Interview de Xavier Mathis, Country Manager France d’Okta, sur l’étude « Business at Work 2026 ». Alors que 91% des entreprises utilisent des agents IA, 90% n’ont aucune gouvernance adaptée, créant des risques majeurs de sécurité et de conformité.
Gouvernance IA : 90% des entreprises naviguent à vue selon Okta
By
Last modified on 21 mai 2026 15h02
60%60% des incidents de sécurité sont liés à des identifiants compromis.
L'intelligence artificielle s'impose dans les entreprises à un rythme effréné, mais cette adoption se fait souvent au détriment de la sécurité. Selon l'étude « Business at Work 2026 » d'Okta, 91% des entreprises utilisent déjà des agents IA, mais 90% d'entre elles n'ont pas mis en place de stratégie de gouvernance complète pour encadrer ces déploiements.
Une adoption anarchique aux conséquences majeures
« On est face à un schéma classique d'innovation non maîtrisée », explique Xavier Mathis, Country Manager France d'Okta. Les équipes métier déploient rapidement des agents IA via des API ou des copilotes intégrés, sans passer par les cycles de validation habituels. « Les agents IA sont perçus comme des accélérateurs de productivité, pas comme des identités à part entière. Résultat : ils sont déployés comme des outils, alors qu'ils agissent comme des utilisateurs autonomes. »
Cette approche expose les entreprises à des risques considérables. Le scénario le plus préoccupant ? Un attaquant qui prend le contrôle d'un agent ayant accès à la base clients, aux contrats et à la messagerie interne peut circuler librement dans le système d'information sans déclencher d'alarme. Selon l'étude, 97% des organisations qui ont subi une faille impliquant de l'IA n'avaient pas mis en place les contrôles adéquats.
La course contre la montre réglementaire
Avec l'entrée en vigueur progressive de l'AI Act européen et de la directive NIS2, les entreprises font face à une pression réglementaire croissante. « On est clairement dans une course contre la montre », reconnaît Xavier Mathis. « Le vrai enjeu, c'est le passage à l'exécution. Les entreprises avancent encore en silos, conformité, cybersécurité et IA, alors que les textes imposent une approche unifiée. »
NIS2 introduit notamment la responsabilité personnelle des dirigeants en cas de manquement, transformant la cybersécurité en enjeu de gouvernance pour les directions générales. Pour les ETI et PME, la situation est particulièrement préoccupante car elles déploient souvent l'IA via des solutions SaaS sans en maîtriser les implications réglementaires.
L'explosion incontrôlée des identités numériques
L'étude révèle une explosion de 650% des comptes techniques en un an, dépassant largement les comptes humains en volume. « Quand on parle de sécurité informatique, on pense encore principalement aux employés, leurs comptes, leurs mots de passe », souligne le responsable français d'Okta. « Mais aujourd'hui, les comptes non humains comme les agents IA, les automates ou les services connectés sont gérés avec beaucoup moins de rigueur : pas de cycle de vie clair, pas de révocation systématique. »
Cette négligence a un coût : 60% des incidents de sécurité sont liés à des identifiants compromis, avec un coût moyen de 4,67 millions de dollars par incident, sans compter l'atteinte réputationnelle.
La pression des assureurs comme accélérateur
Face à ces risques, les cyber-assureurs durcissent leurs exigences, imposant une authentification multi-facteurs résistante au phishing comme condition d'assurabilité. « C'est probablement le levier le plus efficace du moment parce qu'il touche directement le compte de résultat », observe Xavier Mathis. Cette pression a permis une adoption plus rapide : 58% des entreprises ont adopté ce type d'authentification haute sécurité, contre 41% il y a deux ans.
Un retour sur investissement tangible
Au-delà de la conformité, une gouvernance rigoureuse des agents IA génère un ROI concret. « D'abord, en réduction du risque : moins d'incidents, donc moins de coûts directs et indirects. Ensuite, en efficacité opérationnelle : une gouvernance claire permet d'industrialiser l'usage des agents IA sans multiplier les contrôles manuels », détaille le responsable. « En réalité, la gouvernance devient un facteur d'accélération, pas un frein. »
Pour les entreprises qui découvrent ces enjeux, l'urgence est de traiter les agents IA avec la même exigence que les identités humaines, en temps réel. Celles qui ne l'anticipent pas accumulent une dette de sécurité qui deviendra rapidement ingérable.