Un secteur sous tension technologique permanente
La grande distribution ne ressemble à aucun autre secteur du point de vue du DSI. Vous gérez simultanément des centaines (parfois des milliers) de points de vente, chacun avec ses propres systèmes de caisse, de gestion des stocks, de planification des équipes. Votre SI est par nature hétérogène, hérité de décennies de fusions-acquisitions et de déploiements locaux.
Dans ce contexte, l’IA n’arrive pas proprement, par la grande porte. Elle s’infiltre. Un responsable de rayon adopte une application de prévision des stocks. Les RH signent un contrat avec un éditeur de planification IA. Le marketing déploie un moteur de recommandation produit. Tout cela se passe souvent sans que la DSI en soit informée.
« Dans la grande distribution, le Shadow IA n’est pas un risque futur. C’est une réalité présente, fragmentée, et largement sous-estimée. »
— DSI d’une enseigne nationaleLe résultat ? Un parc IA que personne ne cartographie vraiment, des données clients et collaborateurs qui circulent dans des outils non homologués, et une exposition croissante aux risques de sécurité et de non-conformité.
Les défis structurels du DSI retail face à l’IA
Le SI ultra-distribué crée des angles morts
Chaque magasin peut devenir un point d’entrée non sécurisé. Les outils adoptés localement, notamment planning IA ou encore commande automatique, échappent à la gouvernance centrale et créent des zones grises réglementaires.
Les données de fidélité : un actif à double tranchant
Les programmes de fidélité génèrent des profils comportementaux très fins. Leur exploitation par des algorithmes de personnalisation expose les enseignes à des sanctions CNIL potentiellement lourdes, notamment en cas d’usage publicitaire ou de traitement non conforme des données personnelles.
La dépendance aux éditeurs spécialisés
Les solutions IA de gestion des stocks ou de prévision de la demande viennent souvent d’éditeurs niches avec peu d’alternatives. Cette dépendance crée un risque de continuité que seul un contrat bien négocié peut limiter.
Les RH : terrain miné pour l’automatisation
Le tri automatique des CV, la présélection des candidats et la planification IA des équipes tombent dans la catégorie « haut risque » de l’AI Act. Les obligations de documentation et de supervision humaine sont appliqués depuis 2025.
Les risques concrets pour votre SI
L’exfiltration de données via les LLM publics
Vos acheteurs utilisent ChatGPT pour rédiger des appels d’offres. Vos RH y collent des CV. Vos équipes logistiques y analysent des contrats fournisseurs. Chaque donnée saisie peut alimenter les modèles de l’éditeur et potentiellement être exposée à des tiers.
Selon Cyberhaven, 11 % des données copiées-collées dans ChatGPT par les collaborateurs sont confidentielles. Dans la distribution, cela peut inclure des données contractuelles fournisseurs, des marges ou des stratégies d’assortiment.
Les nouvelles surfaces d’attaque IA
Les systèmes IA introduisent des vecteurs d’attaque inconnus des outils de sécurité classiques. La prompt injection permet de manipuler un agent IA pour exfiltrer des données ou exécuter des actions non autorisées. Le data poisoning peut corrompre vos modèles de prévision en introduisant de fausses données dans vos flux d’entraînement.
Selon IBM X-Force, les entreprises font face à une augmentation des attaques exploitant des API tierces, des environnements cloud mal cartographiés et des usages IA non maîtrisés.
La conformité : un chantier multi-niveaux
RGPD, AI Act, NIS2, DORA : courant 2026, le cadre réglementaire européen autour de l’IA et de la cybersécurité s’est fortement renforcé. Les systèmes d’IA utilisés pour le recrutement, l’évaluation ou la planification RH sont désormais considérés comme « à haut risque » par l’AI Act. Les entreprises doivent anticiper de nouvelles obligations en matière de supervision humaine, documentation, cybersécurité, gestion des risques et traçabilité des décisions automatisées.
Les 10 bonnes pratiques pour reprendre la main
1. Cartographier votre parc IA, y compris l’informel
Inventoriez tous les outils d’IA utilisés dans l’entreprise : SaaS, API, plugins, applications locales, assistants intégrés aux logiciels métiers, etc. Menez des interviews auprès des différentes fonctions métier : vous découvrirez presque toujours des usages non référencés. Cette cartographie doit être mise à jour au minimum chaque trimestre.
2. Sécuriser les flux de données vers les outils tiers
Déployez une solution de DLP (Data Loss Prevention) capable d’intercepter les données sensibles avant qu’elles n’atteignent un LLM public. Chiffrez les flux API et journalisez chaque échange afin d’assurer la traçabilité et faciliter les audits de sécurité.
3. Publier une politique IA claire et connue de tous
Définissez trois catégories d’outils :
- les outils autorisés ;
- les outils tolérés sous conditions ;
- les outils interdits.
Interdisez formellement l’introduction de données clients, RH ou financières dans des LLM publics sans DPA signé. Formalisez également l’acceptation de cette politique par l’ensemble des collaborateurs.
4. Réaliser des DPIA pour tous les systèmes IA RH
Recrutement automatisé, planification assistée par IA, évaluation des performances : chaque système impliquant des données RH doit faire l’objet d’une Analyse d’Impact relative à la Protection des Données (DPIA). Il s’agit d’une obligation légale, et non d’une simple recommandation.
5. Intégrer la sécurité dès la conception (AI SecDevOps)
Automatisez les contrôles de sécurité IA avant chaque mise en production de vos applications.. Réalisez des threat modelings IA avant chaque déploiement et testez systématiquement vos modèles contre les attaques adversariales avant leur mise en production.
6. Surveiller en continu la dérive des modèles
Un modèle performant aujourd’hui peut devenir biaisé ou inefficace demain. Mettez en place un monitoring continu des performances ainsi que des alertes permettant de détecter les comportements anormaux, les dérives statistiques ou les pertes de fiabilité.
7. Homologuer rigoureusement chaque fournisseur IA
Exigez systématiquement :
- une certification ISO 27001 ou SOC 2 ;
- un hébergement des données personnelles en Europe ;
- des clauses de réversibilité ;
- des engagements de notification d’incident.
Aucun déploiement ne devrait être réalisé sans signature préalable d’un DPA.
8. Créer un comité IA transverse
L’IA ne relève pas uniquement de l’IT. Constituez un comité réunissant la DSI, le RSSI, le DPO, la direction juridique, les RH et les opérations. Ce comité doit valider les projets, analyser les risques et garantir la conformité globale des usages IA dans l’entreprise.
9. Former les équipes IT aux spécificités de la sécurité IA
Prompt injection, data poisoning, monitoring MLOps : la sécurité de l’IA nécessite de nouvelles compétences. Selon Fortinet, 54 % des responsables IT attribuent certaines failles de sécurité à un manque de compétences ou de formation en cybersécurité.
10. Adapter votre PRI aux incidents IA
Ajoutez à votre Plan de Réponse aux Incidents (PRI) des scénarios spécifiques :
- fuite de données via un LLM ;
- dérive de modèle ;
- prompt injection massive ;
- compromission d’un pipeline IA.
Rappelez-vous qu’en cas de violation de données personnelles, vous disposez de 72 heures pour notifier la CNIL conformément à l’article 33 du RGPD.
