Bonnes pratiques & conformité de l'IA
Vos pare-feux ne bloquent pas le langage naturel.
L'utilisation intense des technologies au travail a toujours été un risque. Mais avec l'intelligence artificielle, la menace a muté : les cybercriminels n'attaquent plus seulement vos infrastructures, ils exploitent la confiance de vos employés et les fonctionnalités mêmes de l'IA.
En collaboration avec l'École des Mines et l'École des Beaux-Arts de Nancy, Palambur a conçu une approche globale en 10 points clés pour sensibiliser et armer les entreprises industrielles face à ce nouveau paradigme.
Nos 10 règles de bonnes pratiques IA

Utilisez uniquement les équipements de la société
L'hygiène numérique commence par la maîtrise du matériel. Seuls les équipements autorisés par l'entreprise (PC, tablette, smartphone) protègent vos données.
Avec l'essor des IA locales et des applications mobiles intelligentes, un appareil personnel non sécurisé est devenu une faille critique.
- Vos équipements disposent d'une protection contre les malwares et d'une surveillance des fuites de données vers des IA non autorisées.
- Leur chiffrement intégral empêche la compromission des informations en cas de vol ou de perte.

Protégez vos mots de passe et vos identifiants
Les mots de passe restent votre première ligne de défense. Or l'IA a décuplé les capacités de piratage des attaquants.
Le vol d'identifiants s'opère désormais de manière invisible — y compris via des attaques d'injection de requêtes (Prompt Injection) ciblant vos assistants web.
- Vos mots de passe doivent être complexes, uniques et changés régulièrement.
- Ils ne doivent jamais être partagés, ni stockés en clair dans des bloc-notes virtuels potentiellement lisibles par des IA tierces.

Utilisez uniquement les logiciels, solutions et services homologués
La tentation d'utiliser des outils d'IA publics pour aller plus vite est forte — c'est le Shadow AI.
En collant du code, des données financières ou des informations personnelles dans une version gratuite d'IA, vous exfiltrez involontairement le savoir-faire de l'entreprise vers des modèles externes qui s'en servent pour s'entraîner.
- Seuls les logiciels, IA et services Internet homologués par l'entreprise garantissent un environnement cloisonné.
- L'utilisation de comptes personnels sur des plateformes d'IA grand public est strictement interdite dans le cadre professionnel.

Protégez les données sur les supports mobiles
Votre ordinateur portable et vos dispositifs de stockage doivent toujours être protégés.
La perte d'un appareil connecté peut donner à un cybercriminel l'accès à vos sessions — y compris vos environnements IA encore actifs.
- Ne laissez jamais votre appareil sans surveillance, même dans un coffre de voiture verrouillé.
- Les données sensibles transférées sur un dispositif portable (clé USB, disque dur) doivent impérativement être chiffrées.
- En cas de perte ou de vol, signalez-le immédiatement pour bloquer les accès distants.

Utilisez l'e-mail avec une vigilance augmentée
Oubliez les spams truffés de fautes d'orthographe. Avec des IA malveillantes comme les variantes de WormGPT, les cybercriminels génèrent des e-mails de phishing (hameçonnage) ultra-réalistes et parfaitement ciblés.
Un simple e-mail externe peut aussi contenir des instructions invisibles qui manipulent votre propre assistant IA interne (attaques Living Off AI).
- Vérifiez scrupuleusement l'adresse de l'expéditeur.
- Ne relayez jamais de chaînes de messages.
- Protégez les données confidentielles en limitant les fonctions « répondre à tous ».
- Signalez immédiatement tout lien, pièce jointe ou comportement suspect de votre messagerie.

Soyez discret dans les lieux publics et virtuels
L'espionnage ne se limite plus à un regard par-dessus votre épaule.
Des outils de transcription IA (comme Otter.ai) peuvent rejoindre automatiquement une réunion virtuelle pour transcrire et mémoriser des délibérations stratégiques — un risque de fuite critique.
- Maîtrisez vos environnements de réunion, virtuels et physiques, et n'abordez pas de sujets confidentiels en public.
- Les points d’accès Wi-Fi publics sont peu sûrs : utilisez-les uniquement avec une connexion VPN.
- N'utilisez pas de bornes de recharge USB publiques — elles peuvent infecter vos appareils avec des logiciels malveillants.

Méfiez-vous de la manipulation et des deepfakes
Avant de partager une information confidentielle, soyez absolument certain de l'identité de votre interlocuteur.
Avec le clonage vocal (vishing) et les générateurs d'images IA capables de forger de faux documents officiels, les attaquants usurpent l'identité d'un dirigeant ou d'un partenaire avec une précision redoutable.
- Instaurez le doute positif : méfiez-vous des demandes urgentes visant à obtenir des mots de passe, des virements ou des informations sensibles.
- Vérifiez l'identité par un canal de communication alternatif (double vérification) en cas de requête inhabituelle.

Protégez les informations confidentielles à la source
Classifiez et protégez les informations de l'entreprise.
Avec la prolifération des assistants IA (aide à la rédaction, création de présentations), la moindre donnée confidentielle partagée au mauvais endroit peut être stockée, réutilisée, voire exposée à des tiers.
- N'envoyez les informations qu'aux personnes strictement habilitées à les traiter.
- Protégez vos échanges avec des solutions de chiffrement homologuées.
- Sensibilisez vos partenaires à la protection de la confidentialité.
- Dans la plupart des cas, consultez le propriétaire des données avant de les partager ou de les soumettre à une analyse.

Soyez prudent lorsque vous utilisez Internet
Les assistants IA intégrés aux navigateurs web exposent à des menaces nouvelles et complexes.
Des techniques récentes (comme HashJack) dissimulent des requêtes malveillantes dans l'URL d'un site légitime : votre assistant lit cette URL et exécute l'attaque à votre insu.
- N'accédez jamais à des sites potentiellement dangereux.
- Utilisez toujours votre VPN pour travailler à distance, même pour de la simple navigation.
- Limitez les informations professionnelles partagées sur les réseaux sociaux, pour éviter les attaques ciblées par ingénierie sociale assistée par IA.

Sécurisez votre espace de travail
La politique du « Clean Desk » reste un rempart absolu.
Ne laissez aucun document confidentiel sur votre bureau ou sur l'imprimante : une simple photo prise par un smartphone équipé d'une IA d'analyse visuelle peut numériser, extraire et envoyer vos données en une fraction de seconde.
- Accompagnez toujours les visiteurs extérieurs dans les locaux et portez votre badge visiblement.
- Verrouillez votre session informatique dès que vous quittez votre poste.
- Ne laissez jamais votre ordinateur portable sans protection (tiroir ou placard verrouillé), spécialement la nuit.
Des règles à la gouvernance
Ces 10 règles sont le socle. Pour qu'elles tiennent dans la durée, elles s'inscrivent dans une gouvernance IA : charte écrite, outils homologués, base de prompts métiers et assistants validés.
Les textes de loi, à la source
Toujours la version officielle en vigueur — publiée par la Confédération (Fedlex) ou par l'Union européenne (EUR-Lex). Aucune copie intermédiaire.
Loi fédérale sur la protection des données (RS 235.1)
La loi suisse en vigueur depuis le 1er septembre 2023. C'est elle qui s'applique à toute PME suisse qui traite des données personnelles.
Ordonnance sur la protection des données (RS 235.11)
Le texte d'application de la nLPD : mesures de sécurité, registre des traitements, annonces au PFPDT.
Règlement général sur la protection des données (UE 2016/679)
S'applique dès que vous traitez des données de personnes situées dans l'UE — clients, prospects ou partenaires.
Règlement européen sur l'intelligence artificielle (UE 2024/1689)
Le premier cadre mondial sur l'IA, applicable par étapes jusqu'en 2027. Son article 4 fonde l'obligation de formation des équipes.
Foire aux questions
Contenu provisoire — à remplacer par les questions/réponses définitives
Qu'est-ce que la nLPD change concrètement pour l'usage de l'IA en entreprise ?
Elle impose des règles claires sur le traitement des données personnelles, y compris lorsqu'elles transitent par un outil d'IA. Nous vous aidons à identifier vos obligations sans jargon juridique.
L'EU AI Act nous concerne-t-il aussi en tant que PME suisse ?
Il peut s'appliquer dès que vous travaillez avec des clients ou partenaires dans l'UE, selon les usages d'IA concernés. Un point rapide permet de clarifier votre situation.
Par où commencer si nous n'avons encore aucune politique IA ?
Par un état des lieux simple de ce que vos équipes utilisent déjà, suivi d'un cadre écrit minimal. C'est l'objet de l'Audit Shadow AI.
Faut-il une politique différente pour chaque outil d'IA utilisé ?
Non, un cadre général suffit dans la plupart des cas, complété par quelques règles spécifiques aux outils sensibles. Nous priorisons selon votre exposition réelle.
Combien de temps faut-il pour mettre en place les bonnes pratiques de base ?
Les premiers réflexes s'installent dès la formation Électrochoc, en une demi-journée. La mise en conformité complète dépend ensuite de votre organisation.
Et maintenant ?
Les réflexes s'installent en formation.
