La conférence annuelle Isaca Europe de cette année est entièrement consacrée à l’IA, à la gouvernance numérique et à la recherche d’un équilibre entre innovation et contrôle.
Alors que l’IA est directement mise en œuvre et utilisée dans de nombreuses entreprises, ISACA souligne la nécessité d’une responsabilité. « L’IA apparaît aujourd’hui dans chaque conversation », déclare le PDG Eric Prush. « C’est la première forme de technologie qui touche chaque niveau d’une organisation, et c’est assez effrayant. »
De l’audit informatique à la résilience numérique
ISACA, active depuis 55 ans et comptant 190 000 membres dans le monde, a bâti sa réputation autour de quatre piliers : l’audit informatique, la cybersécurité, le risque et la gouvernance. Selon Prush, la mission n’a jamais été commerciale : « Nous ne sommes pas motivés par le profit, mais par l’amélioration des compétences des professionnels, et indirectement des entreprises pour lesquelles ils travaillent. »
L’organisation répond aujourd’hui à la croissance extrême des applications d’IA avec deux nouvelles certifications : AI Audit (AAIA) et AI Security Management (AAISM). Celles-ci doivent apprendre aux auditeurs et aux gestionnaires de sécurité à évaluer les algorithmes en termes de fiabilité et de risque. « Nous étions les premiers sur le marché », déclare Prush. « Nos examens sont conçus selon les normes nationales américaines (ANSI). Croyez-moi, ils sont difficiles. Beaucoup de participants ne réalisent qu’en étudiant combien ils ne savent pas encore. »
Complexité européenne
Chris Dimiatriadis, directeur de la stratégie mondiale d’ISACA, décrit un autre problème : l’Europe et ses réglementations. « C’est un monde vaste et diversifié en termes de législation », affirme-t-il. À travers plus de 230 chapitres locaux, ISACA tente de traduire sa vision globale en réalité nationale.
L’organisation est en train de mettre à jour ses cadres bien connus, tels que COBIT et CMMI, pour les aligner sur les nouvelles lois comme DORA, le Cyber Resilience Act et l’AI Act. « Nous relions directement nos formations et certifications aux besoins de ces réglementations », déclare Dimiatriadis. « Mais honnêtement : la réglementation change plus vite que notre cycle de mise à jour de deux à trois ans. »
L’écart de compétences s’accroît considérablement
Dimiatriadis met en garde contre une pénurie imminente de talents spécialisés. « Près de soixante pour cent des organisations européennes déclarent que leurs équipes de cybersécurité sont en sous-effectif, et la moitié est confrontée à des problèmes de rétention. » Cette pénurie ralentit l’adoption de cadres de sécurité. « Tout le monde parle d’IA, mais presque aucune de ces entreprises n’a élaboré une politique d’IA », dit-il. « C’est un grand risque pour une mise en œuvre sûre. »
Dans la même direction
Le président belge Egide Nzabonimana voit les mêmes points sensibles. « Nous manquons de talents et de ressources », a-t-il déclaré. « Cela rend la gouvernance informatique plus difficile : les organisations veulent créer de la valeur, mais manquent de personnes pour le faire. » Son chapitre tente de remédier à cela par des formations et des partenariats avec, entre autres, la Cyber Security Coalition et l’Institut de Protection des Données.
Néanmoins, il remarque que de nombreuses entreprises en sont encore à la phase de découverte. « Elles savent maintenant que l’IA existe… C’est déjà quelque chose », rit Nzabonimana. « Il faut faire beaucoup plus en termes de formation et de méthodologie. Certaines entreprises interdisent simplement l’IA sur le lieu de travail par peur, tandis que d’autres l’abordent mieux en formant et en guidant leurs employés. »
lire aussi
La Belgique, pionnière en matière de réglementation NIS2 : pourquoi ?
La collaboration est cruciale dans ce domaine. « Les parties ne se renforcent pas assez mutuellement », explique-t-il. « La Belgique compte déjà de nombreuses organisations de cybersécurité, du CCB à Vlaio en passant par le nouveau Centre de Cybersécurité de Flandre, mais elles travaillent encore souvent de manière trop isolée. » ISACA essaie de construire des ponts. COBIT est à nouveau mentionné comme cadre. « COBIT a été développé par des experts mondiaux », déclare Nzabonimana. « Les entreprises n’ont pas besoin de réinventer la roue, mais simplement de savoir que ces outils existent. »
Réduire l’écart de connaissances
Aux Pays-Bas, un message similaire se fait entendre, mais avec plus de sobriété. « Nous sommes une association de connaissances pour les professionnels de l’audit informatique, du risque et de la sécurité », a déclaré Dwayne Valkenburg, président d’ISACA Pays-Bas. Son équipe organise des événements de réseautage hebdomadaires pour des centaines de participants, mais lui aussi remarque que la conformité est à la traîne.
« Quand quelque chose de nouveau arrive, comme une réglementation, les organisations réagissent d’abord avec prudence », dit-il. « Les DSI ne sont souvent pas pressés de se conformer d’abord à la réglementation, ils ont d’autres priorités. » Les PME en particulier trouvent les cadres comme COBIT trop complexes. « Pour les grandes organisations, cela reste une base solide », admet Valkenburg, « mais pour les petites entreprises, c’est souvent trop. »
ISACA Pays-Bas tente de dissiper ce sentiment par des collaborations avec des universités et en proposant des formations moins coûteuses. « Nous voulons réduire l’écart de connaissances », explique-t-il. « C’est pourquoi nous proposons des formations avec des réductions et intégrons notre matériel dans les cours académiques. »
IA : productivité ou chaos ?
Prush analyse la transition rapide vers l’IA. « Tout le monde parle d’IA. Chaque opportunité, grande ou petite, est saisie pour des millions de dollars. C’est le chaos. » Sa plus grande préoccupation est cependant la perte de propriété intellectuelle. « Si quelqu’un vole notre contenu et le met dans un grand modèle linguistique, il est perdu à jamais », a-t-il déclaré. « Nous avons investi des millions dans les connaissances. Comment protégeons-nous cela dans un monde où tout est à un clic de nous échapper ? »
Nous devons nous parler plus souvent, car demain tout sera à nouveau différent
Eric Prusch, PDG d’ISACA
ISACA veut influencer la réglementation, mais constate que les gouvernements ont du mal à suivre. « De nombreux pays en sont encore au début. Nous essayons de les aider à connaître les risques en jeu et les mesures qu’ils doivent déjà prendre. » L’organisation collabore avec le Conseil britannique de cybersécurité et la Commission européenne, mais cela reste un processus de longue haleine.