L’utilisation de l’IA s’est transformée en une des priorités stratégiques des organisations, mais son adoption rapide est déjà à la recherche d’une préoccupation: les entreprises mettent en œuvre cette technologie beaucoup plus rapidement que ses capacités de gouvernement. C’est aussi l’un des manifestes de l’avancée de l’étude AI Pulse Poll 2026 élaboré par l’ISACA, qui révèle d’importantes préoccupations en matière de préparation, de contrôle et de gestion du risque.
L’information, basée sur une enquête auprès de 681 professionnels de la confiance numérique en Europe, indique que de nombreuses organisations sont à intégrer des systèmes d’IA dans des processus clés sans se renseigner sur l’infrastructure de gouvernement nécessaire. Ce n’est pas seulement une plante de risques opérationnels, mais aussi des régulateurs et des réputations dans un contexte où l’intelligence artificielle est soumise à des normes plus strictes, comme le règlement de l’IA de l’Union européenne.
Incapacité de réaction avant les incidents
L’une des données les plus préoccupantes de l’étude est la capacité de réponse limitée aux incidents liés à l’IA. Les 59 % des personnes interrogées ne savent pas que votre organisation pourrait rapidement mettre en place un système d’IA en cas de chute ou d’attaque de sécurité. Seul 21 % affirment qu’ils pourraient le faire en moins de 30 minutes.
Cela implique que, dans de nombreux cas, un système compromis peut fonctionner sans contrôle pendant une période critique, avec un impact potentiel sur les décisions automatisées, les services au client ou les processus internes.
Pour Pablo Ballarín, expert en intelligence artificielle de l’ISACA, ce scénario reflète une question d’âge mûr préoccupante : « Nous implantons des systèmes qui ne traitent pas uniquement l’information, sans prendre de décisions ni exécuter les actions. Ils introduisent donc un niveau de risque complètement différent des technologies traditionnelles et des exigences. mécanismes de contrôle beaucoup plus avancés ».
Falta de comprensión y explicabilidad
Le problème n’est pas limité à la capacité de réaction. L’étude montre également que les organisations ont des difficultés à comprendre ce qui se produit lorsqu’un système d’IA tombe en panne. Seulement un 42% des professionnels sont convaincus que leur entreprise peut enquêter et expliquer de manière adéquate un incident grave, et il semble qu’un 11% soit complètement sûr.
Ce déficit résulte particulièrement critique dans un environnement réglementé, où l’explicabilité et la viabilité sont des exigences clés. Sans ces capacités, les organisations ne sont pas seules confrontées à des difficultés techniques, mais elles peuvent également donner lieu à des sanctions et à des pertes de confiance pour les clients et les régulateurs.
Ballarín souligne que le problème a une racine structurelle : « Le rythme de l’adoption est très rapide et ne permet pas de comprendre complètement comment ces systèmes fonctionnent avec leurs impacts réels. Dans de nombreux cas, ils utilisent des algorithmes développés à l’extérieur sans une évaluation complète. de sus riesgos ».
Gouvernement insuffisant et responsabilités diffuses
L’informe également au foco sur la question du gouvernement. Un 33 % des organisations n’exigent pas que leurs employés informent sur l’utilisation des outils d’IA dans leur travail, ce qui génère beaucoup d’experts qu’ils appellent « shadow AI » : l’utilisation non contrôlée ni supervisée de ces technologies au sein de l’entreprise.
De plus, la responsabilité en cas de chute possible est également claire. Un de chaque cinquième enquêté ne sait pas qui sera le dernier responsable en cas d’incident, et seul un pourcentage de 38 % est attribué à la haute direction.
« Nous avons une évasion de responsabilités qui pourrait aggraver l’évolution de l’IA », a déclaré Ballarín. « Lorsque les décisions prennent le délégué dans les systèmes automatisés ou les agents de l’IA, il est fondamental de définir celui qui supervise, celui qui valide et celui qui répond avant d’éventuelles erreurs ».
Supervision humaine: nécessaire mais insuffisante
Même si 40 % des organisations affirment que les décisions prises par l’IA sont approuvées par des êtres humains avant l’exécution, et 26 % des révisions a posteriori, les experts coïncident avec le fait que cela n’est pas suffisant.
Un de chaque cinquième enquêté ne sait pas qui sera le dernier responsable en cas d’incident, et seulement un 38% d’entre eux ont la haute direction
«La supervision humaine est importante, mais elle ne peut pas être le mécanisme unique de contrôle», dit Ballarín. Il est nécessaire d’établir des cadres de gouvernance complets qui incluent l’évaluation des risques, les auditeurs, l’inventaire des outils et les politiques claires d’utilisation responsable ».
Ce sentiment montre l’importance pour les organisations d’identifier les processus qui peuvent être automatisés et les conditions qui en découlent, ainsi que la nécessité de former les employés aux risques associés à l’utilisation de l’IA.
Un problème qui va plus loin que la technologie
L’un des principaux messages de l’étude est que la gestion du risque de l’IA ne peut pas être abordée comme un problème exclusivement technologique. Il s’agit d’un défi transversal qui affecte l’ensemble de l’organisation, de la stratégie jusqu’à l’exploitation.
« Beaucoup d’entreprises voient l’IA comme un outil plus important, alors que la réalité est un changement de paradigme », explique Ballarín. «Il n’est pas nécessaire d’adopter une technologie, si le gouverneur entende ses implications et établisse des contrôles adéquats».
Cette enquête est particulièrement pertinente dans les secteurs réglementés, comme le secteur pharmaceutique ou le secteur financier, où l’adoption de l’IA doit remplir les exigences strictes et être alignée sur les cadres éthiques et normatifs. Dans d’autres secteurs avec moins de contrôle, le problème peut être majeur.
L’urgence d’agir
L’étude conclut que la rupture entre l’adoption et la gouvernance ne persiste pas, mais qu’elle s’amplifie. Dans un contexte où l’IA est de plus en plus intégrée dans les processus de négociation, cette situation réduit la marge de manœuvre des organisations et augmente leur exposition au risque.
Pour faire face à ce défi, l’ISACA insiste sur la nécessité de renforcer le gouvernement, de définir des responsabilités claires et de développer des capacités internes. Dans cette ligne, l’organisation a lancé de nouvelles certifications spécifiques en IA orientées pour couvrir les soins détectés.
« Les organisations qui souhaitent s’efforcer d’améliorer tout le potentiel de l’IA doivent récupérer le contrôle », conclut Ballarín. « Ce pas pour le gouvernement, évaluer les risques et prendre des décisions informées. Sans cette étude, l’innovation peut devenir une source de vulnérabilité au lieu d’une offre compétitive ».
L’information complète sur AI Pulse Poll 2026 élaborée par l’ISACA sera publiée en grande partie en mai de l’année actuelle.
