En exposant trois cas auxquels elle a fait face, la DGSI espère sensibiliser les organisations et les alerter davantage sur les risques inhérents à l’utilisation d’outils d’intelligence artificielle. Une façon de rappeler que le danger peut prendre plusieurs formes et que se protéger est essentiel.
Chaque mois, la direction générale de la Sécurité intérieure (DGSI) publie, selon les actualités, ses numéros de “Flash ingérence” présentant des actions d’ingérence économique dont des sociétés françaises sont régulièrement victimes. Ayant vocation à illustrer la diversité des situations auxquelles les entreprises sont susceptibles d’être confrontées, ces numéros sont mis à votre disposition de tous. Nous nous sommes penchés sur le dernier numéro en date qui nous intéresse tout particulièrement : “Les risques associés à l’usage de l’intelligence artificielle dans le monde professionnel”.
Dans ce numéro, le service de renseignement intérieur français se penche sur le cas de trois entreprises françaises ayant été confrontées à des dérives ou des comportements à risque associés ou permis par l’usage de l’IA.
Un outil d’IA générative utilisé pour traduire des documents confidentiels
Le premier cas recensé par la DGSI porte sur des salariés d’une entreprise française stratégique ayant utilisé un outil d’IA générative pour traduire des documents confidentiels. Le directeur des services informatiques d’une entreprise multinationale a appris que certains salariés avaient utilisé un outil d’IA générative grand public développé par une société étrangère pour la traduction de documents confidentiels. Après avoir interrogé les équipes, il est apparu que les salariés utilisaient régulièrement cet outil dans le cadre de leurs activités, sans l’aval de leur hiérarchie.
Des consignes ont été rapidement passées afin que les salariés privilégient l’usage d’une solution payante d’IA générative acquise par la société. L’équipe dirigeante a également mis en place un groupe de travail afin de définir une doctrine d’utilisation de l’IA en interne.
S’il est avéré que le versement d’informations internes aux entreprises dans un outil d’IA générative constitue un risque important de réutilisation de ces informations pour les entreprises concernées, la DGSI tient à rappeler que « les versions grand public des principaux outils d’IA générative, gratuites et standards, utilisent souvent les données entrées par l’utilisateur pour entraîner leurs modèles ». De même, “la politique de confidentialité de certains outils d’IA générative impose le stockage des données d’utilisateurs dans des serveurs situés à l’étranger, parfois sans obtenir le consentement clair et explicite des utilisateurs”.
De fait, les salariés qui ont recours à ce type d’usage envoient, parfois sans le savoir, des données d’entreprise à l’étranger, les soumettant ainsi à des lois étrangères à portée extraterritoriale. Par ailleurs, la connexion de certaines applications d’IA générative à des outils externes (interface logicielle de type API, plugins) augmente les vulnérabilités, affirme la DGSI, ces outils étant souvent moins sécurisés.
Une société délègue l’évaluation de ses partenaires commerciaux à un outil d’IA
Dans un contexte de croissance de ses activités sur des marchés étrangers, une société française a mis en place une procédure d’évaluation de ses partenaires commerciaux, ou due diligence, dans le but de réduire les risques juridiques, financiers et réputationnels liés à ces relations. Pour ce faire, la tâche a été déléguée à un outil fondé sur de l’IA, créé par une entreprise étrangère, qui lui fournit un rapport d’évaluation sur son potentiel partenaire.
Par manque de temps et par méconnaissance des biais potentiels de l’outil, la société ne procède à aucune vérification complémentaire et oriente systématiquement ses décisions en fonction du retour fait par l’outil, constate la DGSI. Pour l’agence gouvernementale, il est important de rappeler que les utilisateurs sont confrontés à plusieurs biais dans ce cas présent, pouvant conduire à un manque de vigilance de leur part, une perte de contrôle et à de mauvaises décisions. Rappelons que les systèmes d’IA étant ce qu’ils sont – formulent leurs résultats sur la base de la réponse la plus probable à apporter statistiquement parlant et pas nécessairement la plus pertinente, ni exacte, dans le contexte de la question posée – la question des biais présents induits par l’humain, ainsi que des hallucinations reste prégnante.
Une entreprise française a été victime d’une tentative d’escroquerie par deepfake associant le visage et la voix de son dirigeant grâce à l’IA
Le responsable d’un site industriel d’un groupe français a reçu un appel en visioconférence de la part d’une personne se présentant comme étant le dirigeant du groupe. Au premier abord, cet appel n’a pas suscité la curiosité du responsable, l’apparence physique et la voix de l’individu à l’écran correspondant bien à celles du dirigeant. Néanmoins, l’individu usurpant l’apparence du dirigeant a rapidement demandé au responsable du site de procéder à un transfert de fonds dans le cadre d’un soi-disant projet d’acquisition du groupe.
Surpris par le caractère inhabituel de cette démarche, le responsable du site a mis un terme aux échanges et a alerté la direction de sa société par les canaux habituels. Il lui a été confirmé qu’il avait été victime d’une tentative d’escroquerie par hypertrucage (deepfake) associant le visage et la voix du dirigeant grâce à l’usage d’une IA.
Dans son commentaire, la DGSI rappelle que l’IA peut être vecteur d’actes d’ingérence élaborés, aux méthodes inédites, commis par des acteurs malveillants, en premier lieu desquels la génération automatique de contenus malveillants et le spear phishing (analyse rapide des données publiques et privées d’une cible – réseaux sociaux, courriers électroniques, publications – pour personnaliser les attaques et augmenter les chances de réussite).
La création de deepfakes est un autre problème de taille : puissant, ce type de manipulation prolifère depuis plusieurs années. Le volume de deepfakes présents en ligne aurait été multiplié par plus de dix entre 2023 et 2025, pour atteindre plusieurs millions de contenus. Les usages frauduleux progressent très vite, au point que 49% des entreprises déclarent avoir déjà subi des tentatives d’escroquerie impliquant des deepfakes audio ou vidéo, estimait Regula dans une étude mondiale menée à ce sujet.
Des gains de productivité oui, mais à quel prix ?
Plus généralement, la DGSI rappelle que l’émergence et la démocratisation de l’IA au quotidien, notamment dans le monde de l’entreprise, peut amener à un changement radical de la manière de travailler. Oui, l’adoption progresse : 78% des entreprises mondiales utilisent l’IA dans au moins une fonction, contre 55% en 2023. Les gains de productivité vont jusqu’à 55% selon les projets, certaines études suggèrent même un ROI moyen de près de 3,70 dollars pour chaque dollar investi dans l’IA.
Pourtant, il y a un MAIS : plusieurs obstacles, défis d’exécution et risques persistent, avec un écart creusé entre intention et réalité dans le déploiement de cette technologie, lié entre autres à des problèmes de gouvernance : en Europe, un tiers des entreprises ne disposent pas de politique IA formelle, malgré une large usage. Autres inquiétudes : l’éthique et la confidentialité.
S’il est compliqué d’avoir du recul sur une adoption aussi récente, les enquêtes montrent une préoccupation significative : 64% des professionnels sont préoccupés par l’utilisation abusive ou “weaponisation” de l’IA, tandis que beaucoup d’organisations n’ont pas encore mis en place des politiques ou lignes directrices claires sur l’usage de données et d’IA, ce qui augmente les risques de mauvaise utilisation ou de fuites d’informations sensibles.
La DGSI appelle à encadrer l’usage de l’IA en entreprise
Endossant son rôle de chargé de mission de sécurité économique, la DGSI rappelle deux points essentiels : l’encadrement des usages et l’utilisation de manière raisonnée. Du premier point découlent quatre conseils : définir les conditions d’usage de l’outil, favoriser le recours à des IA génératives françaises, privilégier l’utilisation d’IA en local, former régulièrement ses équipes à l’usage de l’IA. Il est crucial de former ses équipes à l’utilisation de l’IA en organisant des ateliers, aussi bien dans le but de démystifier l’IA, de rassurer les utilisateurs et de s’assurer de l’appropriation de l’outil que de développer une culture de la cybersécurité.
Du second point, découlent cinq conseils : être transparent et signaler l’utilisation de l’IA générative à sa hiérarchie ou à son client, ne pas soumettre de données personnelles (nom, téléphone, adresse, analyses médicales, photos personnelles, etc.) dans un outil d’IA, faire preuve de vigilance face à la manipulation de l’information et les réponses biaisées, vérifier l’exactitude et la pertinence des résultats obtenus en s’appuyant sur des experts qualifiés. Enfin, la DGSI tient à souligner qu’elle peut être avertie de tout événement suspect lié à l’utilisation de l’IA avec un canal de communication ouvert spécifiquement.
