L’IA au travail : pourquoi les habitudes créent plus de risques que les attaques informatiques

Les employés utilisent déjà l’IA au travail. Le problème, c’est que 57 % d’entre eux cachent cette utilisation à leur employeur, selon une étude mondiale menée en 2025 par KPMG et l’Université de Melbourne sur la confiance envers l’IA.

Cet écart est important. D’un côté, il y a ce que les équipes font vraiment. De l’autre, il y a ce que les dirigeants pensent qu’elles font. C’est souvent dans cet écart que commencent les erreurs évitables avec l’IA.

Après plusieurs années à travailler avec des organisations sur les risques humains en cybersécurité, j’ai remarqué une chose : les plus grands risques liés à l’IA ne ressemblent pas toujours à ce que les dirigeants imaginent.

Le risque ne vient pas forcément d’un pirate informatique ou d’une attaque complexe. Il vient souvent d’un employé bien intentionné, pressé par une échéance, qui copie-colle la mauvaise information dans le mauvais outil. Au Canada, une étude d’IBM menée en 2025 sur l’IA utilisée sans approbation a montré que 79 % des employés de bureau utilisent maintenant des outils d’IA au travail, mais que seulement une personne sur quatre utilise des outils approuvés par son entreprise.

L’adoption avance plus vite que la gouvernance, et l’écart est encore plus marqué dans les petites et moyennes entreprises.

La bonne nouvelle : la plupart des erreurs liées à l’IA viennent des habitudes. Elles peuvent donc être corrigées.

Les erreurs du quotidien qui causent le plus de dommages

Les erreurs les plus fréquentes sont souvent très banales.

Une personne copie-colle un document interne dans un outil d’IA public pour améliorer le texte. Ce document peut être une plainte client, une proposition en brouillon ou des notes de réunion.

Quelqu’un téléverse une feuille de calcul complète alors qu’un seul paragraphe aurait suffi pour répondre à la question.

Une autre personne assume que tous les outils d’IA protègent les données de la même façon et ne connaît pas la différence entre un outil approuvé par l’entreprise et la version publique d’une même marque.

Derrière tout cela, il y a la pression des délais. L’indice d’adoption de l’IA générative de KPMG Canada a révélé que les utilisateurs gagnent de une à cinq heures par semaine grâce à l’IA. Ce gain de temps est réel, et c’est précisément pour cela que la prudence cède souvent la place à la facilité dans le feu de l’action.

À quoi ressemblent vraiment les données sensibles au travail

Quand on parle de données sensibles, on pense souvent aux mots de passe, aux informations bancaires ou aux dossiers médicaux. Mais dans la plupart des entreprises, les informations les plus risquées sont celles qui semblent ordinaires :

Noms, courriels et adresses de clients; propositions de prix et soumissions; conversations et rétroactions RH; notes sur le pipeline de vente; prévisions financières; brouillons juridiques et contrats; code source et feuilles de route produit.

À l’échelle mondiale, près de la moitié des employés ont déjà téléversé des données d’entreprise dans des outils d’IA publics, souvent dans le cadre de tâches courantes (KPMG/University of Melbourne, 2025). Pour les entreprises québécoises assujetties à la Loi 25, les risques sont bien concrets : chaque dossier client téléversé peut devenir un enjeu de conformité.

Pris séparément, ces éléments ne semblent pas dramatiques. Ensemble, ils révèlent comment l’entreprise fonctionne, qui sont ses clients et où se trouvent ses vulnérabilités.

À quoi cela ressemble dans une petite entreprise

Imaginez un détaillant eCommerce de 20 personnes. La responsable du service client est submergée par les demandes de remboursement. Pour aller plus vite, elle téléverse une feuille de calcul dans un outil d’IA public et lui demande de repérer les tendances dans les remboursements et de rédiger des modèles de réponse.

Le fichier contient les noms des clients, leurs adresses, les montants de commande, l’historique d’achat et les notes de plainte. Il n’y a pas de pirate informatique. Pas de rançongiciel. Pas d’alerte.

Mais des données clients sensibles ont maintenant quitté l’environnement de l’entreprise, et la direction ne le saura probablement jamais.

Qu’aurait-elle pu faire à la place ?

Quelques petits ajustements auraient éliminé le risque : retirer les noms et les adresses avant le téléversement, partager seulement les colonnes utiles à la question, comme les raisons de remboursement et les montants de commande, et utiliser la plateforme d’IA approuvée par l’entreprise plutôt qu’un outil public.

Ne mettez pas de données réglementées, clients, RH, financières, juridiques ou confidentielles dans des outils publics. Si l’utilisation d’un outil public est inévitable, réduisez les données au strict minimum, anonymisez-les, et utilisez les paramètres de confidentialité seulement comme protection supplémentaire.

Le travail est tout de même fait en 20 minutes. Les données restent dans l’entreprise.

Un cadre pratique à appliquer dès demain

Vous n’avez pas besoin d’un programme formel pour réduire fortement les risques liés à l’IA. Il vous faut trois habitudes et un réflexe.

1. Retirez d’abord les éléments d’identification.

Supprimez les noms, numéros de compte, adresses et références confidentielles avant de rédiger un prompt.

2. Partagez moins, posez de meilleures questions.

Au lieu de téléverser un fichier complet, posez une question plus précise avec l’extrait pertinent. La qualité de la réponse de l’IA s’améliore souvent grâce à cela. Par exemple, au lieu de téléverser un contrat entier et de demander « Peux-tu le réviser ? », collez seulement la clause pertinente et demandez : « Peux-tu résumer les conditions de renouvellement dans ce paragraphe ? »

3. Utilisez par défaut les outils approuvés.

Si votre entreprise dispose d’une plateforme d’IA interne ou autorisée, commencez par celle-là. Si ce n’est pas le cas, c’est une discussion à avoir avec la direction.

Le réflexe qui relie ces habitudes tient en une seule question, à se poser silencieusement avant de cliquer sur envoyer : Serais-je à l’aise d’envoyer exactement ce contenu par courriel à un tiers externe ?

Si la réponse est non, réécrivez le prompt ou arrêtez-vous. Cette simple pause évite plus d’incidents que bien des contrôles techniques.

Une politique d’IA d’une page suffit

Les petites entreprises n’ont pas besoin d’un document de 20 pages. Elles ont besoin d’un guide d’une page que les gens liront vraiment. Un bon point de départ couvre les usages permis, les usages restreints, les outils approuvés, la révision humaine et l’escalade.

Usages permis : rédaction, idéation, résumé de contenu non sensible. Usages restreints : données clients, dossiers RH, informations financières, contrats, identifiants, code propriétaire. Les outils approuvés doivent être nommés explicitement. Le contenu généré par l’IA doit être relu avant d’être envoyé ou publié. Le guide doit aussi préciser la personne à contacter en cas de doute.

Si une politique est trop complexe, elle sera ignorée. Si elle tient sur une page, elle sera utilisée.

L’aspect culturel que la plupart des entreprises oublient

Les politiques et les outils comptent, mais la culture d’entreprise détermine ce qui se passe vraiment. Quand les employés craignent d’être blâmés, ils cachent leur utilisation de l’IA. Derrière le taux de dissimulation de 57 %, il y a souvent un manque de clarté de la part des dirigeants. Les équipes qui remercient les personnes qui demandent « Est-ce que je peux utiliser ça ? » détectent les problèmes plus tôt.

Aujourd’hui, savoir utiliser l’IA devient aussi important au travail que savoir se servir d’Internet l’était il y a 20 ans. Les organisations qui développent ces habitudes maintenant, avant qu’un incident ne force la conversation, seront mieux protégées. Elles gagneront aussi en efficacité, sans compromettre la confiance des clients.

Les outils peuvent soutenir ces habitudes à grande échelle, mais ils ne peuvent pas les remplacer. La priorité reste de créer des comportements clairs autour de ce que les équipes partagent, vérifient et approuvent lorsqu’elles utilisent l’IA.

Dans un prochain article, nous nous pencherons sur les agents IA. Les mêmes principes s’appliquent, mais les risques et les conséquences prennent une toute autre ampleur.

Sanitized AI est une plateforme de sécurité qui aide les organisations à adopter les outils d’IA de façon sécuritaire en détectant et en masquant les contenus sensibles avant qu’ils ne quittent l’environnement de l’entreprise.