques de sécurité

La sécurité des données de niveau gouvernemental exige des contrôles techniques assurant la confidentialité et l’intégrité. Le double chiffrement—au niveau fichier et disque—protège les données via plusieurs domaines de gestion des clés. Le protocole TLS 1.3 protège les données en transit, tandis que le chiffrement AES-256 sécurise les données au repos. Les agences doivent utiliser des modules cryptographiques validés FIPS 140-2 pour garantir la conformité des implémentations de chiffrement aux standards fédéraux.

Le chiffrement de bout en bout protège les données tout au long de leur cycle de vie. Les clés de chiffrement détenues par le client donnent aux agences un contrôle total sur l’accès aux données, sans dépendre d’un tiers, ce qui répond aux préoccupations concernant l’accès des fournisseurs cloud et garantit que seules les personnes autorisées peuvent déchiffrer les données sensibles.

Architecture de passerelle de sécurité pour les données IA

Sécuriser l’accès des systèmes IA aux données gouvernementales exige une architecture dédiée répondant aux besoins spécifiques des workflows IA. Une passerelle de sécurité IA crée un canal protégé entre les systèmes IA et les référentiels de données, médiant toutes les interactions, appliquant les politiques de sécurité et maintenant des journaux d’audit complets.

L’intégration API-first assure une connexion fluide avec l’infrastructure IA existante. Les agences déployant des plateformes de machine learning, des environnements de data science ou des applications IA peuvent intégrer les fonctions de la passerelle sans modifier l’architecture de base. Le support RAG (Retrieval-Augmented Generation) permet d’enrichir les grands modèles de langage avec des données internes, tout en gardant un contrôle granulaire sur l’accès à l’information.

Des couches avancées de protection répondent aux défis spécifiques de la sécurité IA. Le watermarking des données intègre des informations d’identification dans les jeux de données, permettant de tracer leur usage et de détecter toute exfiltration non autorisée. Les analyses DLP automatisées empêchent l’accès inapproprié de l’IA à des informations sensibles, en appliquant des politiques qui bloquent la consommation de jeux de données contenant des données classifiées, des informations personnelles identifiables ou d’autres catégories sensibles, sauf autorisation explicite.

Cas d’usage gouvernementaux

Les agences ont besoin de communications de données sécurisées dans des scénarios variés : protection de la correspondance diplomatique, diffusion de données budgétaires et financières, collaboration sur l’élaboration de politiques, partage de renseignements sur les cybermenaces entre agences, échange de dossiers de subventions, transfert d’informations classifiées et communications inter-agences.

Pour les cas d’usage IA, les agences doivent pouvoir entraîner des modèles IA sur des données gouvernementales en toute sécurité, développer des fonctions IA tout en protégeant les données sensibles utilisées pour l’entraînement, et contrôler l’inférence IA pour les décisions critiques, en fournissant un accès en temps réel avec les contrôles de sécurité adaptés pour l’éligibilité aux prestations, le traitement des habilitations de sécurité ou l’allocation de ressources.

Gouvernance des données et gestion de la confidentialité

Cadre de gouvernance

La gouvernance des données s’articule autour de quatre composantes : la résidence des données (exigences géographiques), les contrôles de sécurité (confidentialité et intégrité), la protection de la vie privée (gestion des données personnelles) et la conformité (preuve de respect des cadres réglementaires).

Le Data Protection Officer pilote la gouvernance, coordonne les activités de protection de la vie privée, conseille sur les obligations, sert de point de contact avec les régulateurs et supervise la conformité. Les protocoles de catégorisation et de marquage des données permettent l’application automatisée des contrôles de sécurité selon la sensibilité, via des schémas de classification cohérents, le marquage des métadonnées à la création et le maintien de la classification tout au long du cycle de vie.

Fonctions de gouvernance renforcées par l’IA

L’IA introduit de nouveaux besoins de gouvernance tout en offrant des fonctions avancées. Les journaux d’audit pour l’usage des données IA documentent les sources utilisées pour l’entraînement et l’inférence, soutenant la conformité et la transparence algorithmique. Les logs d’activité au niveau système capturent les détails granulaires : prompts, données récupérées, décisions du modèle, scores de confiance, résultats finaux.

Le suivi de la provenance des données retrace la lignée de l’information tout au long du cycle IA, permettant aux agences de savoir quels documents, bases ou systèmes ont alimenté les jeux d’entraînement, comment les données ont été prétraitées et quelles versions de modèles ont produit quels résultats. Les cadres d’application des politiques imposent les règles de gouvernance à la consommation de données IA, via des politiques de risque définissant quels systèmes IA peuvent accéder à quelles catégories de données, quelles opérations sont autorisées et quels processus de revue s’appliquent.

L’intégration SIEM en temps réel permet d’analyser immédiatement les événements de sécurité et d’obtenir une visibilité critique sur le comportement des systèmes IA. Les analystes peuvent surveiller quels systèmes IA accèdent à des données sensibles, identifier des schémas d’accès inhabituels et détecter d’éventuelles tentatives d’exfiltration.

Principes de Privacy by Design

Le Privacy by Design intègre la protection des données dès la conception des systèmes, de l’idée au déploiement. Le cadre européen de protection des données identifie sept principes clés :

  1. Responsabilité
  2. Exactitude
  3. Intégrité et confidentialité
  4. Limitation des finalités
  5. Minimisation des données
  6. Limitation de la conservation
  7. Légalité, équité et transparence

L’application à la conception des systèmes IA est particulièrement cruciale, compte tenu de la nature très consommatrice de données de l’IA et de ses impacts potentiels sur la vie privée.

Supervision et reporting

Des tableaux de bord offrent aux équipes sécurité et conformité une visibilité centralisée sur la posture de protection des données, affichant des indicateurs clés : volumes de tentatives d’accès, violations de politiques, schémas d’activité utilisateur, statut de conformité. Pour la supervision IA, les tableaux de bord doivent indiquer quels systèmes consomment quels types de données, la fréquence et le volume d’accès, et les exceptions nécessitant une revue.

Le reporting automatisé génère les preuves pour les audits réglementaires. Plutôt que de compiler manuellement des éléments issus de multiples systèmes, le reporting extrait les données pertinentes, les formatte selon les exigences des auditeurs et conserve les traces démontrant la conformité continue. Les agences gérant plusieurs cadres réglementaires bénéficient de fonctions de reporting produisant des livrables adaptés—rapports FISMA, dossiers CMMC, évaluations de programmes de confidentialité—à partir de sources unifiées.

Continuité d’activité et résilience

La continuité comme priorité

62 % des répondants ISACA placent la continuité d’activité et la résilience parmi les priorités majeures pour 2026. Les services publics critiques—urgence, prestations sociales, sécurité, santé, éducation—doivent rester disponibles en permanence. Des interruptions prolongées mettent en danger la sécurité publique, nuisent aux citoyens et sapent la confiance dans la capacité de l’État.

Maintenir les opérations face à des attaques IA soulève de nouveaux défis. Les attaques pilotées par l’IA identifient les vulnérabilités, adaptent leurs tactiques et agissent à la vitesse machine, risquant de submerger les centres opérationnels de sécurité traditionnels. Les agences doivent se doter de défenses automatisées, d’architectures résilientes capables de fonctionner malgré des compromissions partielles, et de procédures pour opérer en mode dégradé lors d’attaques prolongées.

Réponse aux incidents et reprise d’activité

Les plans de réponse aux incidents définissent les rôles, procédures et protocoles de communication pour gérer les incidents de sécurité, de la détection à la reprise. Les agences doivent élaborer des plans couvrant divers scénarios—ransomware, fuite de données, menaces internes, compromission de la supply chain, manipulation de systèmes IA—avec des playbooks adaptés à chaque cas.

La réponse aux incidents IA traite des scénarios spécifiques : empoisonnement de modèles, attaques par injection de prompt, exemples adverses provoquant des défaillances IA. Les agences recourant à l’IA pour des décisions opérationnelles doivent prévoir des procédures de validation des résultats IA en cas de suspicion de manipulation, de reconstruction de modèles à partir de sources vérifiées et d’exploitation sans IA pendant la remédiation.

Résilience par la protection des données

La protection des données contribue à la résilience opérationnelle en limitant les points de défaillance et en permettant une reprise rapide. La redondance géographique du stockage assure la disponibilité malgré des incidents locaux. La supervision continue de la conformité garantit un suivi permanent, vérifiant l’application des contrôles, la configuration et le statut en temps réel.

Les passerelles sécurisées pour l’IA permettent de maintenir les fonctions IA même si les réseaux environnants sont compromis, assurant la continuité des opérations IA pendant la gestion des incidents. Les plateformes conçues pour s’adapter à l’évolution de la réglementation IA permettent de rester conformes grâce à des mises à jour de configuration, sans refonte majeure.

Gestion des talents et des effectifs

62 % des répondants ISACA indiquent que leur organisation prévoit de recruter pour des postes liés à la confiance numérique en 2026, mais 44 % anticipent des difficultés à trouver des candidats qualifiés. Les agences gouvernementales font face à une concurrence accrue du secteur privé, qui propose des rémunérations plus attractives. Le besoin croissant de spécialistes IA en sécurité—experts à la fois en IA et en cybersécurité—accentue la tension sur les talents.

39 % des répondants jugent la montée en compétences en sécurité des données très importante. La formation à la sécurité et à la sûreté IA permet aux professionnels de la cybersécurité d’élargir leur expertise aux menaces et contrôles spécifiques à l’IA, couvrant les vecteurs d’attaque IA, les contrôles de sécurité des systèmes IA, les réglementations et cadres IA, et les procédures opérationnelles pour sécuriser les workloads IA.

La compréhension des cadres de risque IA, dont le NIST AI RMF, permet aux professionnels d’évaluer les risques IA, de mettre en œuvre les contrôles adaptés et de communiquer les risques IA à la direction. Les programmes de formation continue et de certification attestent de la compétence professionnelle et offrent des parcours structurés via des certifications comme CISSP, CISM ou de nouveaux titres axés IA.

Recommandations pour les agences gouvernementales

Sur la base des résultats du sondage ISACA Tech Trends 2026, les agences doivent prioriser cinq axes d’action :

  1. Mettre en place des cadres de gouvernance et de gestion des risques IA robustes

    Les agences doivent dépasser les approches ponctuelles en adoptant des programmes de gouvernance structurés alignés sur le NIST AI RMF et les exigences fédérales. Déployez des contrôles d’accès IA Zero Trust vérifiant chaque demande, limitez l’accès aux données strictement nécessaires et conservez des journaux d’audit complets. Créez des politiques de protection des données spécifiques à l’IA, définissant quelles classifications sont accessibles, quelles opérations sont autorisées et quels dispositifs de supervision s’appliquent.

  2. Accélérer la montée en compétences et le développement du vivier de talents

    Investissez dans la formation des équipes actuelles à la sécurité IA—vecteurs d’attaque, contrôles de sécurité des systèmes IA, réglementations spécifiques. L’apprentissage continu permet aux équipes de rester à jour face à l’évolution des technologies et menaces IA. Développer l’expertise en gouvernance IA suppose une approche transversale impliquant sécurité, protection des données, juristes et chefs de programme.

  3. Moderniser les systèmes et infrastructures existants

    La modernisation des systèmes réduit les vulnérabilités et facilite l’intégration d’outils de sécurité modernes. Déployez une architecture de passerelle sécurisée IA pour protéger les échanges entre systèmes IA et référentiels de données. Mettez en œuvre le double chiffrement, les clés détenues par le client, la cryptographie validée FIPS 140-2, l’authentification multifactorielle et la prévention automatisée des pertes de données.

  4. Renforcer la résilience cyber et la continuité d’activité

    Préparez-vous à des attaques IA prolongées via des procédures de réponse aux incidents spécifiques : empoisonnement de modèles, injections de prompt, exemples adverses. Testez les plans via des exercices pour identifier les vulnérabilités avant qu’elles ne soient exploitées. Prévoyez la redondance des fonctions critiques dépendantes de l’IA pour garantir la continuité même en cas de désactivation des systèmes IA lors d’incidents.

  5. Anticiper la complexité réglementaire et la conformité internationale

    Gérez l’expansion des exigences réglementaires via l’automatisation multi-cadre de la conformité, réduisant la charge grâce à des outils cartographiant les contrôles de sécurité et générant des rapports adaptés à chaque référentiel. Surveillez l’évolution de la réglementation IA pour anticiper la conformité. Mettez en place des fonctions de protection des données à l’international, couvrant la souveraineté et la conformité transfrontalière.

Actions prioritaires immédiates

  • Réalisez une évaluation des risques IA pour identifier les systèmes IA exploités, les données auxquelles ils accèdent et les risques associés aux traitements IA.
  • Mettez en œuvre des contrôles d’accès IA Zero Trust en urgence—authentification, limitation de l’accès aux données strictement nécessaires, journalisation de la consommation IA.
  • Déployez des journaux d’audit complets pour l’usage IA, afin de permettre la supervision et l’investigation.
  • Mettez en place le suivi de la provenance des données, documentant les sources des données d’entraînement IA.
  • Collaborez avec des plateformes de sécurité IA conçues pour le secteur public, disposant de l’autorisation FedRAMP, maîtrisant les exigences FCI et CUI, et ayant une expérience des besoins de sécurité gouvernementaux.

Conclusion

La convergence des enjeux de sécurité, de conformité et de confidentialité des données identifiés dans le rapport ISACA Tech Trends 2026 exige une approche intégrée des professionnels de la gestion des risques du secteur public. Avec 59 % préoccupés par les menaces IA mais seulement 13 % se sentant prêts, l’urgence d’agir est évidente. Les agences ne peuvent plus traiter la sécurité, la conformité et la confidentialité comme des initiatives séparées—elles constituent des piliers interdépendants qui nécessitent une stratégie coordonnée, une architecture unifiée et une gouvernance solide.

L’IA ajoute de nouvelles dimensions aux cadres de sécurité traditionnels. Si les agences disposent de décennies d’expérience dans la protection des données contre les menaces humaines, l’IA introduit une consommation de données à la vitesse machine, des capacités d’attaque automatisées et des traitements à des échelles dépassant la supervision humaine. Les contrôles conçus pour les utilisateurs humains ne suffisent plus pour des systèmes IA nécessitant un accès continu aux données.

La sécurité centrée sur les données constitue la base pour relever ces trois défis. En mettant en œuvre des contrôles qui suivent la donnée, quel que soit le réseau ou le système de traitement, les agences protègent l’information tout au long de son cycle de vie. Les passerelles sécurisées pour l’IA permettent de tirer parti des fonctions IA tout en gardant le contrôle, la visibilité et la conformité sur les données sensibles, de l’entraînement à l’inférence et à la génération de résultats.

Respecter les échéances de conformité CMMC et Zero Trust pour 2026-2027 impose d’agir dès maintenant, compte tenu des délais de mise en œuvre de 12 à 18 mois. Les agences doivent concilier innovation et protection des données sensibles via des architectures de sécurité dédiées. Construire des programmes de sécurité durables pour accompagner l’adoption de l’IA nécessite d’investir dans les personnes, les processus et la technologie—développement des compétences, cadres de gouvernance IA et infrastructures de passerelle sécurisée IA.

La voie à suivre passe par l’évaluation de la posture actuelle de sécurité des données IA, la planification stratégique pour les échéances de conformité, l’évaluation de solutions adaptées aux exigences spécifiques du secteur public et une gestion proactive des risques IA. Les agences qui prennent des mesures décisives dès maintenant pourront exploiter l’IA en toute sécurité tout en respectant les exigences réglementaires.

Foire aux questions

Les agences et sous-traitants fédéraux doivent entamer la préparation CMMC sans attendre, car obtenir la certification de niveau 2 nécessite généralement 12 à 18 mois. Pour se préparer à la conformité CMMC 2.0, les agences doivent appliquer les 110 pratiques du NIST SP 800-171 pour la protection des informations non classifiées contrôlées (CUI), réaliser des analyses d’écart pour identifier les faiblesses actuelles, déployer des contrôles techniques incluant le chiffrement et la gestion des accès, et faire appel à des évaluateurs tiers pour les contrats prioritaires. La règle finale entre en vigueur le 10 novembre 2025, avec conformité obligatoire pour les nouveaux contrats DoD au 31 octobre 2026.

Lorsqu’elles déploient des systèmes IA accédant à des données sensibles, les agences doivent mettre en place des contrôles d’accès IA Zero Trust vérifiant chaque requête, appliquer des contrôles d’accès basés sur les attributs (ABAC) pour des autorisations dynamiques, et déployer des passerelles sécurisées créant des canaux protégés entre IA et référentiels de données. D’autres mesures incluent des journaux d’audit retraçant toutes les interactions IA, le suivi de la provenance des données pour identifier les sources d’entraînement, la supervision en temps réel de la consommation IA et la prévention automatisée des pertes de données (DLP) pour bloquer tout accès non autorisé à des informations classifiées ou à des informations personnelles identifiables.

Les responsables des risques peuvent combler cet écart en mettant en œuvre des programmes structurés de gouvernance IA alignés sur le NIST AI Risk Management Framework, en investissant dans la montée en compétences via des formations à la sécurité IA couvrant les vecteurs d’attaque et les contrôles, en déployant des procédures de réponse aux incidents spécifiques à l’IA (empoisonnement de modèles, injection de prompt), et en mettant en place des capacités de supervision avancées du comportement des systèmes IA. L’enquête ISACA révèle que seuls 13 % se sentent très bien préparés aux risques IA générative alors que 59 % considèrent les menaces IA comme leur principale préoccupation, d’où la nécessité d’agir sans délai.

Pour concilier Zero Trust et exploitation de l’IA, les agences doivent adopter des approches de sécurité définies par le contenu, protégeant les données selon leur classification et leur sensibilité, mettre en place des passerelles sécurisées IA avec intégration API-first pour connecter les plateformes IA, appliquer le double chiffrement avec des modules cryptographiques validés FIPS 140-2, et assurer le suivi en temps réel des accès via des logs complets. Cette architecture permet la vérification continue des requêtes IA, des autorisations granulaires selon la sensibilité des données, et des journaux d’audit complets pour la supervision et la démonstration de conformité exigées par l’Executive Order 14028 et la stratégie Zero Trust du DoD.

Pour gérer des opérations IA internationales, les agences doivent mettre en œuvre des contrôles techniques garantissant la conformité à la résidence des données selon les réglementations géographiques, déployer des fonctions de localisation pour conserver certaines informations dans les juridictions requises, établir des règles de routage contrôlant le lieu d’entraînement et d’inférence IA, et documenter précisément les flux de données transfrontaliers. Avec 30 % des professionnels plaçant la confidentialité et la souveraineté des données parmi les priorités 2026, les agences ont besoin d’infrastructures redondantes, d’une application automatisée des politiques de souveraineté et de systèmes de supervision du suivi de la consommation IA sur plusieurs juridictions pour respecter le RGPD, les lois étatiques et les réglementations sectorielles.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks