The rapid adoption of artificial intelligence across enterprises—from conversational assistants and document automation to predictive analytics and business copilots—has outpaced organizations’ ability to govern it effectively. The critical question is no longer whether to use AI, but how to secure, integrate, and oversee it, placing the Chief Information Security Officer (CISO) at the center of expectations. Yet the transformation goes far beyond cybersecurity, making it unrealistic for CISOs to shoulder AI risk alone.

Historically, the CISO’s role was to protect infrastructure, access, and sensitive data, focusing on technical risks and cyberattacks. With generative AI, the challenge expands dramatically: AI reshapes usage patterns, accelerates data flows, and even alters internal decision-making. This evolution also disrupts a key cybersecurity pillar—digital identity. Now the primary attack surface, identities multiply through user accounts, cloud access, APIs, and AI agents. The explosion of non-human identities (bots, automated systems) gaining sensitive access at an uncontrollable pace creates a dangerous imbalance between adoption speed and governance capacity.

The CISO is now expected to be more than a technical expert: a coordinator of digital trust, evaluating AI risks, preventing data leaks, supervising internal use, and ensuring regulatory compliance, particularly with new European requirements.

The paradox is that companies still often treat AI as a pure technology or cyber issue, when it is a holistic organizational transformation. Effective governance touches business lines, legal, HR, compliance, IT, and leadership—encompassing data confidentiality, intellectual property, automated decision liability, ethics, and reputation. No CISO can single-handedly define acceptable use, weigh the organizational impact of automation, or bear the full burden of emerging regulations. The lack of clear, shared governance is already fueling “shadow AI”: employees unofficially using AI tools, sometimes with sensitive data, for immediate productivity boosts. These actions are rarely malicious but highlight a widening gap between adoption speed and organizational maturity.

Banning AI tools is unrealistic—it only drives usage underground. Instead, companies must establish clear policies, educate employees, classify data, and distribute governance responsibilities across all functions. AI is fundamentally transforming the security function itself. The CISO must now go beyond protecting systems to fostering digital trust and enabling dialogue among business, legal, HR, and strategic departments. Because AI’s risks extend far beyond the cyber perimeter, only collective governance can effectively address its impact on production, collaboration, and decision-making.

L’intelligence artificielle s’est imposée dans les entreprises à une vitesse sans commune mesure. Assistants conversationnels, automatisation documentaire, analyse prédictive et copilotes métiers se généralisent dans tous les secteurs, souvent plus vite que les capacités d’encadrement des organisations.

Dans ce contexte, la question n’est plus de savoir si l’IA sera utilisée, mais comment elle sera gouvernée, sécurisée et intégrée aux processus internes. Le RSSI se retrouve ainsi au centre des attentes et des responsabilités.

Pourtant, l’essor de l’IA dépasse largement le seul cadre de la cybersécurité. En transformant les usages, les modes de décision et la circulation des données, il rend de moins en moins réaliste l’idée que les RSSI puissent porter seuls les risques liés à l’IA.

Une transformation des risques qui redéfinit le rôle du RSSI

Historiquement, le rôle du Responsable de la Sécurité des Systèmes d’Information consistait à protéger les infrastructures, les accès et les données sensibles. Son périmètre était clairement identifié autour de la prévention des cyberattaques et de la maîtrise des risques techniques.

Mais avec l’essor de l’IA générative, le sujet change de dimension. L’intelligence artificielle ne crée pas seulement un nouveau risque cyber. Elle modifie les usages, accélère les flux de données et transforme parfois même les mécanismes de décision au sein des entreprises.

Cette évolution bouleverse également un pilier majeur de la cybersécurité moderne à savoir l’identité numérique. Aujourd’hui, l’identité est devenue la principale surface d’attaque des organisations. Comptes utilisateurs, accès cloud, API, assistants automatisés et agents IA multiplient les points d’entrée potentiels. Dans de nombreuses entreprises, les équipes sécurité peinent déjà à suivre le rythme de création et de gestion des privilèges.

Le phénomène est encore renforcé par l’apparition massive des identités non humaines. Les agents IA, bots et systèmes automatisés obtiennent des accès à des ressources sensibles à une cadence que les équipes de sécurité ne parviennent plus toujours à contrôler efficacement. Cette multiplication des identités techniques crée un nouveau déséquilibre entre la vitesse d’adoption des usages et la capacité réelle des organisations à les gouverner.

Le RSSI devient ainsi bien plus qu’un expert technique. Il est désormais attendu comme un coordinateur de la confiance numérique capable d’évaluer les risques liés à l’IA, de prévenir les fuites de données, de superviser les usages internes et de contribuer à la conformité réglementaire notamment dans le cadre des nouvelles exigences européennes.

Une gouvernance de l’IA qui doit devenir collective

Le principal paradoxe est que les entreprises continuent souvent de traiter l’IA comme un simple sujet technologique ou cyber alors qu’il s’agit avant tout d’une transformation globale de l’organisation.

La gouvernance de l’IA concerne autant les directions métiers que les fonctions juridiques, les ressources humaines, la conformité, la DSI ou encore les instances dirigeantes. Les enjeux touchent à la confidentialité des données, à la propriété intellectuelle, à la responsabilité des décisions automatisées mais aussi à l’éthique et à la réputation des entreprises.

Dans ce contexte, le RSSI ne peut plus être considéré comme l’unique rempart face aux risques liés à l’IA. Aucun responsable sécurité ne peut à lui seul définir les usages acceptables , arbitrer les impacts organisationnels de l’automatisation ou porter l’ensemble des obligations réglementaires qui émergent aujourd’hui.

Cette absence de gouvernance claire favorise déjà l’émergence d’un phénomène comparable au shadow IT que beaucoup qualifient désormais de « shadow AI ». Des collaborateurs utilisent des outils d’IA sans validation interne et parfois avec des données sensibles dans une logique de gain de productivité immédiat. Ces usages sont rarement malveillants, mais ils révèlent un écart croissant entre la rapidité d’adoption des technologies et la maturité des organisations pour les encadrer.

Interdire les outils d’IA serait illusoire. Les entreprises qui choisiraient une approche uniquement restrictive prendraient le risque de voir les usages se déplacer hors de tout cadre officiel. L’enjeu n’est donc plus de bloquer mais d’organiser. Cela suppose de mettre en place des politiques claires, de sensibiliser les collaborateurs, de classifier les données exploitables et surtout de partager la responsabilité de la gouvernance entre l’ensemble des fonctions de l’entreprise.

L’arrivée de l’intelligence artificielle est en train de transformer en profondeur la fonction sécurité. Le RSSI ne doit plus seulement protéger le système d’information, mais contribuer à la confiance numérique et au dialogue entre les directions métiers, juridiques, RH et stratégiques.

Cette évolution suppose une gouvernance collective de l’IA, car ses risques dépassent largement le seul périmètre cyber. Plus qu’une technologie à sécuriser, l’IA transforme les modes de production, de collaboration et de décision des entreprises.

*Bruno Durand est Vice-président Europe du Sud chez Sophos

The post IA en entreprise : pourquoi les RSSI ne peuvent plus porter seuls le risque appeared first on Silicon.fr.