B. LES ENTREPRISES SONT INÉGALEMENT PRÊTES À INTÉGRER CETTE TECHNOLOGIE DE RUPTURE
1. Le développement fulgurant de l'IA générative bouscule les acteurs traditionnels du numérique
a) Un risque de verrouillage du marché de l'IA par les hyperscalers
Avec un chiffre d'affaires cumulé dépassant les 2 000 milliards de dollars, près de 500 milliards de bénéfices et une capitalisation boursière cinq fois supérieure à celle du CAC 40, les cinq géants américains105(*) atteignent une puissance sans précédent.
Ils bénéficient d'un accès privilégié à l'ensemble des intrants nécessaires au développement de modèles de fondation. Au-delà de leur puissance financière leur permettant de conclure notamment de nombreux partenariats, ils ont, en amont, un accès facilité à la puissance de calcul nécessaire, un accès privilégié aux données et la capacité d'attirer les meilleurs talents. Ils peuvent, en aval, utiliser leurs canaux de diffusion pour déployer leurs solutions d'IA (par exemple, les suites bureautiques).
Ils ont par ailleurs noué des partenariats avec des acteurs émergents du secteur qui leur permettent une intégration horizontale des processus de production de l'IA.
Tous ces facteurs réunis constituent un obstacle considérable à l'entrée et à l'expansion de concurrents sur le marché, et les avantages dont bénéficient les grandes entreprises, peuvent entraîner des risques pour la concurrence106(*).
b) Une fragilisation du secteur des logiciels par les hyperscalers
L'annonce, le 30 janvier 2026, de nouvelles fonctionnalités de Claude, l'outil d'IA de la startup Anthropic, capables de coder et d'exécuter des tâches de bout en bout, a déclenché un tsunami boursier emportant près de 300 milliards de dollars (253 milliards d'euros) de valorisation pour des acteurs comme Salesforce, SAP, Oracle, Adobe, ServiceNow, Intuit, Tyler, Zendesk, notamment. Microsoft a perdu à lui seul près de 380 milliards de dollars de capitalisation sur une à deux séances après ses résultats, malgré une croissance très solide de son chiffre d'affaires dans le cloud et l'IA.
Certains évoquent la possible fin du modèle du software as a service (« logiciel en tant que service »), des applications professionnelles hébergées en ligne et utilisées dans presque toutes les entreprises, pour gérer toutes sortes de fonctions et tâches administratives. Ces dernières risqueraient d'être remplacées par des outils d'intelligence artificielle (IA).
Pour Pascal Brier, directeur de l'innovation de Capgemini, qu'« après avoir « mangé le monde », le logiciel est désormais mangé par l'IA »107(*), en référence à la prophétie énoncée, en 2011, par l'investisseur de la tech Marc Andreessen, « software is eating the world ».
c) Une compétition entre MAAAM (ex-GAFAM) et startups de l'IA
Pour certains analystes108(*), les géants du numérique seraient des colosses au pied d'argile.
Les GAFAM (Google Apple Facebook Amazon Microsoft), qui sont devenus les « MAAAM » suite aux changements de dénomination des entreprises et à l'arrivée de nouveaux acteurs (Microsoft Apple Amazon Alphabet Meta) auxquels se sont adjointes trois nouvelles entreprises, Broadcom, Tesla et Nvidia, capitalisent à elles huit les 20 000 milliards de dollars.
L'architecture de l'économie numérique s'est en effet construite « sur une technologie qui favorisait la centralisation des données, avant la concentration du capital. En 1969, la révolution d'Internet reposait sur un principe d'horizontalité qui faisait que chacun pouvait être tour à tour émetteur et récepteur : son protocole était dit P2P, pair-à-pair. Mais la généralisation de l'usage du réseau a été liée à l'adjonction, en 1989, d'une couche logicielle facilitant le recours au numérique par le très grand public, le Web. Fondé sur un modèle client-serveur, concentrant l'intelligence et les données sur les principaux noeuds du réseau, le Web avait l'avantage d'ouvrir Internet à des utilisateurs peu formés et équipés d'outils simples d'emploi comme les smartphones. Cette architecture a cependant engendré un retour à la centralisation »109(*).
L'IA ouvre au contraire les perspectives d'une décentralisation des données, « même si les modèles actuels d'IA générative ont bénéficié de la centralisation des données pour s'entraîner, ils permettent une telle simplification des interfaces qu'il devient à nouveau possible de décentraliser l'intelligence et les données au niveau des utilisateurs finaux ».
Par ailleurs, alors que le développement du numérique a été financé par une captation du marché mondial de la publicité, ce marché semble limité110(*) pour trouver des modèles de rentabilité adaptés à la diversité des secteurs d'activité de l'IA : industries manufacturières, chimie, transport, énergie, agriculture, industries créatives, économie circulaire, services publics.
D'autres estiment en revanche que si le modèle économique des éditeurs de logiciels est bousculé, car facturer comme aujourd'hui un abonnement mensuel par employé utilisateur serait davantage pertinent que facturer au forfait des agents IA au nombre de tâches ou de requêtes dans les centres de données, donc des coûts, les entreprises du logiciel ne seront pas forcément perdantes. Elles participent au contraire à la révolution IA. Adobe111(*) a ainsi intégré ses propres modèles d'IA, ainsi que ceux des principaux fabricants, dans sa suite de création d'images fixes et de vidéos Firefly.
Les entreprises pourraient garder seulement certaines fonctions des grands logiciels, et en confier d'autres à des agents IA issus de fabricants externes ou produits en interne.
1. Les risques de pénuries pourraient ralentir le déploiement de l'IA
Si, à moyen terme, la pénurie d'électricité peut freiner le développement de la tech, la pénurie de puces de mémoire vive suscite à court terme des tensions sur les marchés et entre entreprises en IA.
a) Une consommation électrique mondiale supérieure à celle de la France
La course à la puissance de calcul entraîne la construction de data centers et engendre des besoins croissants en énergie électrique.
Les tâches informatiques nécessaires à la mise en oeuvre de l'IA requièrent l'usage de terminaux utilisateurs (ordinateurs, téléphones, etc.) et surtout de centres de données. On en recense actuellement plus de 8 000 à travers le monde, dont 33 % se situent aux États-Unis, 16 % en Europe et près de 10 % en Chine d'après l'Agence internationale de l'énergie (AIE).
Les centres de données, les cryptomonnaies et l'intelligence artificielle représentaient presque 2 % de la consommation électrique mondiale en 2022, soit une consommation électrique de 460 TWh. En comparaison, la consommation électrique française s'est élevée à 445 TWh en 2023.
L'IA générative générant du texte, des images ou encore des conversations nécessitent beaucoup de ressources de calcul et sont donc très consommatrices en électricité. Les interactions avec des IA comme ChatGPT pourraient consommer 10 fois plus d'électricité qu'une recherche Google classique d'après l'AIE.
Si toutes les recherches Google (9 milliards chaque jour) s'appuyaient sur ChatGPT, 10 TWh d'électricité supplémentaires seraient consommés chaque année.
L'Agence internationale de l'énergie estime qu'en 2026, la hausse de la consommation électrique des centres de données, des cryptomonnaies et de l'IA pourrait s'élever entre 160 et 590 TWh par rapport à 2022, soit l'équivalent de la consommation électrique de la Suède (estimation basse) ou de l'Allemagne (estimation haute).
(1) La question énergétique aux États-Unis
Aux États-Unis, la demande d'électricité devrait augmenter de 25 % d'ici à 2030 et de 78 % d'ici à 2050, par rapport à 2023, entraînant des hausses de prix de 15 % à 40 % d'ici à 2030.
L'Agence américaine d'information sur l'énergie (Energy Information Administration, EIA) prédit qu'après avoir stagné pendant vingt ans la consommation d'électricité américaine devrait augmenter de 2,2 % en 2025 puis 2026. Sur dix ans, la hausse de la consommation devrait être de 27 %. Selon le ministère de l'énergie, les centres de données devraient consommer entre 6,7 % et 12 % de l'électricité des États-Unis d'ici à 2028, contre 4,4 % en 2023.
On assiste ainsi a à un fort développement de l'industrie nucléaire aux États-Unis : relance du deuxième réacteur arrêté depuis 1979 sur le site de Three Mile Island, en Pennsylvanie, projets de constructions de petits réacteurs nucléaires (small modular reactor). L'arrêt par l'administration Trump du secteur des énergies renouvelables conduit les entreprises de l'IA à se tourner vers le gaz naturel. Plus inhabituel, les centres de données peuvent également être alimentés par des turbines d'avion, créant une tension sur la chaîne d'approvisionnement.
Le réseau électrique américain n'est toutefois pas à la hauteur des enjeux et a besoin d'une mise à niveau technique urgente et massive. New York, la Californie et le Texas ont connu des pannes du réseau électrique, jusqu'à trois jours de black out dans certains quartiers de San Francisco.
Conséquence de cette explosion de la demande énergétique, les prix de détail ont déjà progressé de 6 % en moyenne en 2025 aux États-Unis avec des hausses spectaculaires comme +19 % dans le New Jersey. Les prix de gros devraient atteindre 51 dollars / MWh en 2026 (contre 47 dollars / MWh en moyenne en 2025).
L'administration Trump a ainsi passé un accord avec les grandes entreprises de la tech (Google, Microsoft, Meta, Oracle, xAI, OpenAI et Amazon) pour financer de nouvelles capacités en cas d'implantation d'un centre en les obligeant de prendre en charge les coûts éventuels de modernisation du réseau électrique afin de ne pas répercuter une hausse des coûts sur les consommateurs. Les entreprises de l'IA négocieront aussi directement avec les opérateurs locaux des conventions spécifiques, qui incluront des tarifs individualisés et la contribution de leurs propres ressources électriques disponibles en cas de tensions sur le réseau.
(2) En France, les cinq scénarii de l'ADEME
L'ADEME a modélisé en janvier 2026 cinq scénarios d'évolution de la consommation électrique des data centers d'ici 2060112(*).
On recense aujourd'hui 352 data centers en activité en France. Leur consommation électrique totale est de 10 térawattheures (TWh) par an113(*). En 2025, la consommation électrique totale en France s'élevait à 449 TWh. Les data centers représentent donc à eux seuls 2,2 % de cette consommation annuelle, soit l'équivalent de l'électricité consommée par 9 à 10 agglomérations de plus de 100 000 habitants pendant un an.
L'étude souligne que la trajectoire actuelle se traduira par une hausse rapide des émissions de gaz à effet de serre et par des tensions accrues sur les ressources énergétiques, hydriques et foncières. Elle pourrait créer une contrainte majeure sur le système électrique français, largement exportateur d'électricité depuis plusieurs années. Dans ce scénario, la consommation d'électricité induite par les usages français pourrait être multipliée par 3,7 d'ici 2035. Près des deux tiers de cette consommation auraient lieu à l'étranger, dans des pays dans lesquels les mix électriques sont en moyenne beaucoup plus carbonés qu'en France. Cette perspective apparaît « difficilement compatible » avec les objectifs climatiques.
Quatre scénarii sont proposés : la réduction de la demande numérique, avec « une sobriété numérique assumée », l'organisation et la priorisation des usages en fonction de leur utilité sociale, environnementale ou sanitaire (par exemple, récupération de la chaleur des data centers), l'innovation en misant sur l'efficacité énergétique et l'utilisation d'un mix électrique bas-carbone pour compenser par des solutions technologiques une forte hausse de la consommation électrique des data centers qui accentue notre dépendance aux infrastructures hors du territoire national.
b) Une pénurie de matériel « tech », mais aussi « classique » pour l'IA
La croissance de l'IA est telle que le secteur commande trop de composants mémoire pour ses infrastructures d'IA, plus que ce que le marché peut produire.
Les entreprises d'IA absorbent la DRAM (Dynamic Random Access Memory), composant élémentaire de toute architecture informatique, mais également les GPU, au détriment des autres secteurs. La raison principale tient à une logique de profit par gigaoctet. Les modèles intégrant davantage de mémoire deviennent moins intéressants pour les fabricants lorsqu'ils réduisent leurs marges.
Cette explosion du besoin en DRAM procéderait de la nécessité nouvelle d'avoir beaucoup de mémoire dans les serveurs pour charger des modèles d'IA dont la taille (plusieurs dizaines de Go chacun) dépasse de loin celle des applications web classiques. Les besoins en inférence, soit l'utilisation par des entreprises d'une IA préentraînée, seraient encore plus importants.
Les prix de la RAM DDR5114(*) ont très fortement augmenté, avec des hausses allant jusqu'à +172 % en un an selon les dernières données du marché115(*). Cette pénurie mondiale, alimentée principalement par la demande colossale en intelligence artificielle, bouleverse complètement l'écosystème des PC et risque de perdurer jusqu'en 2026, voire au-delà116(*). Les prix contractuels DRAM ont augmenté de 40 à 60 % dès le troisième trimestre 2025. Cette hausse en amont se répercute mécaniquement sur le grand public avec un effet retard. La hausse concerne également les SSD117(*).
À ces tensions physiques s'ajoutent des incertitudes sur le risque de dépréciation des puces spécialisées (principalement GPU) en raison des variations sur l'estimation de leur durée de vie, 2 à 3 ans pour les plus pessimistes, selon une étude de Princeton d'octobre 2025118(*). Des incertitudes existent aussi sur leur rentabilité au-delà de la phase d'entraînement et sur la capacité de déploiement des centres de données, très sensible à des goulots d'étranglement externes (construction, accès à l'énergie, réglementation).
La création de valeur pourrait in fine se concentrer moins dans les actifs capitalistiques (modèles et infrastructures) que dans les cas d'usage et leur monétisation encore peu identifiés, ouvrant la perspective de réallocations de valorisation entre entreprises.
En effet, la structure actuelle de la demande en calcul, est aujourd'hui très largement portée par l'entraînement des modèles, qui représenterait jusqu'à 80 % des besoins, lesquels sont concentrés dans les premières années et ont vocation à diminuer une fois les modèles déployés. L'usage courant de l'IA repose davantage sur l'inférence, moins intensive en équipements. À moyen terme, certains grands acteurs anticipent ainsi un basculement progressif, l'inférence devenant majoritaire à l'horizon 2030. Dans ce contexte, la capacité des puces et des centres de données conçus pour l'entraînement à être réutilisés pour d'autres usages apparaît déterminante pour la rentabilité d'investissements qui se chiffrent en centaines de milliards de dollars.
Ces tensions se répercutent sur les autres segments de la tech, comme l'informatique grand public119(*) (les smartphones) ou le secteur du jeu, moins lucratif, mais également sur marchés traditionnels qui incorporent des puces dans leurs processus de production, comme l'automobile.
Cette pénurie affecte également la demande de transformateurs électriques, lesquels subissent par ailleurs les tensions des marchés de l'acier électrique ou du cuivre.
2. Les entreprises « classiques » et l'IA entre conversion et résistance
a) Une appropriation rapide de l'IA par les PME
Le retard était réel, mais l'accélération en cours est spectaculaire. L'enquête TIC 2024120(*) de l'INSEE révélait que seulement 10 % des entreprises françaises de plus de 10 salariés utilisaient au moins une technologie d'IA en 2024 -- en progression de quatre points en un an, mais encore inférieur à la moyenne européenne de 13,5 %, les pays leaders étant le Danemark (28 %) et la Belgique (25 %). La Commission européenne, dans son rapport Digital Decade 2025121(*), pointait spécifiquement le retard des PME françaises, avec un taux d'adoption de 9,2 %.
L'accélération est désormais tangible. Selon l'étude de conjoncture122(*) de Bpifrance Le Lab de janvier 2026123(*), 55 % des TPE-PME utilisent désormais des IA génératives, contre 31 % un an plus tôt, soit un quasi doublement en un an, et seulement 15 % fin 2023.
En particulier, 17 % l'utilisent régulièrement (+11 points sur un an) et 37 % occasionnellement. 13 % prévoient d'y recourir prochainement et 32 % n'ont aucune intention d'y recourir dans un avenir proche (-19 points sur un an, -40 points en deux ans).
L'IA générative est de plus en plus utilisée pour la recherche et l'analyse de données et d'informations (67 %, soit +10 points sur un an). Le principal usage reste la génération de contenus écrits (72 %, +3 points). L'IA générative est ensuite utilisée principalement pour la traduction (34 %) et la génération de visuels (29 %), puis pour la relecture et/ou la vérification de conformité (22 %, soit + 6 points sur un an).
Source : Bpifrance, Livre blanc : l'IA, une révolution technologique pour les PME
Une autre étude124(*), publiée en avril 2026 par Amazon et Strand Partners, indique que 19 % des entreprises françaises auraient déployé des outils d'IA avancés dont l'IA agentique. « La progression est réelle, mais la France reste en deçà de la moyenne européenne de 54 %, et la plupart des entreprises en sont encore à un stade précoce. Au rythme actuel, il faudrait attendre 2035 pour que même la moitié des entreprises utilisant l'IA atteignent un niveau d'intégration avancé. Un délai qui met l'accent sur l'urgence d'accélérer », alors que la transition d'un usage basique à un usage avancé pourrait générer 30,1 milliards d'euros de valeur ajoutée brute d'ici 2030.
b) Une résistance à l'adoption de l'IA dans 32 % des PME et TPE
Si l'IA est de plus en plus utilisée dans l'entreprise, certains de ses utilisateurs s'en méfient.
Le taux d'adoption de l'IA par les entreprises reste toutefois environ deux fois inférieur à celui constaté dans les pays européens les plus avancés. Selon Eurostat, environ 18% des entreprises françaises (de plus de 10 salariés, et hors secteur financier) utilisaient l'IA en 2025, contre 20 % en moyenne en Europe, loin derrière le Danemark (42 %), la Finlande (38 %), ou la Suède (35 %).
La grande majorité des TPE-PME qui n'utilisent pas l'IA générative et ne prévoient pas d'y recourir à court terme, n'identifient pas d'usage au sein de leur entreprise (65 % d'entre elles).
L'étude KPMG-Université de Melbourne de 2025125(*) confirme que la France se situe parmi les pays les plus méfiants avec seulement 33 % de confiance contre 46 % au niveau mondial, et 61 % d'acceptation de l'IA contre 72 % dans le monde. Ce paradoxe est d'autant plus frappant que 67 % des Français déclarent utiliser régulièrement l'IA.
Ainsi, le baromètre IA de l'ESSCA et de Forvis Mazars de mars 2026126(*) estime que si 20 % des PME françaises proposent à leurs salariés une formation à l'IA, 57 % des PME britanniques le font. Le retard est comparable pour les ETI (49 % en France contre 80 % en Grande-Bretagne) et pour les grandes entreprises (61 % contre 82 %).
Plusieurs facteurs expliquent cette défiance spécifiquement française. La perception des risques l'emporte sur celle des bénéfices pour 41 % des Français, soit un ratio inversé par rapport à la moyenne mondiale. La désinformation générée par l'IA est une préoccupation majeure : 50 % des Français déclarent y avoir été confrontés et 87 % réclament des lois pour y faire face. Sur ce sujet, une commission d'enquête a été créée au Sénat sur la régulation de l'information dans l'espace numérique127(*).
Plus profondément, la tradition française de pensée critique, la sensibilité historique aux questions de libertés publiques et de protection des données, et une habitude médiatique mettant davantage l'accent sur les risques que sur les opportunités, contribuent à un terrain culturel moins réceptif que dans les économies émergentes, où l'IA est davantage perçue comme une chance de rattrapage économique.
L'impact de cette défiance sur le monde de l'entreprise est direct. L'adoption de l'IA est plus lente, la résistance au changement plus forte, avec une prudence excessive des dirigeants de PME. Elle constitue un frein à la compétitivité dans un contexte où les pays émergents, plus confiants, accélèrent leur adoption.
Pour briser ce cercle vicieux, l'effort doit porter simultanément sur la formation (qui réduit l'incertitude), la démonstration concrète des bénéfices, le renforcement du cadre réglementaire et la transparence des systèmes. L'accélération récente de l'adoption (- 19 points d'entreprises réfractaires en un an) suggère que la dynamique est en train de s'inverser.
« Sans socle digital ni données fiables, ces dirigeants ratent le coche de l'IA, et hypothèquent leur compétitivité future » selon l'étude de Le Lab Bpifrance128(*).
Leur résistance prend deux formes distinctes : d'un côté, des dirigeants sceptiques (27 %), animés par une opposition existentielle à l'IA, et de l'autre, des dirigeants bloqués (26 %), paralysés par un manque de compétences.
L'implication personnelle du dirigeant est déterminante dans le déploiement de l'IA générative dans l'entreprise. Elle est étroitement corrélée à son utilisation par le dirigeant lui-même. Or, ce dernier peut se heurter au manque de soutien de son réseau et de ses collaborateurs. Il peut se sentir personnellement insuffisamment formé à l'IA.
Une fracture générationnelle s'installe. Les dirigeants jeunes et diplômés de formations longues prennent une longueur d'avance dans la course à l'IA. Ils sont surreprésentés parmi les profils « expérimentateurs » (28 %) et « innovateurs » (19 %), déjà engagés dans l'exploration et l'implémentation de solutions. Par ailleurs, les femmes dirigeantes d'entreprise se trouvent significativement en retrait dans l'adoption de l'IA.
Pour Bpifrance : « ces inégalités soulignent l'urgence d'une stratégie d'accompagnement sur mesure, tenant compte des appétences technologiques de chaque profil de dirigeant, afin que chacun(e) puisse tirer parti de la révolution IA ».
c) Des craintes à dissiper
(1) Des failles de cybersécurité facilitées par le « shadow IA »
Dans les entreprises, l'IA se diffuse « par le bas », de manière informelle et non sécurisée, créant un « shadow AI ». Par ailleurs, l'autonomie des agents élargit considérablement la surface d'attaque des entreprises.
La progression fulgurante de l'adoption d'IA générative dans les TPE-PME (55 % fin 2025 contre 31 % un an plus tôt) rend d'autant plus urgente la sécurisation de ces usages.
Seuls 9 % des salariés ont accès à un outil mis à disposition par leur entreprise et 15 % sont formés, 73 % estimant ne pas avoir les connaissances suffisantes. Ces écarts révèlent un décalage préoccupant entre la réalité des usages et l'encadrement institutionnel.
À partir de cette utilisation professionnelle non contrôlée de l'IA, et en particulier de ses moteurs de recherche « grand public » par les salariés, les modèles d'IA peuvent retenir des données saisies par les utilisateurs (« model leakage ») et potentiellement les reproduire dans d'autres contextes.
Les salariés peuvent, souvent sans le savoir, transmettre à des outils externes des informations stratégiques : code source, données clients, résultats de recherche, plans produits... Ces données peuvent être stockées sur des serveurs étrangers, utilisées pour l'entraînement des modèles, ou exposées à des tiers. En l'absence de contrôle, les risques de fuite, d'espionnage ou de perte de propriété intellectuelle deviennent majeurs.
Par ailleurs, le traitement non maîtrisé de données personnelles ou réglementées via des outils d'IA non certifiés expose l'entreprise à des violations de lois telles que le RGPD et l'IA Act129(*). Sans documentation ni traçabilité, il devient impossible de démontrer la conformité exigée par les régulateurs ou les partenaires contractuels, les violations étant potentiellement sanctionnables, jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial selon l'IA Act ou jusqu'à 4 % du chiffre d'affaires mondial pour la violation du RGPD, sans évoquer les éventuelles poursuites civiles, pertes de contrats ou d'appels d'offres.
Un incident public lié à cette utilisation non contrôlée peut par ailleurs nuire gravement à la réputation et à la confiance des clients de l'entreprise et saper la gouvernance globale des données et des modèles, encore plus coûteuses que les sanctions des régulateurs.
Pour y remédier, l'enjeu n'est pas d'espionner les employés, mais de créer et de rendre les risques visibles.
Les bonnes pratiques incluent : l'analyse anonymisée des connexions réseau vers des services IA connus, le déploiement d'outils130(*) capables de repérer des transferts non autorisés, la mise en place de canaux de déclaration volontaire (« registre d'usage IA ») où les employés peuvent signaler des expérimentations sans risque disciplinaire, la création de « IA Labs » internes où les équipes peuvent tester librement dans un cadre sécurisé ; la mise en place des processus de validation rapides pour les outils prometteurs (sécurité, éthique, juridique) ou enfin la « Compliance by Design », intégrant la conformité dès la conception des projets IA.
(2) Une augmentation des cyberattaques pilotées par l'IA
Selon l'ANSSI (Agence nationale de la sécurité des systèmes d'information), les cyberattaques ont augmenté de 15 % en 2024. Parmi les victimes, les entreprises sont particulièrement touchées. Ainsi, TPE, PME, ETI représentent 37 % des victimes et les entreprises stratégiques131(*) 12 %.
L'IA est devenue un outil attractif pour les hackers qui peuvent mettre en place des stratégies avancées pour trouver les mots de passe des utilisateurs avec des attaques par force brute testant des milliards de combinaisons en quelques secondes. « Les progrès de l'IA pour rechercher des vulnérabilités dans les briques logicielles, propriétaires comme open source, sont sans précédent » a relevé le Conseil de l'IA et du numérique dans une note d'avril 2026132(*). Ainsi, Anthropic a-t-il refusé de diffuser son nouveau modèle, Mythos, « le jugeant trop efficace pour risquer de le voir tomber entre les mauvaises mains », ce qui peut par ailleurs constituer une stratégie marketing133(*).
Les failles de cybersécurité exploitées par les IA peuvent être :
· L'empoisonnement des données : falsification des données d'apprentissage ou altération du modèle d'IA. Le système ne renseigne pas certaines entrées comme il devrait le faire. Cela peut permettre à un hacker de faire croire au système qu'une attaque n'en est pas une ;
· L'extraction des données : cette attaque donne lieu à une récupération des données confidentielles dans le modèle d'IA après la fin de sa phase d'apprentissage ;
· L'évasion : cette manipulation de l'IA conduit à une altération des données d'entrée du système. Cela permet de modifier son fonctionnement. Cette compromission du système représente un vecteur d'attaques non négligeable.
La réglementation pour encadrer l'utilisation de l'IA repose sur deux textes. Tout d'abord, la directive Network and Information Security NIS 2 du 14 décembre 2022134(*), qui identifie les entreprises et administrations à risque, en fonction notamment de leur taille et de leur secteur d'activité et les oblige à mettre en place un certain nombre de mesures135(*) et signaler tout incident et fournir un rapport complet sur l'évolution de la situation. Ensuite, l'IA Act136(*), qui vise aussi à encadrer l'usage des modèles d'IA. Les mesures à mettre en place vont de l'interdiction totale des IA représentant une atteinte aux droits fondamentaux et à la sécurité des citoyens à une simple surveillance.
Les modèles d'IA génératives sont difficiles à classer en fonction de leur niveau de risques, car ils accomplissent souvent de multiples tâches. Cependant, l'IA Act propose de mettre en place des mesures d'atténuation des risques en fonction de la puissance de ces modèles. Il alerte notamment sur l'utilisation de l'IA à mauvais escient pour lancer des cyberattaques.
(3) Une cybersécurité renforcée grâce à l'IA
Toutefois, l'IA est également au service de la cybersécurité avec des mesures de prévention efficaces. Elle permet en effet de mettre en place des stratégies de sécurité avancées, notamment la « Zero Trust segmentation »137(*). Le « Zero Trust » consiste en une surveillance continue des réseaux, des utilisateurs et des différents flux de communication.
Cette hausse des cybermenaces implique une prévention accrue, d'autant plus que les attaques deviennent de plus en plus sophistiquées. Or, le principal avantage de l'IA est sa capacité à traiter un grand volume de données en temps réel. Elle peut donc détecter immédiatement les incidents et permettre une réactivité accrue.
Cette stratégie est améliorée par l'usage de l'intelligence artificielle, car elle offre la possibilité d'automatiser tous les contrôles d'accès. Elle peut également être utilisée pour pratiquer la microsegmentation. Il s'agit de créer des microsegments sécurisés de manière indépendante. Cette technique permet d'isoler chaque microsegment et, en cas d'intrusion, d'éviter une propagation de la menace à l'ensemble du système.
L'IA permet également de mieux protéger les données sensibles en sécurisant les différents clouds et les objets de l'Internet of Things (IoT) ou l'Internet des Objets, réseau d'objets connectés qui collectent et échangent des données entre eux, sans intervention humaine. Elle offre donc un bouclier robuste pour protéger les données sensibles.
Comme l'IA utilise également le traitement du langage naturel, elle peut surveiller les sources de données non structurées de l'entreprise, comme les médias sociaux. De plus, elle traduit les données reçues en langage naturel avec davantage de clarté pour les équipes de sécurité. En effet, la gestion des incidents de sécurité automatisée réduit les interventions humaines. Elle peut surveiller les systèmes 24/24 et 7/7 et faire remonter les données. Aussi, les équipes informatiques sont-elles moins sollicitées pour la maintenance et peuvent se focaliser sur des tâches à forte valeur ajoutée.
Enfin, l'IA permet l'amélioration continue des systèmes de cybersécurité grâce au « machine learning » (apprentissage continu) qui permet d'améliorer en permanence la protection des systèmes de sécurité. Chaque nouvelle menace représente potentiellement un apprentissage. Or, comme les cybermenaces évoluent rapidement, cela donne la possibilité au système d'y répondre de manière proactive.
* 105 Google, Apple, Facebook, Amazon et Microsoft.
* 106 « La chaîne de valeur de l'intelligence artificielle : enjeux économiques et place de la France »
Solal Chardon-Boucaud, Arthur Dozias, Charlotte Gallezot, Trésor-Eco, n° 354, Direction générale du Trésor, décembre 2024.
* 107 « L'IA fait souffler un vent de panique sur le secteur géant des logiciels d'entreprise », Vincent Fagot et Alexandre Piquard, Le Monde, 17 février 2026.
* 108 Philippe Lemoine, entrepreneur et essayiste, président du Forum d'Action Modernités, La Grande conversation 20 février 2026).
* 109 Idem.
* 110 Avec 7 à 800 milliards de dollars, soit 0,6 à 0,8 % du PIB mondial.
* 111 Entretien avec Anne Perkins, directrice des relations gouvernementales, à San Francisco, mardi 3 mars 2026.
* 112 « Prospective d'évolution des consommations des data centers à court, moyen et long terme de 2024 à 2060 ».
* 113 Pour rappel, 1 TWh équivaut à 1 milliard de KWh.
* 114 La DDR est une forme de SDRAM (Double Data Rate Synchronous Dynamic Random Access Memory, ou mémoire vive dynamique synchrone à double débit), qui synchronise le transfert de données entre l'unité centrale et la mémoire de votre système informatique. En 2000, la mémoire DDR a été lancée, et en 2014, la quatrième itération de la mémoire DDR a été lancée (DDR4). Chaque itération de la mémoire DDR apporte des améliorations de performance par rapport à son prédécesseur.
DDR5 est la cinquième itération de DDR, doublant la bande passante et la capacité de son prédécesseur. Tout comme les nouvelles générations de processeurs et de cartes graphiques qui augmentent le nombre de coeurs/threads et les vitesses d'horloge, les nouvelles générations de mémoire viennent relever le plafond, permettant aux applications de faire encore plus de choses à la fois et se traduisant généralement par une plus grande efficacité informatique.
* 115 « Pénurie de RAM DDR5 en 2025 : prix en hausse, origines du problème et ce qu'il faut anticiper »,
Wael.K, pausehardware.com, 27 novembre 2025.
* 116 « NAND prices double in six months ; Phison CEO predicts years-long shortages », Siu Han, Taipei
DigiTimes Asia, 10 novembre 2025.
* 117 Les fournisseurs d'infrastructures d'IA préfèrent désormais les SSD aux disques durs pour charger plus rapidement en RAM les dizaines de Go que pèsent les LLM.
* 118 « Lifespan of AI Chips : The $300 Billion Question”, Mihir Kshirsagar, CITP, 15 octobre 2025.
* 119 Avec par ailleurs une vague massive de mises à niveau de parcs PC due à la fin du support Windows 10 en octobre 2025.
* 120 « Les technologies de l'information et de la communication dans les entreprises en 2024 », Insee Première n°2061, juillet 2025.
* 121 « Digital Decade 2025 », Commission européenne, rapport publié le 16 juin 2025.
* 122 La 82e baromètre semestrielle de conjoncture a été réalisée par interrogation de près de 40 000 entreprises de 1 à 249 salariés et analyse d'un échantillon de 4722 réponses reçues entre le 5 novembre et le 2 décembre 2025, par voie postale ou numérique.
* 123 « L'IA dans les PME et ETI françaises : une révolution tranquille », enquête auprès de 1 209 dirigeants, Bpifrance Le Lab, juin 2025.
* 124 « Unlocking France's AI Potential 2026 », étude portant sur 1 000 entreprises et 1 000 citoyens français
* 125 « Trust, Attitudes and Use of Artificial Intelligence : À Global Study 2025 », enquête auprès de 48 000 personnes dans 47 pays, KPMG-Université de Melbourne, juillet 2025.
* 126 « Baromètre IA : entreprise et durabilité 2026 », audition du 24 mars 2026.
* 127 https://www.senat.fr/travaux-parlementaires/commissions/commission-de-la-culture-de-leducation-et-de-la-communication/controle-en-clair/les-zones-grises-de-linformation.html
* 128 « L'IA dans les PME et ETI françaises, Une révolution tranquille », juin 2025.
* 129 L'IA Act impose une classification et une gouvernance rigoureuse des systèmes d'IA selon leur niveau de risque : minimal, limité, élevé ou interdit. Il exige transparence, documentation technique, auditabilité et supervision humaine. Le « shadow AI », par définition, échappe totalement à ces exigences : impossible d'identifier la catégorie de risque du système ; aucune documentation ni évaluation des risques disponibles ; absence de contrôle sur la transparence et la traçabilité ; aucune garantie d'intervention humaine ni d'explicabilité.
* 130 Cloud Access Security Broker (CASB) ou de Data Loss Prevention (DLP).
* 131 Ou opérateur d'importance vitale (OIV) organisation identifiée par l'État comme ayant des activités indispensables à la survie de la nation ou dangereuses pour la population. Pour des raisons de sécurité nationale, la liste des OIV n'est pas publique et il est demandé aux entreprises désignées de ne pas communiquer sur leur implication au dispositif.
* 132 « IA & cybersécurité anticiper aujourd'hui pour maîtriser demain ».
* 133 « Vanter la « dangerosité » de ses modèles s'ils tombent entre de mauvaises mains est une manière habile de mettre en avant leurs performances et de susciter un vif intérêt, y compris du côté des investisseurs ».
* 134 Voir https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32022L2555
* 135 Définir une politique d'analyse de risque et de sécurité pour le système d'information de l'entreprise ; assurer la gestion des incidents ; assurer la continuité des activités, par exemple avec la gestion de sauvegardes ; sécuriser la chaîne d'approvisionnement ; mettre en place des procédures pour évaluer la gestion des risques en matière de cybersécurité ; connaître les principes de base de la cybersécurité et former ses collaborateurs à ces dernières ; utiliser la cryptographie ou le chiffrement ; utiliser l'authentification à plusieurs facteurs ou l'authentification continue ; sécuriser les contrôles aux services de ressources humaines et à la gestion des actifs.
* 136 Voir https://artificialintelligenceact.eu/fr/
* 137 Elle vise à cloisonner les flux réseau entre charges de travail (applications, serveurs, terminaux...), afin de limiter la surface d'attaque et d'empêcher la propagation latérale en cas de compromission. La micro-segmentation est sans doute l'élément le plus important d'une architecture Zero Trust.