● Journal du Net 📅 28/04/2026 à 15:33

Cybersécurité 👤 Pascal Coillet-Matillon

🏷️ Tags : fuite de données cert rte

Publiée en 2023, la norme ISO 42001 permet de garantir la sécurité, la fiabilité et l'éthique des IA utilisées dans les organisations, via des analyses de risques et des audits. L'émergence de l'IA générative en entreprise donne des sueurs froides à de nombreux dirigeants qui redoutent des exfiltrations de données sensibles, des attaques par prompt injection et autres cyber-risques. Et ils ne sont pas au bout de leur peine. Une source de crainte plus importante émerge : celle des agents IA capables d'être détournés pour exécuter de puissantes commandes malveillantes comme des actions non autorisées (déclenchement de virements, suppression de comptes, etc.), ou la propagation d'attaques quand ils sont connectés à plusieurs outils. Pour y faire face, de plus en plus d'entreprises cherchent à se conformer à l'unique norme internationale de management de l'IA, la norme ISO 42001, "avant même l'implémentation de ces agents", affirme Eric Bohec, chief technology officer (CTO) group chez Nomios. Publiée en 2023 par l'Organisation internationale de normalisation (ISO), "ce standard va même devenir indispensable pour accompagner tout lancement de projet d'IA", tranche Matthieu Guilpin, RSSI de Jus Mundi, entreprise qui propose un agent IA spécialisé en droit international et qui a obtenu la certification ISO 42001 en 2025. La 27001 de l'IA "L'IA générative en entreprise est un problème, mais pas si compliqué à gérer. Le plus compliqué pour les organisations sera l'adoption des petits agents IA pour exécuter des processus d'entreprise. Ces agents sont très utiles pour accélérer ces processus mais leur utilisation doit être obligatoirement encadrée. Les entreprises ne peuvent pas se permettre de les adopter n'importe comment comme avec l'IA générative", indique Eric Bohec. C'est pourquoi la branche conseil de l'entreprise accompagne actuellement une douzaine de clients pour les conformer à la norme ISO 42001. Ce référentiel définit la manière de mettre en œuvre un système de gestion de l'IA permettant de maîtriser ses risques relatifs à l'éthique ou à la sécurité, comme la fuite de données ou les problèmes de confidentialité. "A l'instar de la norme ISO 27001, bien connue, la 42001 établit un cadre commun permettant de prouver que le développement de l'IA est effectué de manière éthique et responsable", observe Matthieu Guilpin. A travers des mesures pour effectuer des analyses des risques de l'IA, ce cadre normatif permet aux organisations qui s'y conforment de "se poser les bonnes questions : quels sont les agents IA dans mon entreprise ? Qui a le droit d'y accéder ? Est-ce qu'on a le droit d'entraîner tel ou tel modèle avec la donnée de l'entreprise ? La donnée sensible est-elle protégée ? Et pour s'en assurer, les modèles vont être soumis à du pentest", affirme Eric Bohec. "Le fait d'accompagner ces clients vers l'adoption de l'IA grâce à cette norme les rassure car ils se disent que l'on s'appuie sur un référentiel solide, objectif, et non pas sur notre simple avis subjectif". Et pour cause, cette norme est rédigée par un comité d'experts et de spécialistes de l'IA et de la cybersécurité au sein de l'ISO. Le marché impose cette norme Même si Nomios et d'autres cabinets de conseil utilisent l'ISO 42001 pour accompagner leurs clients vers une adoption de l'IA sécurisée, il existe encore peu d'entreprises certifiées. Bien que l'ISO n'ait pas communiqué de chiffres en la matière, des communiqués de presse et publications de cabinets de conseil évoquent des chiffres allant de quelques centaines à plus de 2 000 organisations certifiées dans le monde. Tout comme l'ISO 27001, c'est un organisme certificateur, accrédité par le Comité français d'accréditation, qui délivre le certificat après un audit vérifiant qu'il n'existe pas de non-conformité majeure à la norme. Ce certificat est valable trois ans et l'organisme surveille chaque année que la norme continue d'être respectée. Toutefois, de plus en plus d'entreprises vont se lancer dans un processus de certification en raison des exigences du marché, selon Eric Bohec. "C'est inévitable. Si je prends l'exemple de l'ISO 27001, de nombreuses organisations l'ont adopté pour prouver un niveau de sécurité suffisant auprès de leurs clients. Pour l'ISO 42001, ce sera la même chose car toutes les entreprises vont utiliser l'IA. Les clients des entreprises qui fournissent un service avec de l'IA exigeront de celles-ci qu'elles soient certifiées. De toute façon, c'est le business et les clients qui imposent l'adoption de telles normes et cette exigence sera dans les contrats. Cela sera rendu nécessaire dans les appels d'offre". "L'IA vient avec ses propres risques de sécurité et c'est inquiétant pour tous les clients. Pour eux, l'intérêt de cette norme est de s'entourer de fournisseurs certifiés, afin d'être assurés qu'ils suivent les meilleures pratiques de la sécurité de l'IA, sans devoir réaliser d'audit complet sur tous les points", ajoute Matthieu Guilpin. Pour les fournisseurs, se lancer dès maintenant dans la certification ISO 42001 permet donc d’anticiper une tendance de marché émergente et de se positionner plus favorablement pour la conclusion de futurs contrats.

🔗 Lire l'article original 👁️ 0 lecture