La clé du succès de l'IA ? Ce n'est pas le « modèle » mais la gouvernance des données.

Bien que les entreprises considèrent de plus en plus l’(IA) comme le moteur de croissance future et l’intègrent activement, l’industrie lance généralement un avertissement : la clé du succès de l’IA ne réside pas réellement dans les « modèles », mais dans la « gestion des données ». En particulier, il est souligné que, sans classification et visibilité adéquates des données non structurées, ce n’est pas seulement l’IA qui pourrait être compromise, mais l’ensemble du domaine de la sécurité et de la conformité.

Selon Congruity360, une entreprise spécialisée dans les solutions de gouvernance des données non structurées, ce risque devient un « point aveugle » mortel pour les entreprises à l’ère de l’IA. Beaucoup d’organisations investissent massivement dans l’introduction de l’IA, mais leur succès dépend de l’efficacité de la classification et du contrôle des données.

Actuellement, 41 % des entreprises n’ont pas d’outils de classification des données, et seulement 37 % prévoient d’en introduire dans les deux prochaines années. Cela entraîne une exposition sans protection des données non classifiées à l’intérieur de l’entreprise, sur des serveurs de fichiers, NAS, dans le cloud, etc. En conséquence, les équipes IT et de sécurité doivent consacrer beaucoup de temps et de budget au nettoyage après coup, ce qui peut également nuire à la confiance interne.

Christophe Bertrand de theCUBE Research souligne : « Étant donné que l’impact de l’IA dépasse les processus métier et les charges de travail, affectant l’ensemble de l’entreprise, l’infrastructure de données sous-jacente à l’IA doit également être protégée de manière fondamentale », mettant en avant l’importance de la sécurité des données.

Mark Ward, directeur général de Congruity360, avertit : « Face à la croissance exponentielle des données, la capacité des entreprises à classifier, éliminer ou contrôler n’a pas suivi. Ce déséquilibre cristallise un environnement de données non structurées déjà isolé, augmentant ainsi le risque d’incidents de sécurité ou de violations, comme une boule de neige. »

De plus, les données inutilisées, les documents en double, les vieux emails, souvent appelés ROT (Redondant, Obsolète, Trivial), ne sont plus seulement un problème de coûts de stockage, mais peuvent aussi entraîner une fuite d’informations sensibles ou des risques de non-conformité. Ward explique : « Le simple fait qu’un dossier partagé laissé par un employé parti il y a cinq ans contienne des informations personnelles peut suffire à transformer un risque juridique en réalité. »

Une stratégie centrée sur les « quatre piliers de la gouvernance » — efficacité opérationnelle, renforcement de la sécurité, conformité réglementaire, réduction des risques métier — attire de plus en plus l’attention. Pour cela, de nombreuses entreprises adoptent la gestion de la posture de sécurité des données (DSPM), permettant d’identifier rapidement les zones d’ombre dans les environnements cloud et locaux. Ward considère la rapidité de réponse comme un avantage concurrentiel clé, affirmant qu’« il est possible de visualiser l’état de la sécurité des données d’un client en une semaine ».

Pour les grandes entreprises traitant plusieurs centaines de PB de données, la problématique est encore plus critique. Sans audits réguliers, ces données s’accumulent en risques invisibles, pouvant entraîner des incidents de sécurité, des échecs d’audit ou des contrôles réglementaires. Congruity360 y répond en combinant diagnostic continu des données et gestion du cycle de vie, aidant à supprimer les snapshots inutiles et les anciennes sauvegardes, améliorant ainsi l’efficacité du stockage.

La stratégie de contrôle ROT repose sur la mise en place d’un « système de surveillance des données » intuitif. Il doit pouvoir suivre qui a accédé à quelles informations et quand, tout en réduisant le stockage inutile et en respectant des réglementations telles que le GDPR ou HIPAA.

Ce type de gouvernance des données est particulièrement important car il dépasse la simple sécurité, constituant également une condition préalable au succès de l’IA. Une étude de l’Université de Drexel montre que 62 % des entreprises retardent l’intégration de l’IA en raison d’une « gouvernance des données faible ». Ward insiste : « Seules des données propres et bien classifiées permettent à l’IA de fournir des résultats fiables. Entraîner des modèles d’IA avec des données de mauvaise qualité n’est pas seulement une perte de puissance de calcul, mais augmente aussi le risque réglementaire. »

Congruity360 propose, pour ses clients allant du Fortune 1000 aux PME, un service DSPM basé sur SaaS. Le DSPM n’est pas seulement un outil d’évaluation des attributs partiels des données, mais aussi un canal de diagnostic simultané de la valeur et du risque de l’information sous deux angles : l’évaluation régulière des données et le nettoyage ROT, l’application de règles de classification prédéfinies, la suppression des sauvegardes inutiles, la réaffectation du stockage selon la sensibilité, et la mise en place de politiques d’élimination centrées sur la durée de vie des données.

Enfin, Congruity360 insiste sur le fait que la gestion ROT doit être intégrée dans les opérations quotidiennes, et non considérée comme un projet ponctuel. Car ROT n’est pas un objectif statique, mais une culture de sécurité à renforcer en permanence. Ward met en garde : « L’erreur humaine reste la principale cause de vulnérabilités. Les comptes d’anciens employés résiduels, les erreurs de classification menant à l’exposition de données sensibles, etc., continuent de se produire. »

En fin de compte, avant de pouvoir exploiter les données, l’IA doit d’abord maîtriser ses risques. Ce n’est qu’en comprenant que la gouvernance peut à la fois conduire au succès ou à l’échec d’un projet d’IA que le « système de sécurité basé sur l’IA » véritable pourra fonctionner. Aujourd’hui, si une entreprise ne parvient pas à évaluer correctement ses données, ses risques ne sont plus une question de probabilité, mais entrent dans le domaine de la probabilité conditionnelle.