Lors de la conférence Risk-!n 2026 à Zurich, des experts ont discuté des raisons pour lesquelles l’intelligence artificielle dans la gestion de la conformité et des risques ne vaut que ce que valent les personnes qui la contrôlent. Et pourquoi le plus grand point faible du système est souvent le fournisseur.
C’était l’une des déclarations les plus succinctes de la conférence de deux jours : « L’algorithme l’a décidé » n’est pas une justification qui résistera à une autorité de régulation. Michael Rasmussen, analyste GRC (GRC Report) et modérateur de la conférence, l’a résumé par une image : quiconque voit l’IA comme les « données » de « Star Trek » – loyales, sans erreur, fiables – se trompe. En réalité, l’IA ressemble davantage à Jack Sparrow dans « Pirates des Caraïbes » : brillante, créative, mais sans gouvernance, prête à naviguer seule.
Quand les préjugés migrent vers les algorithmes
Pierre Lauquin, Risk and Business Continuity Manager et expert en biais cognitifs, et Rafael Tiedra de l’équipe IA du gouvernement cantonal de Genève ont montré comment les biais humains sont systématiquement intégrés dans les systèmes d’IA bien avant que le premier modèle ne soit formé. Les erreurs de confirmation et les biais de simplification sont présents dès la phase de conception, lorsque les décideurs déterminent quelles données sont pertinentes en premier lieu. Les biais de sélection surviennent lors de la collecte des données : un système d’IA dermatologique formé exclusivement à partir de données de patients issus d’une population urbaine aisée à la peau claire échouera tout simplement avec d’autres types de peau.
Et au bout de la chaîne se trouve l’utilisateur avec ses propres préjugés cognitifs. Le « biais de fluidité » est particulièrement insidieux : parce que les modèles linguistiques répondent de manière fluide, rapide et structurée, les gens ont tendance à leur attribuer une fiabilité humaine. À cela s’ajoute le « biais d’autorité » : la réponse semble compétente, donc on la croit. La conclusion des deux : Un système d’IA n’est pas un outil neutre, mais un moyen qui transfère les préjugés de l’homme à la machine et vice-versa. « Un système d’IA n’est pas biaisé par hasard, mais est le produit de milliers de décisions humaines, culturelles et politiques.
De l’expérience à la pratique défendable
Cela soulève une question urgente pour les équipes chargées de la conformité : Comment utiliser l’IA de manière à ce qu’elle puisse être expliquée à une autorité de surveillance ? Cecilia Garcia Podoley, avocate et conseillère en éthique et conformité (Ethics & Compliance Switzerland), a cité trois conditions préalables : Premièrement, il doit toujours y avoir un humain qui regarde, comprend et approuve les résultats de l’IA. Deuxièmement, l’IA doit fournir des réponses explicables, car une boîte noire n’est pas conforme à la loi européenne sur l’IA. Troisièmement, un contrôle continu est essentiel, car un modèle qui est impartial aujourd’hui peut être systématiquement erroné demain.
Demir Arifovski de NAVEX a ajouté, du point de vue des ventes : « De nombreuses entreprises confondent l’IA avec l’automatisation. Quiconque souhaite remplacer des processus manuels par l’IA sans les avoir d’abord nettoyés et numérisés ne fera qu’accélérer les erreurs existantes. « Il faut d’abord comprendre, puis automatiser, puis numériser, et seulement ensuite l’IA. » Pour l’introduction de l’IA dans les flux de travail de conformité, il a également appelé à une documentation claire non seulement du résultat, mais aussi du processus de réflexion : Pourquoi cette décision a-t-elle été prise ? Quelles alternatives ont été rejetées ? De nos jours, lorsque les employés changent d’employeur tous les trois ou quatre ans, les connaissances institutionnelles sont irrémédiablement perdues.
La porte dérobée invisible dans la chaîne d’approvisionnement
Dans le même temps, Christian Koxholt, CCO de Quantum Fort, a mis en garde contre une surface d’attaque sous-estimée : la chaîne d’approvisionnement. Selon des études récentes, le secteur de la logistique et du transport est l’industrie la plus attaquée, non pas parce qu’elle est mal protégée, mais parce qu’elle doit être structurellement ouverte. Toutes les entreprises qui envoient des colis disposent d’interfaces EDI, de systèmes de suivi et de portails pour les fournisseurs. Ce sont les passerelles.
Le scénario qu’il a dessiné était sobre : un attaquant n’infiltre pas l’entreprise elle-même, mais un fournisseur qui envoie des fichiers Excel en guise de plan de réapprovisionnement. Le responsable MRP ouvre le fichier et la chaîne de production s’arrête. Pour un constructeur automobile, chaque heure d’arrêt de production se traduit par des pertes à sept chiffres. Une note de rançon ne nécessite pas un piratage hollywoodien, mais seulement un fournisseur faiblement protégé.
Le principe qu’il a partagé est simple : « Si ma valeur est numérique, mon risque est numérique. Des plans de continuité des activités en cas de crevaison d’un camion de livraison existent dans toutes les entreprises réglementées. Un plan pour une panne de la chaîne d’approvisionnement numérique ? Rarement.
Que faire maintenant ?
La conférence n’a pas apporté de réponses faciles, mais elle a fourni des pistes d’action claires : Créer un inventaire de l’IA (y compris l’IA fantôme), nettoyer les processus de base avant l’introduction de l’IA, institutionnaliser la surveillance humaine, prioriser les fournisseurs en fonction de la vulnérabilité numérique et pas seulement des ventes, et suivre les normes les plus strictes en termes de réglementation, c’est-à-dire la loi européenne sur l’IA, même si la Suisse attend toujours sa propre loi.
Et surtout : connaissez vos propres préjugés. Comme l’a demandé M. Lauquin à la fin de la conférence : « L’expertise protège-t-elle des préjugés ? » La plupart des mains sont restées baissées.
Binci Heeb
Lisez aussi : La cyber-résilience devient une question de survie
Recherche :
Sponsors :
