Cybersécurité : comment l'IA amplifie l'erreur humaine

Pourquoi les organisations doivent repenser leur gestion du risque à l’ère de l’intelligence artificielle ?

 

L’erreur humaine a toujours été l’un des principaux facteurs des incidents de cybersécurité : emails envoyés par erreur, mots de passe faibles, mauvaises décisions sous pression…

Mais aujourd’hui, avec l’intégration croissante de l’intelligence artificielle (IA) dans les outils du quotidien (assistants d’email, chatbots, plateformes de codage, outils d’aide à la prise de décision), la nature de ce risque évolue profondément.

L’IA ne supprime pas les erreurs humaines. Elle les accélère, les multiplies… et les rend plus difficiles à détecter, souvent dissimulées derrière un faux sentiment de confiance.

Selon le Rapport 2025 sur le coût d’une violation de données d’IBM, 26 % des violations sont dues à des erreurs humaines, tandis que 23 % sont dus à des défaillances informatiques. Avec l’essor de l’IA générative, une nouvelle réalité s’impose : les erreurs quotidiennes ont désormais un impact démultiplié, et les attaquants en profitent plus rapidement que les organisations ne s’adaptent.

 

Ce qui change vraiment avec l’IA

 

« Shadow AI » et exposition incontrôlée des données

 

L’un des risques émergents les plus importants est le « Shadow AI », c’est-à-dire l’utilisation d’outils d’IA générative par les employés sans validation, supervision ni contrôle de sécurité.

Les études montrent une forte augmentation des données sensibles copiées dans ces outils via des comptes personnels : données clients, contrats, rapports internes, et code source. Une fois ces données intégrées dans une plateforme d’IA publique, le contrôle est perdu.

Pour les organisations soumises au RGPD ou à des normes comme ISO 27001, cela représente des risques importants en matière de conformité et de réputation. Dans la majorité des cas, il ne s’agit pas de malveillance, mais d’un manque de sensibilisation des employés qui n’en mesurent pas les conséquences.

Sans gouvernance claire de l’IA, le « Shadow AI » devient rapidement un angle mort dans le système de management de la sécurité de l’information (SMSI).

 

Surconfiance dans l’IA et biais d’automatisation

 

Autre sujet critique : la confiance excessive dans les résultats fournis par l’IA.

Plusieurs études montrent que si l’IA peut améliorer la productivité, elle introduit également des risques invisibles. Par exemple, les développeurs utilisant des assistants de code produisent plus rapidement, mais pas nécessairement de manière plus sécurisée. Une proportion significative du code généré par IA contient des vulnérabilités.

Le facteur le plus préoccupant reste la confiance. Lorsqu’une réponse est fluide et convaincante, elle est plus facilement acceptée sans vérification. Ce « biais d’automatisation » entraîne une propagation plus rapide des erreurs, une détection plus tardive, et un coût de correction plus élevé.

En cybersécurité, la vitesse sans contrôle est un multiplicateur de risque. La norme ISO 27001 peut aider à améliorer et à valider les normes de cybersécurité, garantissant ainsi la sécurité et la conformité des opérations.

 

Phishing, deepfakes et ingénierie sociale

 

Les attaques de phishing évoluent rapidement grâce à l’IA. Les emails malveillants sont désormais :

• Parfaitement rédigés
• Hautement personnalisés
• Sans fautes apparentes

Les attaquants utilisent également des deepfakes audio et vidéo pour usurper l’identité de dirigeants, de fournisseurs ou de collègues. Les attaques de type BEC (compromission des e-mails professionnels) deviennent plus convaincantes et plus difficiles à détecter.

Dans des environnements sous pression, même des collaborateurs formés peuvent se faire piéger.

 

L’injection de prompt : le “nouveau phishing”

 

L’IA introduit de nouvelles surfaces d’attaque, dont l’injection de prompt (prompt injection).

Cette technique consiste à intégrer des instructions cachées ou malveillantes dans des contenus traités par l’IA, afin de contourner les protections, provoquer des fuites de données, ou générer des résultats dangereux. L’utilisateur peut ne pas se rendre compte qu’un problème s’est produit.

Classée vulnérabilité n°1 par l’OWASP (organisation internationale de référence en cyber-sécurité) en matière de sécurité de l’IA, l’injection de prompt est décrite comme une nouvelle forme d’ingénierie sociale.

De la même manière qu’il a fallu apprendre à ne pas cliquer sur des liens suspects, il devient maintenant nécessaire d’apprendre à remettre en question les réponses de l’IA et comprendre comment ces systèmes peuvent être manipulés.

 

Peut-on réduire les risques liés à l’IA ?

 

La bonne nouvelle est que ces risques peuvent être maîtrisés, à condition d’agir tôt et d’adopter une approche structurée.

Les normes internationales comme ISO 27001 (management de la sécurité de l’information) et ISO 42001 (systèmes de management de l’IA), ainsi que le Règlement européen sur l’intelligence artificielle (AI Act), apportent un cadre clair pour maîtriser et réduire les risques liés à l’IA.

 

Priorités pour les organisations

 

1. Gouvernance de l’IA

• Définir les outils autorisés et les cas d’usage acceptables
• Attribuer des rôles et responsabilités clairs
• Intégrer les risques d’IA dans le SMSI et les registres de risques

2. Prévention des pertes de données (DLP)

• Empêcher l’exposition de données sensibles
• Appliquer anonymisation, masquage et marquage
• Surveiller et tracer les flux de données liés à l’IA

3. Développement et déploiement sécurisés

• Appliquer l’approche « secure by design » (sécurité intégrée dès la conception et tout au long du cycle de vie)
• Réaliser des analyses de risques et modélisations de menaces
• Vérifier les contenus et le code générés par IA avant utilisation

4. Formation centrée sur l’humain

• Mettre à jour les programmes de sensibilisation pour inclure :
  • phishing assisté par IA
  • deepfakes
  • injection de prompt
• Renforcer une culture « faire confiance, mais vérifier »
• Envisager les certifications ISO 27001 et ISO 42001

5. Supervision et vérification

• Mettre en place une validation renforcée pour les décisions critiques
• Maintenir une responsabilité humaine pour les actions assistées par l’IA

 

Pourquoi les normes ISO sont plus importantes que jamais

 

La sécurité de l’IA n’est plus uniquement une question technique : c’est un enjeu de gouvernance, de gestion des risques et de conformité.

Les normes ISO apportent une structure essentielle :

• ISO 27001 permet de gérer de manière systématique les risques liés à la sécurité de l’information, y compris ceux introduits par l’IA
• ISO 42001, première norme mondiale dédiée aux systèmes de management de l’IA, fournit un cadre pour une utilisation responsable, sécurisée et éthique

Ensemble, elles permettent de :

• Démontrer la conformité
• Réduire les risques réglementaires et réputationnels
• Renforcer la confiance des clients, partenaires et régulateurs
• Déployer l’IA de manière maîtrisée et responsable

Chez IMSM, nous accompagnons les organisations à chaque étape de leur parcours ISO, de l’analyse des écarts à la mise en œuvre, jusqu’à la certification et l’amélioration continue.

 

Conclusion : l’IA ne remplace pas l’erreur humaine, elle la multiplie

 

L’IA transforme rapidement le paysage des menaces de cybersécurité. Shadow AI, code vulnérable, deepfakes et injection de prompt… Ces risques ne sont plus théoriques : ils sont déjà une réalité.

Les organisations les plus résilientes seront celles qui :

• Traitent l’IA comme un risque global, pas uniquement informatique
• Mettent en place une gouvernance dès maintenant
• S’alignent sur des référentiels reconnus comme ISO 27001 et ISO 42001
• Investissent autant dans l’humain que dans la technologie

 

Prochaine étape

 

Si votre organisation utilise déjà l’IA (officiellement ou non), commencez par cartographier les usages et comprendre où et comment elle est utilisée.

Ensuite, alignez vos contrôles avec ISO 27001, ISO 42001 et le Règlement européen sur l’intelligence artificielle (AI Act) afin de combler les lacunes les plus critiques.