L’intelligence artificielle d’entreprise a dépassé la phase des pilotes contrôlés. Il ne s’agit plus simplement de tester un chatbot interne, d’automatiser des résumés ou d’ajouter une couche de génération de texte à une application corporative. La nouvelle étape est marquée par des agents capables d’initier des actions, de coordonner des processus et d’opérer sur des systèmes métier avec une intervention humaine de plus en plus faible. Et c’est là que naît le problème : de nombreuses entreprises déploient l’IA plus rapidement qu’elles ne peuvent la gouverner.
Une nouvelle étude de l’Institut IBM pour la valeur d’entreprise, réalisée en partenariat avec Oxford Economics, met en évidence l’écart. La recherche recueille des réponses de 2 000 directeurs des systèmes d’information (DSI), CTO et autres dirigeants technologiques issus de 33 régions et 19 secteurs, illustrant une tension croissante entre ambition, contrôle et capacité opérationnelle. Deux tiers des responsables technologiques interrogés déclarent qu’ils sont tenus responsables de systèmes d’IA qu’ils ne contrôlent pas entièrement. 70 % affirment que les équipes de métier déploient la technologie plus rapidement que le département informatique ne peut suivre, et 77 % reconnaissent que l’adoption de l’IA dépasse déjà leurs capacités de gouvernance actuelles.
Le chiffre peut-être le plus révélateur est un autre : seulement 11 % des DSI et CTO se considèrent entièrement préparés à l’échelle de déploiement des agents d’IA prévus dans les douze prochains mois. La pression ne vient pas seulement des départements techniques : 80 % des répondants signalent que les mandats de transformation par l’IA sont directement imposés par le PDG.
La gouvernance manuelle ne suffit plus pour les systèmes autonomes
IBM définit un agent d’IA comme un système capable d’initier, de coordonner ou d’exécuter des actions en plusieurs étapes avec une intervention humaine limitée. Cette définition marque une frontière claire par rapport aux logiciels traditionnels. Une application classique répond à une commande. Un agent peut interpréter un objectif, le diviser en tâches, consulter des données, interagir avec des outils et exécuter des actions en séquence.
Lorsqu’un tel système entre en production, les contrôles classiques deviennent inadéquats. Les revues manuelles, les comités, les politiques internes, les validations préalables et les feuilles de calcul de suivi ne sont plus efficaces lorsque les agents opèrent en continu et prennent des milliers de décisions par jour. La gouvernance conçue pour des cycles humains ne s’aligne pas avec des systèmes qui fonctionnent à la vitesse de la machine.
L’impact est déjà visible. Les organisations interrogées ont enregistré en moyenne 54 incidents liés à les agents d’IA au cours de la dernière année. 17 % étaient de haute gravité, nécessitant plus de quatre heures pour être contenus. Parmi ces incidents graves, 37 % ont entraîné une exposition de données ou des brèches de sécurité, 33 % ont provoqué des défaillances en cascade, 17 % ont posé des problèmes de conformité, et 13 % ont érodé la confiance des clients, employés ou autres parties prenantes.
| Indicateur de l’étude | données principales |
|---|---|
| Responsables technologiques interrogés | 2 000 |
| Régions représentées | 33 |
| Industriels analysés | 19 |
| Organisations où l’IA dépasse la gouvernance actuelle | 77 % |
| Équipes déployant la technologie plus rapidement que l’IT ne peut suivre | 70 % |
| DSI et CTO pleinement préparés pour déployer à grande échelle | 11 % |
| Mandats d’IA impulsés par le PDG | 80 % |
| Augmentation prévue du déploiement des agents d’IA d’ici 2027 | +38 % |
| Incidents moyens liés à l’IA en un an | 54 |
| Incidents graves | 17 % |
| Dépenses prévues pour l’IA en pourcentage du budget informatique en 2027 | 24,9 % |
Le message est clair : la gouvernance ne peut plus être une étape après coup. Elle doit être intégrée dans l’architecture. Un agent non enregistré, sans propriétaire, sans traces, incapable de s’arrêter ou de revenir en arrière, ne devrait pas être mis en production. La question n’est plus « qui a approuvé cet agent » mais « quelles limites doit-il respecter, que peut-il toucher, qui le surveille, et comment peut-on l’éteindre ».
Du shadow IT au shadow AI
Ce phénomène n’est pas nouveau. Pendant des années, les entreprises ont cohabité avec le shadow IT : outils achetés par des départements en dehors de l’IT, feuilles de calcul critiques, SaaS non autorisés ou intégrations improvisées. L’agentivité de l’IA porte cette problématique à une autre échelle. Il ne s’agit plus simplement d’une application isolée, mais de systèmes pouvant agir sur des données, processus et applications métiers.
C’est pourquoi le rapport d’IBM insiste sur le fait que le contrôle ne consiste pas à centraliser chaque décision au sein de l’IT. Cette approche ralentirait trop l’innovation et pousserait les équipes métier à contourner les règles. Le modèle qui commence à s’imposer est fédéré : les équipes de métier peuvent créer et déployer des cas d’usage, mais dans des limites définies par des plateformes communes, des registres de modèles, des contrôles d’identité, de la télémétrie, des audits, des politiques d’accès, des limites d’exécution et des procédures en cas d’incident.
Concrètement, cela nécessite une nouvelle architecture de contrôle. Les équipes plateforme doivent gérer des garde-fous partagés : registre des agents, catalogues de modèles, journalisation, observabilité, contrôles d’exécution, rollbacks et gestion des identités. Risques et conformité doivent définir seuils, preuves, règles de révision et critères d’escalade. L’architecture doit établir des modèles de référence et assurer l’interopérabilité. Les équipes de métier doivent assumer la responsabilité des résultats, des exceptions et du fonctionnement au quotidien des cas d’usage.
IBM qualifie cette approche de « contrôle orchestré ». Selon leur analyse, les organisations qui intègrent le contrôle dans l’architecture déploient 16 fois plus d’agents que celles dépendant d’une gouvernance manuelle, dépensent quatre fois moins en IA et obtiennent des marges opérationnelles 18 % plus élevées. La conclusion est que le contrôle bien conçu n’entrave pas l’IA, mais facilite son déploiement à grande échelle avec moins de friction.
La contrainte cloud influence également l’IA
L’écart de contrôle ne se limite pas aux agents. Le rapport relie la scalabilité de l’IA à un problème plus large : la rigidité de l’infrastructure. De nombreuses entreprises découvrent que leurs charges ne sont pas aussi portables qu’elles le pensaient. Si 88 % d’entre elles tentent ou prévoient de déplacer leurs charges vers un autre fournisseur cloud, les responsables estiment que seulement 25 % de ces charges sont facilement transférables.
Le coût n’arrange rien. Les dépenses cloud ont dépassé les prévisions initiales en moyenne de 48 %, et 80 % des responsables technologiques indiquent que les coûts de transfert de données sont supérieurs aux attentes. Les freins cités incluent notamment les frais de sortie, la dépendance à certains services de fournisseurs spécifiques et la complexité technique.
Cela impacte directement le déploiement de l’IA. Si une entreprise construit ses agents, ses pipelines de données et ses flux d’inférence sur des services trop propriétaires, changer de modèle, de fournisseur ou d’architecture peut devenir un projet coûteux et lent. Dans un marché où les modèles changent tous les quelques mois, le manque de portabilité n’est pas seulement un problème technique : cela limite la stratégie.
IBM affirme que la préparation ne se juge plus uniquement à la stabilité, mais à la capacité de changement. Pouvoir déplacer des charges, remplacer des modèles, intégrer de nouvelles capacités et éviter des dépendances difficiles à inverser est devenu une métrique de maturité. Les organisations ayant conçu cette flexibilité dès le départ ont selon l’étude un retour sur investissement en IA supérieur de 10 % en 2025.
L’IA nécessite désormais son propre FinOps
Le troisième volet est financier. L’IA ne se comporte pas comme un investissement technologique traditionnel. Un ERP, une base de données ou une plateforme de virtualisation pouvaient être planifiés sur plusieurs années. Les modèles d’IA ont une durée de vie moyenne d’environ 14 mois. 71 % des responsables technologiques déclarent retirer ou remplacer des modèles en raison de meilleures alternatives, et 60 % parce que les besoins métier ou les cas d’usage évoluent.
Les budgets augmentent rapidement : le coût de l’IA représentera près de 25 % du budget IT d’ici 2027, contre moins de 15 % en 2025, soit une hausse de 71 % en deux ans. Pourtant, 84 % des responsables ne gèrent pas encore financièrement l’IA de manière opérationnelle, et 85 % n’ont pas une vision en temps réel de ces dépenses.
Il devient essentiel d’instaurer un FinOps spécifique à l’IA. Il ne suffit pas de connaître le coût global du cloud, il faut aussi évaluer le coût de chaque agent, cas d’usage, modèle, pipeline, appel d’inférence ou automatisation. Il faut également relier ces coûts à des résultats mesurables : gain de temps, réduction des incidents, amélioration de la conversion, productivité, marges ou qualité de service.
Les entreprises qui traitent l’IA comme un portefeuille, plutôt que comme une collection de pilotes isolés, ont davantage de chances de faire évoluer ce qui fonctionne et d’abandonner ce qui ne crée pas de valeur. Cela nécessite des responsables clairs, des critères de succès, des points de sortie, une visibilité sur les coûts par cas d’usage et une relation étroite entre IT et finances.
L’étude d’IBM lance une alerte : déployer des agents sans architecture, sans observabilité et sans discipline financière expose à un risque opérationnel croissant. Inversement, une gouvernance uniquement basée sur des comités et des contrôles manuels ralentira le rythme. La clé réside dans la conception d’une plateforme permettant à l’autonomie d’évoluer dans des limites vérifiables.
L’IA agentique ne s’intensifie pas simplement en achetant des modèles ou en validant des pilotes. Elle se déploie avec une infrastructure adaptable, une gouvernance intégrée et une gestion économique en temps réel. Pour les DSI et CTO, le défi de 2026 ne sera pas de prouver que l’IA fonctionne, mais de démontrer qu’elle peut opérer sans compromettre sécurité, coûts ou confiance.
Questions fréquentes
Qu’est-ce que l’IA agentique en entreprise ?
C’est l’utilisation de systèmes d’IA capables d’initier, de coordonner ou d’exécuter des actions en plusieurs étapes avec une intervention humaine limitée. Contrairement à une application classique, un agent peut agir directement sur des outils, des données et des processus pour atteindre un objectif.
Pourquoi cela préoccupe-t-il les DSI et CTO ?
Parce que de nombreuses organisations déploient des agents d’IA plus rapidement qu’elles ne peuvent les gouverner. Selon IBM, deux tiers des responsables technologiques se sentent responsables de systèmes qu’ils ne contrôlent pas entièrement.
Que signifie une gouvernance par conception ?
Cela implique d’intégrer les contrôles dès la conception : enregistrement des agents, propriétaires clairement désignés, traçabilité, observabilité, limites d’accès, mécanismes d’arrêt ou de rollback, et règles d’escalade, avant la mise en production.
Pourquoi l’IA nécessite-t-elle une gestion financière spécifique ?
Parce que les modèles évoluent rapidement, que le coût d’inférence peut fluctuer avec l’usage et que nombreux projets ont des retours variables. Il faut connaître le coût par cas d’usage et la valeur qu’il apporte pour arbitrer ce que l’on doit faire évoluer, ajuster ou arrêter.
