Les DSI dépassés par l'essor des agents IA en entreprise

Une enquête d'IBM révèle un décalage croissant entre l'adoption de l'IA et la capacité des entreprises à en assurer la gouvernance. Les DSI se retrouvent en première ligne face à des systèmes qu'ils ne supervisent pas entièrement.

Alors que les entreprises se précipitent pour déployer l’IA dans l’ensemble de leurs fonctions métier, de nombreux DSI et directeurs techniques (CTO) se retrouvent responsables de systèmes qu’ils ne supervisent pas entièrement, ce qui crée un défi de gouvernance pour les responsables technologiques. Une enquête menée par IBM auprès de 2 000 responsables IT révèle que les deux tiers des DSI et CTO sont tenus responsables de systèmes IA qu’ils ne maîtrisent pas totalement. L’étude montre également que 70 % des répondants estiment que les technologies sont déployées dans l’entreprise plus rapidement que les équipes informatiques ne peuvent les suivre, tandis que 77 % considèrent que l’adoption de l’IA dépasse déjà les capacités de gouvernance existantes.

Les sondés prévoient que le nombre d’agents IA déployés dans leurs entreprises augmentera de 38 % d’ici 2027. Pourtant, seuls 11 % affirment être pleinement préparés à l’ampleur de ce mouvement attendu au cours des douze prochains mois. Selon IBM, 80 % des répondants indiquent que leur direction générale leur impose d’accélérer les initiatives de transformation par l’IA. « Pour les DSI et les CTO, le défi consiste désormais à faire monter en puissance des systèmes IA qui fonctionnent en continu et de manière autonome, souvent dans le cadre de modèles de gouvernance et d’architectures conçus pour un environnement beaucoup plus lent et prévisible », a déclaré Matt Lyteson, CIO d’IBM, dans un communiqué accompagnant le rapport.

La responsabilité ne suit pas le contrôle

Les conclusions de l’étude sont largement partagées par les analystes, qui observent un décalage de plus en plus marqué entre responsabilité et contrôle à mesure que l’IA se diffuse dans l’ensemble des fonctions de l’entreprise. « Les capacités IA sont désormais intégrées aux applications SaaS, aux services cloud et aux initiatives portées par les métiers. L’adoption se fait donc à la périphérie de l’entreprise, tandis que la responsabilité reste concentrée au niveau de la direction », explique Deepika Giri, vice-présidente adjointe et responsable de la recherche Big Data et IA chez IDC Asie-Pacifique. Selon les travaux d’IDC, seules 16 % des entreprises disposent d’un modèle de gouvernance unifié de l’IA, ce qui laisse les DSI responsables de risques liés à des systèmes qu’ils n’opèrent pas directement. « Les entreprises ont décentralisé l’expérimentation bien plus vite qu’elles n’ont organisé la répartition de la responsabilité », souligne Sanchit Vir Gogia, analyste en chef chez Greyhound Research. « Le contrôle se dilue à mesure que l’IA se déploie sur plusieurs plateformes, mais la responsabilité, elle, ne suit pas le même mouvement. »

De son côté Charlie Dai, analyste principal chez Forrester « l’adoption est largement portée par les métiers et intégrée dans ces différents environnements, ce qui contourne fréquemment la DSI via un phénomène croissant de shadow AI ». Il ajoute « les DSI restent exposés aux risques et aux coûts, mais leur capacité de contrôle s’érode sous l’effet des architectures fédérées et de l’abstraction des hyperscalers. » Les responsables IT restent ainsi comptables de la conformité, de la sécurité et de la performance des usages métiers, alors même qu’une partie des décisions techniques leur échappe. Rajesh Ranjan, managing partner chez Everest Group, souligne que les entrepreneurs attendent désormais des DSI qu’ils génèrent des résultats métiers via l’IA, alors que ceux-ci reposent souvent sur la transformation des processus, l’évolution des équipes et des modèles opérationnels, des leviers qui dépassent le périmètre de l’IT. Selon lui, l’adoption de l’IA progresse plus rapidement que la mise en place de cadres de gouvernance adaptés, créant ainsi « un décalage croissant entre responsabilité et contrôle ».

Le shadow IA accroît les risques

Les analystes estiment que ce défi de responsabilité devient encore plus aigu à mesure que l’IA se diffuse via des outils et services auxquels les équipes métiers peuvent accéder sans implication significative de l’informatique. « Le shadow IT introduisait des logiciels non gérés. Le shadow IA introduit des prises de décision non maîtrisées », résume Sanchit Vir Gogia. Les métiers peuvent aujourd’hui accéder à des capacités IA au travers de fonctionnalités SaaS intégrées, d’outils externes, d’API, de copilotes ou encore de frameworks d’agents, avec peu ou pas d’intervention des équipes IT. Cela élargit considérablement le champ des problématiques de gouvernance.

Selon Charlie Dai, les risques dépassent les simples questions de sécurité et de conformité. Ils incluent également les coûts non maîtrisés, l’exposition réglementaire, les attaques par injection de prompts et les vulnérabilités propres à la couche des agents IA. La situation se complique encore davantage à mesure que les entreprises passent d’assistants IA à des agents capables de prendre des décisions, d’invoquer des outils, d’interagir avec les systèmes d’entreprise et d’exécuter des tâches complexes en plusieurs étapes avec une intervention humaine limitée. « L’IA agentique introduit des comportements dynamiques et non déterministes ainsi que des interactions externes qui remettent en cause les modèles traditionnels de gouvernance », explique Charlie Dai. « Les entreprises manquent de visibilité en temps réel sur les décisions prises, ce qui crée un décalage entre la responsabilité assumée et le comportement réel du système. »

Les agents IA introduisent des risques opérationnels

L’enquête suggère que ces difficultés de gouvernance ont déjà des conséquences opérationnelles concrètes. « D’ici 2027, les entreprises prévoient de déployer en moyenne 1 661 agents IA, soit une hausse de 38 % par rapport à aujourd’hui », indique le rapport. « À ce rythme, les responsables technologiques devront gérer chaque jour des centaines de milliers de décisions autonomes. Une gouvernance manuelle ne peut pas suivre cette cadence. »

Les entreprises interrogées ont signalé en moyenne 54 incidents liés aux agents IA au cours de l’année écoulée ayant nécessité une intervention ou une correction humaine. Parmi ces incidents, 17 % ont été classés comme critiques. Parmi les incidents les plus graves, 37 % ont entraîné une exposition de données ou une violation de sécurité, 33 % ont provoqué des défaillances en cascade des systèmes et 17 % ont généré des problèmes de conformité. L’étude révèle également que 59 % des répondants considèrent les préoccupations liées à la sécurité et à la conformité comme l’un des principaux freins à la généralisation des agents IA. Les organisations qui intègrent directement la gouvernance dans leurs systèmes IA déclarent 25 % d’incidents en moins que celles qui s’appuient principalement sur des mécanismes de supervision manuels. « C’est pourquoi la visibilité compte désormais davantage que l’autorité », estime Sanchit Vir Gogia. « Les responsables IT n’ont pas besoin d’approuver chaque déploiement. Ils doivent savoir ce qui fonctionne, à quoi ces systèmes ont accès et comment les arrêter si nécessaire. »

Intégrer la gouvernance aux opérations IA

Les analystes estiment que les entreprises doivent dépasser les modèles de gouvernance conçus pour des revues périodiques et des déploiements logiciels traditionnels. « À mesure que l’IA s’intègre aux processus métiers essentiels, la gouvernance ne peut plus être un simple exercice de revue périodique ; elle doit devenir une capacité opérationnelle à part entière », affirme Rajesh Ranjan. Charlie Dai recommande également aux entreprises de mettre l’accent sur une observabilité centralisée, des contrôles de politiques, une décentralisation encadrée ainsi qu’une gouvernance renforcée des données et des contextes utilisés par les systèmes IA afin d’accompagner la montée en puissance des déploiements.