Bonnes pratiques IA — Suisse romande

Bonnes pratiques & conformité de l'IA

Vos pare-feux ne bloquent pas le langage naturel.

L'utilisation intense des technologies au travail a toujours été un risque. Mais avec l'intelligence artificielle, la menace a muté : les cybercriminels n'attaquent plus seulement vos infrastructures, ils exploitent la confiance de vos employés et les fonctionnalités mêmes de l'IA.

En collaboration avec l'École des Mines et l'École des Beaux-Arts de Nancy, Palambur a conçu une approche globale en 10 points clés pour sensibiliser et armer les entreprises industrielles face à ce nouveau paradigme.

Les 10 règles

Nos 10 règles de bonnes pratiques IA

Illustration : un voleur masqué dérobe un smartphone professionnel dans un tiroir — seul le chiffrement des équipements de la société protège les données en cas de vol.
01

Utilisez uniquement les équipements de la société

L'hygiène numérique commence par la maîtrise du matériel. Seuls les équipements autorisés par l'entreprise (PC, tablette, smartphone) protègent vos données.

Avec l'essor des IA locales et des applications mobiles intelligentes, un appareil personnel non sécurisé est devenu une faille critique.

  • Vos équipements disposent d'une protection contre les malwares et d'une surveillance des fuites de données vers des IA non autorisées.
  • Leur chiffrement intégral empêche la compromission des informations en cas de vol ou de perte.
Illustration : un post-it « mot de passe » collé au mur à côté de l'ordinateur — l'exemple à ne jamais suivre.
02

Protégez vos mots de passe et vos identifiants

Les mots de passe restent votre première ligne de défense. Or l'IA a décuplé les capacités de piratage des attaquants.

Le vol d'identifiants s'opère désormais de manière invisible — y compris via des attaques d'injection de requêtes (Prompt Injection) ciblant vos assistants web.

  • Vos mots de passe doivent être complexes, uniques et changés régulièrement.
  • Ils ne doivent jamais être partagés, ni stockés en clair dans des bloc-notes virtuels potentiellement lisibles par des IA tierces.
Illustration : un employé multiplie les fenêtres d'outils en ligne non homologués sur son poste de travail — le Shadow AI en action.
03

Utilisez uniquement les logiciels, solutions et services homologués

La tentation d'utiliser des outils d'IA publics pour aller plus vite est forte — c'est le Shadow AI.

En collant du code, des données financières ou des informations personnelles dans une version gratuite d'IA, vous exfiltrez involontairement le savoir-faire de l'entreprise vers des modèles externes qui s'en servent pour s'entraîner.

  • Seuls les logiciels, IA et services Internet homologués par l'entreprise garantissent un environnement cloisonné.
  • L'utilisation de comptes personnels sur des plateformes d'IA grand public est strictement interdite dans le cadre professionnel.
Illustration : une clé USB branchée sur un ordinateur portable dont l'écran affiche un cadenas — les supports mobiles se chiffrent.
04

Protégez les données sur les supports mobiles

Votre ordinateur portable et vos dispositifs de stockage doivent toujours être protégés.

La perte d'un appareil connecté peut donner à un cybercriminel l'accès à vos sessions — y compris vos environnements IA encore actifs.

  • Ne laissez jamais votre appareil sans surveillance, même dans un coffre de voiture verrouillé.
  • Les données sensibles transférées sur un dispositif portable (clé USB, disque dur) doivent impérativement être chiffrées.
  • En cas de perte ou de vol, signalez-le immédiatement pour bloquer les accès distants.
Illustration : une liste d'e-mails à l'apparence légitime sur tablette, avec un signalement d'alerte — le phishing généré par IA se repère à l'expéditeur.
05

Utilisez l'e-mail avec une vigilance augmentée

Oubliez les spams truffés de fautes d'orthographe. Avec des IA malveillantes comme les variantes de WormGPT, les cybercriminels génèrent des e-mails de phishing (hameçonnage) ultra-réalistes et parfaitement ciblés.

Un simple e-mail externe peut aussi contenir des instructions invisibles qui manipulent votre propre assistant IA interne (attaques Living Off AI).

  • Vérifiez scrupuleusement l'adresse de l'expéditeur.
  • Ne relayez jamais de chaînes de messages.
  • Protégez les données confidentielles en limitant les fonctions « répondre à tous ».
  • Signalez immédiatement tout lien, pièce jointe ou comportement suspect de votre messagerie.
Illustration : deux collègues discutent à voix haute dans les transports publics pendant qu'une passagère entend tout — les sujets confidentiels restent au bureau.
06

Soyez discret dans les lieux publics et virtuels

L'espionnage ne se limite plus à un regard par-dessus votre épaule.

Des outils de transcription IA (comme Otter.ai) peuvent rejoindre automatiquement une réunion virtuelle pour transcrire et mémoriser des délibérations stratégiques — un risque de fuite critique.

  • Maîtrisez vos environnements de réunion, virtuels et physiques, et n'abordez pas de sujets confidentiels en public.
  • Les points d’accès Wi-Fi publics sont peu sûrs : utilisez-les uniquement avec une connexion VPN.
  • N'utilisez pas de bornes de recharge USB publiques — elles peuvent infecter vos appareils avec des logiciels malveillants.
Illustration : à la pause café, un inconnu demande l'air de rien un mot de passe, un numéro, une adresse e-mail — l'ingénierie sociale commence par une conversation.
07

Méfiez-vous de la manipulation et des deepfakes

Avant de partager une information confidentielle, soyez absolument certain de l'identité de votre interlocuteur.

Avec le clonage vocal (vishing) et les générateurs d'images IA capables de forger de faux documents officiels, les attaquants usurpent l'identité d'un dirigeant ou d'un partenaire avec une précision redoutable.

  • Instaurez le doute positif : méfiez-vous des demandes urgentes visant à obtenir des mots de passe, des virements ou des informations sensibles.
  • Vérifiez l'identité par un canal de communication alternatif (double vérification) en cas de requête inhabituelle.
Illustration : un poste de travail quitté proprement — documents rangés, session verrouillée demandant le mot de passe — l'information est protégée à la source.
08

Protégez les informations confidentielles à la source

Classifiez et protégez les informations de l'entreprise.

Avec la prolifération des assistants IA (aide à la rédaction, création de présentations), la moindre donnée confidentielle partagée au mauvais endroit peut être stockée, réutilisée, voire exposée à des tiers.

  • N'envoyez les informations qu'aux personnes strictement habilitées à les traiter.
  • Protégez vos échanges avec des solutions de chiffrement homologuées.
  • Sensibilisez vos partenaires à la protection de la confidentialité.
  • Dans la plupart des cas, consultez le propriétaire des données avant de les partager ou de les soumettre à une analyse.
Illustration : une voyageuse navigue sur sa tablette dans le train pendant qu'un passager observe son écran — à distance, VPN obligatoire et écran à l'abri des regards.
09

Soyez prudent lorsque vous utilisez Internet

Les assistants IA intégrés aux navigateurs web exposent à des menaces nouvelles et complexes.

Des techniques récentes (comme HashJack) dissimulent des requêtes malveillantes dans l'URL d'un site légitime : votre assistant lit cette URL et exécute l'attaque à votre insu.

  • N'accédez jamais à des sites potentiellement dangereux.
  • Utilisez toujours votre VPN pour travailler à distance, même pour de la simple navigation.
  • Limitez les informations professionnelles partagées sur les réseaux sociaux, pour éviter les attaques ciblées par ingénierie sociale assistée par IA.
Illustration : une visiteuse photographie discrètement avec son smartphone des documents laissés sur un bureau — une photo suffit à une IA d'analyse visuelle pour tout extraire.
10

Sécurisez votre espace de travail

La politique du « Clean Desk » reste un rempart absolu.

Ne laissez aucun document confidentiel sur votre bureau ou sur l'imprimante : une simple photo prise par un smartphone équipé d'une IA d'analyse visuelle peut numériser, extraire et envoyer vos données en une fraction de seconde.

  • Accompagnez toujours les visiteurs extérieurs dans les locaux et portez votre badge visiblement.
  • Verrouillez votre session informatique dès que vous quittez votre poste.
  • Ne laissez jamais votre ordinateur portable sans protection (tiroir ou placard verrouillé), spécialement la nuit.
Aller plus loin

Des règles à la gouvernance

Ces 10 règles sont le socle. Pour qu'elles tiennent dans la durée, elles s'inscrivent dans une gouvernance IA : charte écrite, outils homologués, base de prompts métiers et assistants validés.

Textes de référence

Les textes de loi, à la source

Toujours la version officielle en vigueur — publiée par la Confédération (Fedlex) ou par l'Union européenne (EUR-Lex). Aucune copie intermédiaire.

nLPD

Loi fédérale sur la protection des données (RS 235.1)

La loi suisse en vigueur depuis le 1er septembre 2023. C'est elle qui s'applique à toute PME suisse qui traite des données personnelles.

OPDo

Ordonnance sur la protection des données (RS 235.11)

Le texte d'application de la nLPD : mesures de sécurité, registre des traitements, annonces au PFPDT.

RGPD

Règlement général sur la protection des données (UE 2016/679)

S'applique dès que vous traitez des données de personnes situées dans l'UE — clients, prospects ou partenaires.

EU AI Act

Règlement européen sur l'intelligence artificielle (UE 2024/1689)

Le premier cadre mondial sur l'IA, applicable par étapes jusqu'en 2027. Son article 4 fonde l'obligation de formation des équipes.

F.A.Q.

Foire aux questions

Contenu provisoire — à remplacer par les questions/réponses définitives

Qu'est-ce que la nLPD change concrètement pour l'usage de l'IA en entreprise ?

Elle impose des règles claires sur le traitement des données personnelles, y compris lorsqu'elles transitent par un outil d'IA. Nous vous aidons à identifier vos obligations sans jargon juridique.

L'EU AI Act nous concerne-t-il aussi en tant que PME suisse ?

Il peut s'appliquer dès que vous travaillez avec des clients ou partenaires dans l'UE, selon les usages d'IA concernés. Un point rapide permet de clarifier votre situation.

Par où commencer si nous n'avons encore aucune politique IA ?

Par un état des lieux simple de ce que vos équipes utilisent déjà, suivi d'un cadre écrit minimal. C'est l'objet de l'Audit Shadow AI.

Faut-il une politique différente pour chaque outil d'IA utilisé ?

Non, un cadre général suffit dans la plupart des cas, complété par quelques règles spécifiques aux outils sensibles. Nous priorisons selon votre exposition réelle.

Combien de temps faut-il pour mettre en place les bonnes pratiques de base ?

Les premiers réflexes s'installent dès la formation Électrochoc, en une demi-journée. La mise en conformité complète dépend ensuite de votre organisation.

La sensibilisation est le premier pas

Et maintenant ?

Les réflexes s'installent en formation.

Formation Électrochoc

Les réflexes s’installent en formation.

Découvrir la formation →

Audit Shadow AI

Mesurez votre exposition réelle.

Réserver un audit →

Sentinelle IA

Pour la détection continue.

Découvrir Sentinelle IA →