Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > L’IA et l’Edge Computing : une nouvelle ère pour la gouvernance de la cybersécurité au sein des conseils d’administration

L’IA et l’Edge Computing : une nouvelle ère pour la gouvernance de la cybersécurité au sein des conseils d’administration

par Patrick Spencer updated novembre 13, 2025 Gestion des risques liés à la cybersécurité
temps de lecture: 9 minutes

Les conseils d’administration font face à une transformation majeure dans leur supervision de la cybersécurité. La question n’est plus de savoir s’il faut investir dans la protection, mais comment mesurer son impact sur l’activité et garantir qu’elle favorise la croissance au lieu de la freiner.

Cette évolution résulte de la convergence de trois dynamiques : l’essor de systèmes d’IA autonomes agissant sans intervention humaine constante, la sophistication croissante des attaques exploitant l’infrastructure réseau, et la pression accrue pour prouver le retour sur investissement de la sécurité en termes business. Les administrateurs doivent désormais gérer des risques plus rapides et complexes, tout en justifiant les investissements par des résultats mesurables.

Résumé des points clés

  1. La gouvernance de l’IA exige une supervision formelle du conseil. Les organisations bénéficiant d’un soutien au niveau C pour leurs initiatives IA affichent un ROI dans 78 % des cas, contre des taux de succès bien moindres lorsque la responsabilité reste diffuse. Les conseils doivent instaurer des mécanismes de supervision garantissant la confidentialité des données, des contrôles de sécurité et une évolutivité avant que les systèmes d’IA ne passent du pilote à la production.
  2. Les indicateurs de sécurité doivent être liés à la performance business. Les mesures de conformité traditionnelles, comme les taux de correctifs ou le nombre de vulnérabilités, ne démontrent pas comment les investissements en sécurité protègent le chiffre d’affaires ou soutiennent la croissance. Les administrateurs ont besoin d’indicateurs montrant la réduction des risques dans le même langage que les reportings financiers et opérationnels, pour orienter les décisions d’allocation stratégique du capital.
  3. Les défenses périmétriques réseau sont sous attaque continue. En 2024, environ un tiers des violations ont débuté par l’exploitation de vulnérabilités dans des infrastructures exposées, ciblant souvent routeurs, VPN, firewalls et autres équipements en périphérie. Les conseils doivent privilégier un correctif piloté par l’intelligence, une détection renforcée au-delà du périmètre, et la segmentation des actifs à forte valeur.
  4. Les systèmes d’IA agentique posent de nouveaux défis de gouvernance. Contrairement à l’IA prédictive qui analyse les données, l’IA agentique agit de façon autonome et prend des décisions dans des paramètres définis. L’étude 2025 de Google Cloud sur l’IA agentique fait état de 88 % de ROI positif, 85 % de meilleure identification des menaces et 65 % de résolution plus rapide pour les cas d’usage sécurité, mais la réussite passe par des cadres formels évitant les déploiements non autorisés et protégeant les données sensibles.
  5. La responsabilité du risque doit dépasser les équipes sécurité. Les responsables métiers doivent assumer les risques de sécurité liés à leurs activités, de la gestion des données clients en vente à la protection des systèmes financiers. Cette répartition garantit que la sécurité reçoit l’attention nécessaire là où se prennent les décisions business, faisant passer la cybersécurité d’une fonction IT à une responsabilité d’entreprise.

Le défi de l’IA agentique que les conseils ne peuvent ignorer

Les systèmes d’IA traditionnels prédisent des résultats. Les systèmes d’IA agentique—ceux qui planifient et agissent via des outils sous supervision humaine—exécutent des tâches, prennent des décisions dans des paramètres définis et fonctionnent sous contrôle, sans validation à chaque étape.

Cette distinction est essentielle pour la gouvernance. Quand l’IA passe de l’analyse à l’action, elle crée de nouveaux points d’exposition. Un agent IA gérant les paiements fournisseurs pourrait approuver par erreur des transactions frauduleuses. Un système automatisé répondant aux clients risque de divulguer des données sensibles s’il n’est pas correctement encadré.

Les premiers utilisateurs constatent des retours significatifs. L’étude 2025 de Google Cloud sur l’IA agentique relève 88 % de ROI positif, 85 % d’amélioration de l’identification des menaces et 65 % de réduction du temps de résolution pour la sécurité.

La tendance est claire : la réussite exige de la structure. Les entreprises bénéficiant d’un soutien au niveau C pour l’IA atteignent un ROI dans 78 % des cas, contre des résultats inférieurs quand la responsabilité reste éclatée entre les services.

Les conseils doivent instaurer des mécanismes de supervision formels répondant à trois exigences majeures :

La confidentialité des données doit rester centrale dans tous les déploiements IA. Les systèmes doivent intégrer des contrôles empêchant le traitement ou le partage inapproprié d’informations sensibles. Cela inclut la prévention de toute exposition accidentelle à des modèles IA publics où les données pourraient servir à l’entraînement ou être accessibles à d’autres.

La sécurité ne doit pas être secondaire. Les systèmes IA exigent la même rigueur que les autres infrastructures critiques. Cela implique une classification des données avant leur traitement par l’IA, des contrôles d’accès limitant qui peut déployer des fonctions IA, et des journaux d’audit détaillant précisément quelles données ont été consultées et par qui.

Les premiers succès doivent être déployés à l’échelle. Les pilotes prouvent la faisabilité, mais les conseils doivent veiller à ce que les approches efficaces se généralisent sans créer de failles de sécurité ou de violations de conformité.

Les administrateurs doivent interroger la direction sur la façon dont les cadres de gouvernance IA transforment les succès pilotes en valeur à l’échelle de l’entreprise. La discussion doit porter sur les contrôles empêchant les déploiements IA non autorisés, la surveillance du comportement des systèmes IA, et l’adéquation des mesures de protection des données à l’évolution de l’IA.

Repenser la cybersécurité comme stratégie business

Les indicateurs de conformité dominent encore de nombreux conseils : pourcentage de systèmes corrigés, nombre de vulnérabilités traitées, audits clôturés. Ces mesures reflètent l’activité mais rarement l’impact business.

Les conseils exigent désormais un autre discours. Les responsables sécurité doivent présenter la performance dans le même langage que les autres risques d’entreprise : chiffre d’affaires protégé, continuité opérationnelle, confiance client préservée.

Ce changement impose de traduire les contrôles techniques en impact business. Une baisse des tentatives d’accès non autorisé importe moins que de démontrer comment ces tentatives auraient pu perturber l’activité ou compromettre les données clients. L’investissement dans la détection de fraude convainc davantage s’il est présenté comme une protection du chiffre d’affaires plutôt qu’une exigence de conformité.

Trois axes retiennent l’attention des conseils :

La responsabilité du risque doit dépasser l’équipe sécurité. Les responsables métiers doivent assumer les risques liés à leurs activités. Le responsable des ventes gère les risques associés aux données clients. Le CFO gère les risques des systèmes financiers. Cette répartition garantit que la sécurité reçoit l’attention nécessaire là où se prennent les décisions.

La santé des programmes nécessite des indicateurs opérationnels. Les conseils doivent suivre des mesures reliant les contrôles de sécurité à des résultats comme la disponibilité des systèmes, la réduction de la fraude, ou des contrats dépendant de certifications sécurité. Ces indicateurs montrent si les investissements soutiennent les objectifs business ou se limitent à la conformité.

La résilience prime sur la seule prévention. Aucune organisation n’arrête toutes les attaques. Les conseils doivent s’assurer que l’entreprise peut se remettre rapidement après un incident. Cela implique de connaître les objectifs de reprise, de tester les procédures de reprise après sinistre, et d’identifier les systèmes essentiels à la continuité business.

Quand la performance sécurité figure dans les documents du conseil aux côtés des indicateurs financiers et opérationnels, les administrateurs peuvent décider de l’allocation stratégique du capital. Cette comparaison révèle si les investissements sécurité réduisent le risque d’entreprise au même niveau que d’autres stratégies de mitigation.

Innover sans compromis

Les conseils arbitrent en permanence entre innovation et gestion du risque. Les nouvelles technologies promettent un avantage concurrentiel mais exposent à des risques inédits. L’IA et l’automatisation amplifient cette dynamique en accélérant opportunités et menaces.

La question n’est pas d’adopter ou non de nouvelles fonctions, mais de savoir comment les déployer de façon responsable. Les conseils doivent s’assurer que la direction comprend comment les choix technologiques soutiennent les objectifs business, et non l’innovation pour l’innovation.

Cela suppose de la visibilité sur plusieurs dimensions :

La sécurisation des nouveaux outils compte autant que leur fonction. Un système IA générant des insights clients crée de la valeur, mais cette valeur disparaît si le système divulgue des données ou prend des décisions biaisées nuisant à la marque. Les conseils doivent interroger la direction sur l’intégration de la sécurité et de la confidentialité dès la conception des nouveaux déploiements technologiques.

La maturité des contrôles doit être mesurée et suivie. Les organisations doivent évaluer l’efficacité des contrôles de sécurité avant d’étendre les systèmes qui en dépendent. Un proof of concept sur des données de test diffère radicalement d’un système en production traitant des données clients. Les conseils doivent s’assurer que les fonctions de sécurité évoluent avec les déploiements business.

Les garde-fous doivent permettre l’innovation, pas la bloquer. L’objectif n’est pas d’empêcher l’innovation, mais de s’assurer qu’elle reste dans des limites de risque acceptables. Cela implique de définir des critères clairs pour les standards de sécurité des nouveaux systèmes, des workflows d’approbation équilibrant rapidité et supervision, et des mécanismes de correction rapide en cas de problème.

La confiance entre le conseil et la direction sécurité rend cela possible. Quand les administrateurs comprennent comment le RSSI évalue le risque et que le RSSI connaît les priorités du conseil, les décisions se prennent plus vite et en meilleure adéquation avec la stratégie business.

Le périmètre réseau s’effrite

Les équipements périmétriques—routeurs, VPN, firewalls, passerelles e-mail—restent des vecteurs d’attaque majeurs. En 2024, environ un tiers des violations ont débuté par l’exploitation de vulnérabilités dans ces infrastructures exposées.

La plupart des appliances réseau ne peuvent pas exécuter d’agents EDR classiques, limitant la visibilité au niveau hôte et en faisant des cibles privilégiées pour les groupes criminels et étatiques. Cette faille permet aux attaquants de s’installer sans déclencher les capacités de détection déployées sur postes et serveurs.

L’exploitation de failles zero-day sur les équipements en périphérie a augmenté en 2024, les chercheurs en sécurité pointant les défauts des dispositifs de sécurité comme porte d’entrée privilégiée. La campagne d’espionnage BRICKSTORM a illustré comment les attaquants exploitent ces faiblesses pour s’implanter durablement dans le réseau.

Les conseils doivent considérer la défense proactive comme une économie de coûts et non une dépense IT discrétionnaire. Trois priorités s’imposent :

La gestion des vulnérabilités doit être pilotée par l’intelligence. Toutes les vulnérabilités critiques ne présentent pas le même risque. Les organisations doivent concentrer les correctifs sur les systèmes réellement attaqués, et non traiter toutes les failles sévères de la même façon. L’intelligence sur les vulnérabilités exploitées par les attaquants guide une allocation plus efficace des ressources.

La détection doit dépasser le périmètre. Une fois les équipements de bordure compromis, les attaquants se déplacent latéralement vers les cibles de valeur. Un journal et une surveillance renforcés permettent de repérer les intrusions après la compromission initiale. Cela inclut l’analyse des schémas d’authentification, la détection de trafics inhabituels et la corrélation d’événements pour identifier les chaînes d’attaque.

Les actifs à forte valeur exigent une protection supplémentaire. Les environnements virtualisés, contrôleurs de domaine et systèmes traitant des données sensibles doivent être segmentés et isolés pour limiter l’impact d’une violation. Si la compromission du périmètre est considérée comme acquise, ces contrôles empêchent les attaquants de circuler librement une fois à l’intérieur.

Le périmètre continuera de s’effriter à mesure que les organisations adoptent le cloud, favorisent le télétravail et s’intègrent à des partenaires. Les conseils doivent s’assurer que la stratégie sécurité tient compte de cette réalité, sans supposer que les frontières réseau offrent une protection suffisante.

Mesurer ce qui compte

Les conseils ont besoin d’indicateurs sécurité reliés à la performance business. Les mesures traditionnelles—vulnérabilités détectées, incidents repérés, systèmes corrigés—montrent l’activité mais pas la valeur.

Des indicateurs efficaces répondent à trois questions :

L’organisation est-elle mieux protégée qu’avant ? Cela suppose de suivre les tendances dans le temps plutôt que des mesures ponctuelles. Une baisse des attaques par phishing réussies, une réduction du temps de présence lors des brèches, ou une détection plus précoce des menaces sont autant de signes de progrès.

La sécurité soutient-elle les objectifs business ? Les indicateurs doivent montrer comment la protection favorise la croissance. Cela peut inclure la démonstration de fonctions sécurité qui concluent des ventes, la mesure de la disponibilité des systèmes clients, ou la quantification de la prévention de la fraude dans les opérations financières.

L’organisation peut-elle prouver sa posture sécurité aux parties prenantes ? Clients, régulateurs et partenaires exigent de plus en plus des preuves de protection adéquate. Les indicateurs de conformité à des référentiels, certifications obtenues ou audits traités répondent à ces attentes.

L’essentiel est de choisir des mesures pertinentes pour les administrateurs décidant de l’allocation des ressources. Les indicateurs financiers font mouche : coût par incident, chiffre d’affaires à risque en cas d’indisponibilité, ou valeur de contrats dépendant de certifications sécurité. Les indicateurs opérationnels apportent du contexte : temps de détection des menaces, rapidité de reprise après incident, ou pourcentage d’actifs critiques protégés.

Les conseils doivent rejeter les indicateurs qui masquent la réalité. Affirmer que 99 % des systèmes sont corrigés paraît positif, mais peut dissimuler que le 1 % restant concerne l’infrastructure la plus critique. Afficher zéro brèche semble rassurant, jusqu’à ce qu’un incident révèle une détection insuffisante plutôt qu’une prévention efficace.

Actions concrètes pour les conseils

Les administrateurs peuvent renforcer la gouvernance cybersécurité par des actions ciblées :

Formaliser la supervision de l’IA. Définir une responsabilité claire pour les initiatives IA au niveau C. Préciser les critères d’approbation des déploiements IA, incluant exigences sécurité et confidentialité. Examiner comment l’organisation empêche les données sensibles d’atteindre des systèmes IA non autorisés.

Exiger des reportings orientés business. Demander aux responsables sécurité de présenter la performance en termes financiers et opérationnels. Réclamer des indicateurs montrant comment la protection réduit le risque business, et non de simples mesures de conformité technique. Comparer les investissements sécurité aux autres stratégies de mitigation selon des référentiels cohérents.

Évaluer la répartition des risques. Vérifier que les responsables métiers assument les risques sécurité dans leur périmètre. Examiner si les opérationnels comprennent leur responsabilité pour la protection des données clients, la disponibilité des systèmes et la prévention de la fraude.

Prioriser la planification de la résilience. Comprendre les capacités de reprise des fonctions critiques. Examiner les résultats des tests de reprise après sinistre. Vérifier l’existence de systèmes de secours pour les opérations essentielles au chiffre d’affaires ou à la conformité réglementaire.

Soutenir une défense pilotée par l’intelligence. S’assurer que la gestion des vulnérabilités intègre des renseignements sur les faiblesses activement exploitées. Vérifier que les capacités de détection dépassent le périmètre réseau pour identifier les mouvements latéraux après compromission initiale.

Renforcer la relation avec le RSSI. Instaurer des échanges réguliers et directs entre le conseil et la direction sécurité, en dehors des cycles de reporting formels. Cela favorise la confiance et accélère la prise de décision en cas de risque urgent.

La gouvernance cybersécurité des données évolue

La gouvernance cybersécurité évolue d’une fonction de conformité vers une discipline stratégique business. Les conseils qui saisissent ce changement transforment la sécurité en avantage concurrentiel, au lieu de la considérer comme une charge.

Les organisations qui tirent un ROI de l’IA, démontrent la valeur de la sécurité en termes business et se relèvent rapidement des incidents partagent des points communs. Elles affichent une responsabilité claire du leadership, mesurent les résultats plutôt que l’activité, et intègrent la sécurité à la stratégie business dès le départ.

Les administrateurs n’ont pas besoin d’être experts techniques pour assurer une supervision efficace. Ils doivent poser les bonnes questions, exiger des indicateurs business pertinents, et s’assurer que la direction traite la cybersécurité avec le même sérieux que les autres risques d’entreprise.

Le paysage des menaces continuera d’évoluer. Les fonctions IA vont s’étendre, les techniques d’attaque progresser, et de nouvelles technologies créeront des risques inédits. Les conseils qui mettent en place des cadres de gouvernance solides dès maintenant positionnent leur organisation pour naviguer dans cette complexité tout en favorisant l’innovation et la croissance.

Comment Kiteworks répond aux priorités cybersécurité des conseils

Les défis de gouvernance évoqués ci-dessus appellent des solutions concrètes. Kiteworks propose des fonctions qui soutiennent directement les priorités des conseils en matière de gouvernance des données IA, gestion des risques sécurité, contrôle de l’innovation et défense du périmètre.

Gouvernance de l’IA et protection des données

L’AI Data Gateway empêche les informations sensibles d’atteindre accidentellement des modèles IA publics grâce à un accès contrôlé et une surveillance. La classification automatique des données identifie et protège les contenus sensibles avant leur transfert vers les systèmes IA. Des journaux d’audit complets offrent une visibilité sur les accès aux données, soutenant la supervision de niveau C associée à 78 % de ROI.

Gestion du risque cyber comme stratégie business

Une journalisation avancée permet aux RSSI de présenter la performance sécurité en termes business, en montrant l’exposition réduite, les violations évitées et le chiffre d’affaires protégé. Les contrôles intégrés pour le RGPD, HIPAA, CMMC et autres réglementations démontrent une réduction tangible du risque. L’architecture Zero trust avec contrôles d’accès granulaires et chiffrement garantit la continuité des opérations en toute sécurité.

Innover avec des garde-fous

Les fonctions de collaboration sécurisée permettent aux équipes de partager des données sensibles pour des projets IA et d’automatisation tout en maintenant les contrôles de sécurité. L’application des règles garantit que les nouveaux déploiements technologiques ne compromettent pas les standards de sécurité des données. Les intégrations sécurité assurent la visibilité sur l’ensemble de la pile technologique.

Au-delà de la défense périmétrique traditionnelle

Le chiffrement validé FIPS 140-3 Niveau 1 protège contre les vulnérabilités des équipements de bordure responsables d’un tiers des violations récentes. La sécurité centrée sur le contenu protège les données même en cas de compromission du périmètre réseau. La surveillance avancée et la journalisation soutiennent les priorités de détection renforcée que les conseils doivent privilégier.

Ces fonctions se traduisent directement par les résultats attendus par les conseils : ROI démontrable des investissements sécurité, réduction du risque d’entreprise, et protection qui favorise la croissance au lieu de la freiner.

Foire aux questions

Les systèmes d’IA agentique exécutent des tâches et prennent des décisions de façon autonome dans des paramètres définis, contrairement à l’IA prédictive qui se limite à l’analyse de données. Ces systèmes peuvent générer des risques financiers, des fuites de données ou des violations de conformité sans cadre de gouvernance adapté. Les organisations bénéficiant d’un soutien au niveau C pour leurs initiatives IA affichent un ROI dans 78 % des cas, rendant la supervision formelle du conseil indispensable à une mise en œuvre réussie.

Les conseils doivent demander des indicateurs démontrant le chiffre d’affaires protégé, la continuité opérationnelle et la confiance client, plutôt que de simples mesures techniques comme les taux de correctifs. Les indicateurs efficaces incluent le coût par incident, le chiffre d’affaires à risque en cas d’indisponibilité, le temps de détection et de résolution des menaces, et la valeur des contrats dépendant de certifications sécurité. Cette approche permet aux administrateurs de comparer les investissements sécurité aux autres stratégies de mitigation selon un langage business cohérent.

La plupart des appliances réseau (routeurs, VPN, firewalls) ne peuvent pas exécuter d’agents EDR classiques, ce qui limite la visibilité au niveau hôte et en fait des cibles attractives. En 2024, environ un tiers des violations ont débuté par l’exploitation de vulnérabilités dans ces systèmes exposés. Les attaquants ciblent de plus en plus les failles zero-day des équipements de bordure pour s’implanter durablement avant que les éditeurs ne publient de correctifs.

Les responsables des ventes doivent gérer les risques liés à la gestion des données clients, les CFO les risques sur les systèmes financiers, et les responsables opérationnels ceux de leur périmètre. Cette répartition garantit que la sécurité est intégrée aux décisions business là où elles sont prises, au lieu de rester isolée comme une préoccupation IT. Étendre la responsabilité du risque au-delà des équipes sécurité fait de la cybersécurité une responsabilité stratégique à l’échelle de l’entreprise.

Les conseils doivent s’assurer que la direction définit les standards de sécurité que les nouvelles technologies doivent respecter avant déploiement, met en place des workflows d’approbation équilibrant rapidité et supervision, et mesure la maturité des contrôles avant de déployer à l’échelle. L’objectif est de permettre l’innovation dans des limites de risque acceptables grâce à des garde-fous clairs, et non de bloquer les nouvelles fonctions. La confiance entre conseils et RSSI accélère et améliore les décisions sur les innovations justifiant les risques associés.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks