Chaque semaine, un responsable de PME romande ouvre sa messagerie et trouve, parmi ses courriels légitimes, un message qui imite parfaitement le style de son comptable, de son avocat, ou d'un client habituel. Le texte est impeccable, l'adresse presque juste, l'urgence bien dosée. Derrière cette lettre soignée : une attaque générée par intelligence artificielle. Comprendre les fondamentaux de l'IA en entreprise, c'est aussi comprendre pourquoi cette technologie change le rapport aux risques numériques — et ce que cela implique concrètement pour votre organisation.

La cybersécurité n'est plus l'affaire exclusive des grandes entreprises dotées d'une équipe informatique dédiée. Elle est devenue une réalité quotidienne pour le cabinet fiduciaire de quinze collaborateurs, le bureau d'architectes, la clinique dentaire. Et l'IA, en amplifiant à la fois les capacités des attaquants et celles des défenseurs, a redéfini les règles du jeu.

Ce que l'IA change dans le paysage des menaces

Pendant longtemps, le hameçonnage se repérait à ses fautes d'orthographe, ses formulations maladroites, ses demandes improbables. Ces signaux visuels ont quasiment disparu. Les modèles de langage permettent aujourd'hui de rédiger, à la vitesse d'un clic, des courriels frauduleux qui respectent le registre d'un secteur, imitent le style d'un expéditeur connu, et adaptent le prétexte au calendrier fiscal ou aux actualités de votre branche.

Ce n'est pas une menace abstraite. Des PME suisses ont subi des virements frauduleux initiés par des messages d'une crédibilité déconcertante, parce qu'un employé ne disposait d'aucun repère pour distinguer le vrai du fabriqué. L'IA industrialise ce qui était autrefois artisanal : une escroquerie qui exigeait des heures de préparation peut désormais être répliquée à des milliers d'exemplaires en quelques minutes.

À cela s'ajoute une menace moins visible : l'utilisation imprudente des instruments d'IA au sein même de votre organisation. Un collaborateur qui colle un contrat confidentiel dans un service de rédaction en ligne, un autre qui transmet des données clients à un chatbot sans vérifier où elles sont stockées — ces habitudes créent des fuites silencieuses, sans malveillance, mais avec des conséquences réelles sur la confidentialité et sur votre conformité au droit suisse sur la protection des données.

L'IA comme instrument de défense : une réalité encore sous-utilisée

La même technologie qui arme les attaquants renforce aussi les défenses — à condition d'être déployée avec méthode. Les systèmes de détection d'anomalies basés sur l'IA peuvent analyser en temps réel les comportements inhabituels sur un réseau : un employé qui accède à des fichiers auxquels il n'avait jamais touché, une connexion depuis une localisation incohérente, un volume de téléchargement hors norme. Là où un administrateur humain aurait besoin de jours pour détecter un incident, un instrument bien paramétré le signale en minutes.

Pour les PME romandes, l'enjeu n'est pas de tout automatiser ni de rivaliser avec la direction informatique d'une multinationale. Il est de calibrer ses défenses à sa taille réelle. Un cabinet de cinq avocats n'a pas besoin d'un centre opérationnel de sécurité — mais il a besoin d'une politique claire sur l'usage des instruments d'IA, d'une authentification à deux facteurs sur tous ses accès sensibles, et d'une procédure de vérification pour tout virement inhabituel.

C'est précisément ce que le système Affinités cherche à ancrer dans chaque organisation accompagnée : non pas une liste de technologies à acquérir, mais une architecture de bon sens adaptée à votre réalité opérationnelle.

Les bonnes pratiques qui changent vraiment la donne

L'essentiel ne relève pas de la technique, mais de la culture. Voici ce qui fait la différence dans les PME qui traversent les incidents sans dommages graves :

La question du prestataire IA : ce que vous devez exiger

Si votre entreprise s'appuie sur des instruments d'IA externes — pour rédiger, analyser, automatiser — la sécurité de vos données dépend aussi des choix contractuels que vous aurez faits. Quelques questions à poser à tout prestataire avant de l'intégrer à votre flux de travail :

Ces questions ne sont pas paranoïaques : elles sont la diligence raisonnable que votre banquier, votre avocat ou votre client attend de vous. La confiance que vous accordez à vos partenaires humains doit s'étendre à vos partenaires numériques.

L'intelligence artificielle ne rend pas votre entreprise plus vulnérable — l'ignorer, si.

Par où commencer sans se perdre

L'un des obstacles les plus fréquents dans les PME n'est pas le manque de volonté, mais l'absence de point de départ clair. On sait que quelque chose devrait changer ; on ne sait pas par quel bout saisir le problème. La cybersécurité à l'heure de l'IA ne fait pas exception : le spectre des mesures possibles est si large qu'on finit par ne rien faire.

La bonne approche consiste à cartographier d'abord ce qui existe — vos flux de données, vos instruments actuels, les habitudes de vos équipes — avant de décider ce qui doit évoluer. Cette cartographie, c'est exactement ce que permet le Scanner IA : un état des lieux honnête de votre situation, pour que les efforts que vous engagerez ensuite soient au bon endroit, avec le bon niveau de priorité.

Parce qu'en matière de sécurité comme en matière d'IA, le pire investissement n'est pas celui qu'on fait trop tard — c'est celui qu'on fait à côté.