Aborder l’intelligence artificielle et la cybersécurité en comité de direction est devenu un passage obligé pour de nombreux DSI et RSSI. Pourtant, c’est aussi l’un des exercices les plus délicats. Non pas parce que les sujets seraient trop complexes, mais parce qu’ils sont souvent abordés avec des registres inadaptés.

Le premier écueil consiste à adopter un discours excessivement technique. Les concepts sont alors précis, parfois brillants, mais ils peinent à trouver un écho. À l’inverse, un discours trop général, nourri de promesses ou de craintes mal contextualisées, peut susciter de l’intérêt sans pour autant permettre une décision éclairée. Entre ces deux extrêmes, il existe un espace exigeant : celui de la clarté.

Parler d’IA et de cybersécurité à un comité de direction ne consiste pas à expliquer comment fonctionnent les algorithmes ou les mécanismes de sécurité. Il s’agit d’expliquer ce qu’ils changent concrètement pour l’organisation. Quels risques nouveaux apparaissent ? Quelles opportunités sont réelles ? Quelles responsabilités en découlent ? Ces questions, simples en apparence, structurent pourtant l’essentiel de la discussion.

Dans ce contexte, le rôle du RSSI est avant tout un rôle de traduction. Traduction des risques techniques en impacts compréhensibles, traduction des promesses technologiques en scénarios réalistes, traduction des incertitudes en choix assumables. Cette posture est d’autant plus importante avec l’IA, dont l’image est souvent façonnée par des discours très polarisés, oscillant entre fascination et inquiétude.

Un point clé consiste à replacer systématiquement l’IA dans une logique de gouvernance. L’IA n’est pas une entité autonome qui viendrait s’imposer à l’organisation. Elle est un outil, conçu, déployé et utilisé dans un cadre donné. Ce cadre doit être explicité : qui décide de son usage, qui en porte la responsabilité, quels sont les mécanismes de contrôle et de remise en question. Tant que ces éléments ne sont pas clairs, la discussion reste abstraite.

Il est également essentiel d’adopter une temporalité adaptée. Les comités de direction raisonnent rarement en termes d’alertes ou d’événements isolés. Ils s’intéressent à des trajectoires, à des tendances, à des risques qui peuvent s’accumuler dans le temps. Présenter l’IA comme une solution miracle ou comme une menace immédiate est rarement pertinent. En revanche, expliquer comment elle modifie progressivement le profil de risque de l’organisation permet d’installer un dialogue plus mature.

Dans cette démarche, les cadres de référence jouent un rôle utile, à condition d’être utilisés avec parcimonie. Des travaux portés par des organismes comme le NIST sur la gestion des risques liés à l’IA offrent un langage commun pour structurer la discussion. Ils permettent de montrer que les questions posées ne relèvent pas d’une inquiétude individuelle, mais d’une réflexion largement partagée au niveau international.

La crédibilité du discours repose aussi sur la capacité à reconnaître les limites. Dire ce que l’on sait, mais aussi ce que l’on ne sait pas encore. Expliquer que certains choix devront être réévalués, que certaines hypothèses pourront évoluer. Cette honnêteté intellectuelle est souvent mieux perçue qu’un discours trop affirmatif. Elle renforce la confiance et ouvre la voie à des décisions plus sereines.

Pour un DSI/RSSI, cet exercice est d’autant plus exigeant lorsqu’il porte une double casquette. Il faut à la fois soutenir l’innovation et en maîtriser les risques. Cette tension ne doit pas être masquée, mais assumée. Elle reflète la réalité de la gouvernance moderne des systèmes d’information. L’IA, à ce titre, agit comme un révélateur. Elle met en lumière la capacité de l’organisation à décider dans l’incertitude.

Parler d’intelligence artificielle et de cybersécurité à un comité de direction, ce n’est donc ni rassurer à tout prix, ni alerter excessivement. C’est créer les conditions d’un choix éclairé. Un choix qui tient compte des enjeux technologiques, mais aussi des responsabilités, des valeurs et de la stratégie de l’organisation. C’est dans cet espace que le RSSI trouve pleinement sa légitimité.

Dans le prochain article, je proposerai une réflexion plus transversale, en revenant sur un sujet souvent sensible : pourquoi la cybersécurité échoue encore trop souvent à être perçue comme un investissement stratégique, malgré des discours de plus en plus matures. Un thème central pour conclure ce premier cycle du blog.