L'IA sans blabla — Article de fond — Avril 2026
Cette semaine, tout le monde parle de Claude Mythos. Le modèle d'IA qu'Anthropic a construit — et refuse de publier parce qu'il est trop puissant. En quelques semaines, il a trouvé des failles de sécurité dans les grands systèmes informatiques mondiaux. Des failles vieilles de 10, 15, parfois 27 ans. Pour 50 dollars de calcul.
Les experts s'alarment. Les marchés ont réagi. Twitter s'enflamme.
Et pendant ce temps, dans votre entreprise, un collaborateur vient de coller un cahier des charges client dans ChatGPT pour gagner du temps sur une offre.
C'est ça, le vrai sujet. Et c'est de ça qu'on va parler.
Quand on parle de cybersécurité, on imagine un hacker. Un groupe organisé. Une intrusion sophistiquée. Le genre de truc qu'on voit dans Mr. Robot (ou dans les diapos de votre dernier audit ISO 27001, au choix).
La fuite qui va concerner votre entreprise, elle n'aura pas d'attaquant. Pas d'intention malveillante. Pas de tentative d'intrusion.
Elle aura un prénom.
Celui d'un technicien qui photographie un plan de maintenance pour le décrire à une IA et rédiger son rapport plus vite. D'un commercial qui soumet les spécifications confidentielles d'un client à Gemini pour structurer une réponse à appel d'offres. D'un responsable RH qui charge un tableur de données personnelles dans ChatGPT pour analyser les compétences de son équipe.
(Je sais que certains d'entre vous viennent de se reconnaître. Pas de panique, on ne juge pas. Mais on en parle.)
Ces scénarios ne sont pas hypothétiques. Ils se produisent maintenant, dans des PME industrielles, dans des structures qui n'ont encore aucune politique d'usage de l'IA — parce qu'elles n'ont pas encore mesuré que c'était nécessaire.
Les outils IA grand public — ChatGPT, Claude, Gemini, Copilot — sont conçus pour être utiles. Ils le sont. C'est précisément pour ça qu'ils posent un problème nouveau.
Quand un collaborateur leur soumet des informations pour obtenir de l'aide, ces informations quittent le périmètre de l'entreprise. Selon les paramètres de l'outil, selon le contrat souscrit, selon les conditions générales acceptées sans les lire (soyons honnêtes, personne ne les lit) — elles peuvent être utilisées pour entraîner des modèles futurs, stockées sur des serveurs hors Union Européenne, accessibles à des tiers dans des conditions que personne n'a vérifiées.
Ce qui peut fuiter sans que personne ne s'en rende compte :
Des données techniques confidentielles — plans, procédés, spécifications propriétaires. Le cœur du savoir-faire industriel. Le truc qui vous différencie de votre concurrent, volatilisé en un copier-coller.
Des informations clients — cahiers des charges, contrats, exigences particulières. Des données que vos clients vous ont confiées sous couvert de confidentialité. Et que vous venez d'envoyer sur un serveur californien.
Des données personnelles — noms, évaluations, données de santé au travail. Soumises au RGPD, donc potentiellement sources de sanctions. Et non, « je savais pas » n'est pas une défense recevable devant la CNIL.
Des informations stratégiques — budgets, projets de développement, réponses à appel d'offres en cours. Le genre de truc qui ferait très plaisir à votre concurrent s'il tombait dessus.
Aucun hacker n'est nécessaire. Aucune intrusion. Juste un usage non encadré d'un outil perçu comme anodin.
L'IA n'est plus un phénomène émergent que les équipes découvrent prudemment. Elle est disponible, gratuite ou presque, intuitive, et elle rend service. Vos collaborateurs l'utilisent — avec ou sans votre accord, avec ou sans politique interne. Avec ou sans que vous le sachiez.
Le phénomène Mythos, derrière son apparence de sujet réservé aux experts, dit quelque chose d'important pour tout le monde : l'IA généraliste devient capable de faire ce que seuls des spécialistes faisaient. Trouver des failles, analyser des systèmes complexes, produire des résultats que des années d'expertise humaine n'avaient pas atteints. Pour 50 dollars.
Ce principe s'applique à vos collaborateurs aussi. Un technicien sans formation en rédaction produit maintenant des rapports impeccables. Un commercial sans expérience de la négociation prépare des argumentaires structurés. C'est une opportunité réelle — et un risque réel si personne ne leur a expliqué ce qu'ils ne doivent pas mettre dedans.
Pendant des années, on a formé les collaborateurs à ne pas laisser traîner des documents confidentiels. À verrouiller leur session. À ne pas transmettre d'informations sensibles par mail non sécurisé. C'est dans toutes les chartes informatiques, dans tous les plans de formation.
L'IA généraliste crée un nouveau vecteur de fuite que la plupart des organisations n'ont pas encore intégré dans leurs pratiques. Pas parce qu'elles sont négligentes — parce que ça va vite, et que l'outillage n'a pas suivi.
Former vos équipes à l'IA, ce n'est pas leur apprendre à utiliser ChatGPT. C'est leur donner le cadre pour distinguer ce qu'ils peuvent soumettre à un outil externe et ce qui doit rester dans le périmètre de l'entreprise. C'est leur permettre d'être efficaces — sans exposer ce qui ne devrait pas l'être.
C'est la première ligne de défense. Pas la plus spectaculaire. Mais la plus accessible, la plus immédiate, et celle qui dépend directement de vous — pas d'un budget cyber que vous n'avez pas.
1. Quels outils IA utilisent-ils au quotidien — à titre personnel ou professionnel ?
2. Ont-ils déjà soumis des informations clients, techniques ou contractuelles à ces outils ?
3. Savent-ils ce que ces outils font des données qu'on leur confie ?
Les réponses vous diront si le sujet est déjà dans votre entreprise — ou si vous pensez encore que ça ne vous concerne pas.
(Spoiler : ça vous concerne.)
Vous voulez structurer une session de sensibilisation pour vos équipes ou vos sous-traitants sur les usages IA à risque ? C'est exactement ce qu'on fait chez FLO Consulting.
contactez-moi directement.
Sources : Anthropic Project Glasswing (avril 2026), Commission Européenne (EU AI Act), CNIL (recommandations usage IA en entreprise).
