Ce que l'affaire Deloitte Australie nous apprend sur les risques liés à la gestion de l'IA

Ce que l'affaire Deloitte Australie révèle sur les risques liés à la gestion de l'IA

Par Phil Muncaster • 11 November 2025

L'intelligence artificielle générative (GenAI) a suscité un engouement sans précédent depuis son apparition fin 2022. Elle entre désormais dans ce que Gartner appelle « la phase de désillusion », les déploiements ne parvenant pas à répondre aux attentes démesurées. En 2023, McKinsey a estimé Cette affirmation est que l'IA de génération pourrait générer un chiffre d'affaires annuel équivalent à 2 600 à 4 400 milliards de dollars, réparti sur 63 cas d'utilisation. Pourtant, moins d'un an plus tard, moins de 30 % des leaders de l'IA l'ont confirmé. Selon Gartner, leurs PDG étaient satisfaits du retour sur investissement des projets.

Pire encore, les risques commerciaux liés à l'utilisation de cette technologie peuvent être considérables. Il suffit de demander à Deloitte Australie, récemment épinglée pour avoir inclus des erreurs générées par l'IA dans un rapport destiné au gouvernement fédéral. Face à la course effrénée des entreprises pour adopter cette technologie et obtenir un avantage concurrentiel, la mise en place de garde-fous en matière de gouvernance devient indispensable.

Deloitte a embarrassé le visage

Le rapport de 237 pages produit par Deloitte a été initialement publié sur le site Web du ministère de l'Emploi et des Relations de travail en juillet. selon les rapportsSes conclusions suggéraient une inadéquation entre les systèmes utilisés par le gouvernement pour lutter contre la fraude aux prestations sociales et les objectifs politiques réels. Cependant, Chris Rudge, chercheur universitaire, a décelé que quelque chose clochait.

Après des recherches plus approfondies, il aurait découvert 20 erreurs dans le rapport, notamment :

Une citation fabriquée de toutes pièces, attribuée à un juge fédéral dont le nom de famille était mal orthographié.
Dix références tirées d'un livre intitulé « L'État de droit et la justice administrative dans l'État-providence », qui n'existe pas.
Attribution erronée de ce livre à un professeur de l'Université de Sydney
Références à des rapports inexistants attribués à des experts juridiques et en génie logiciel

En réponse, Deloitte Australie aurait simplement indiqué que « le problème a été réglé directement avec le client ». Cependant, le gouvernement a révélé que le cabinet de conseil avait accepté de rembourser une partie des 440 000 dollars australiens (290 000 dollars américains) d’honoraires perçus pour le projet. Dans une version mise à jour du rapport, les erreurs ont apparemment été corrigées et une nouvelle mention a été ajoutée : le logiciel Azure OpenAI a été utilisé pour sa rédaction.

Hallucinations et plus encore

Deloitte Australie n'est pas la seule à se sentir gênée par l'IA au travail. Un rapport d'avril de son concurrent KPMG révèle que, tandis que 67 % des employés utilisent l'IA pour améliorer leur productivité, près de six sur dix (57 %) admettent avoir commis des erreurs dans leur travail en raison d'erreurs générées par la technologie.

Les hallucinations constituent un problème persistant, notamment lorsque des outils d'IA accessibles au public sont utilisés pour des tâches exigeant une expertise pointue. Elles sont parfois, mais pas toujours, dues à des données d'entraînement incomplètes ou erronées. Le risque réside dans la confiance excessive de l'IA, qui peut conduire un non-expert à se laisser tromper.

Cependant, les hallucinations ne sont pas le seul risque lié à l'utilisation de l'IA en milieu professionnel. Les utilisateurs peuvent partager accidentellement des informations sensibles, notamment des données de propriété intellectuelle ou des données clients, lors d'interactions avec un modèle public. Cela représente un risque important de fuite de données et de non-conformité, car ces mêmes informations pourraient théoriquement être restituées à d'autres utilisateurs. Elles risquent également d'être volées au développeur du modèle. Les outils d'IA eux-mêmes peuvent présenter des vulnérabilités ou être la cible d'attaques malveillantes visant à produire des résultats non intentionnels.

Ces risques ne sont pas théoriques. Le SMSI Rapport sur l’état de la sécurité de l’information 2025 Une étude révèle que 26 % des entreprises britanniques et américaines ont subi une attaque par empoisonnement de données au cours de l'année écoulée. Un tiers d'entre elles (34 %) s'inquiètent de la prolifération de l'IA parallèle au sein de leur organisation.

Ces risques pourraient s'amplifier avec l'adoption généralisée de l'IA agentive, conçue pour fonctionner de manière autonome dans divers flux de travail, avec une supervision humaine bien moindre, afin d'accomplir des tâches. Le problème est qu'il pourrait s'avérer beaucoup plus long de détecter un comportement anormal ou non conforme de l'agent.

Pour des organisations comme Deloitte Australie, victimes d'une utilisation non encadrée de l'IA, l'impact pourrait s'avérer néfaste sur leur réputation, leurs finances et leur conformité. Dans ce cas précis, le préjudice financier était minime pour une entreprise de la taille de Deloitte. Toutefois, cet incident pourrait dissuader de potentiels clients de signer des contrats.

La norme ISO 42001 à la rescousse ?

Ce n’est pas la première fois que des hallucinations de l’IA mettent dans l’embarras des individus et des organisations qui devraient être mieux informés. En 2023, il est apparu que un cabinet d'avocats américain Deloitte Australie a cité de faux cas et des citations inventées par ChatGPT dans une affaire de dommages corporels. Le juge fédéral de l'époque a qualifié la situation de « circonstance sans précédent ». Bien que les développeurs s'efforcent de minimiser ce type d'abus, plus cette technologie est utilisée sans garde-fous ni contrôle adéquats, plus d'autres entreprises risquent de suivre l'exemple de Deloitte Australie.

Pour Ruth Astbury, cofondatrice d'ExpandAI, cette affaire « rappelle brutalement que les risques liés à l'IA ne sont pas seulement techniques ; ils sont aussi organisationnels et touchent tous les aspects de la gestion des risques d'entreprise ». Elle affirme qu'une « gouvernance, une responsabilisation et une surveillance humaine continue » suffisantes ont cruellement fait défaut, et ont finalement alimenté un incident susceptible de nuire considérablement à la réputation de l'entreprise.

« Lorsque des outils d’IA sont déployés sans définition claire de la propriété, des limites éthiques ou des politiques d’utilisation, il ne s’agit pas d’innovation, mais de miser sur la réputation de sa marque », explique-t-elle à ISMS.online. « Les risques liés à une IA non encadrée vont des violations de données et des biais aux manquements à la conformité et à la perte de confiance des clients. »

Bien que l'IA puisse aider les chercheurs, elle ne devrait jamais remplacer « la vérification, le perfectionnement et la validation des faits selon les méthodes traditionnelles », ajoute Astbury. « Ce qui est surprenant, c'est que cela se soit produit au sein même d'un des quatre plus grands cabinets de conseil », poursuit-elle. « Les associés et consultants seniors en IA sont des experts dans leurs domaines respectifs. Ils peuvent, et doivent, identifier dans les rapports des références ou des affirmations qu'ils n'ont jamais rencontrées ou qui relèvent manifestement du délire. »

La réponse pourrait être la norme ISO 42001, conçue pour aider les organisations à établir, mettre en œuvre, maintenir et améliorer en permanence leurs systèmes de gestion de l'IA.

« La solution est simple : les organisations ont besoin d’une approche structurée de la gestion des risques liés à l’IA, de politiques claires, d’une prise de décision transparente et d’une formation du personnel qui intègre la responsabilisation à tous les niveaux. C’est là qu’intervient la gouvernance de l’IA, étayée par un cadre de gestion de l’IA tel que la norme ISO/IEC 42001 », explique Astbury.

« La norme ISO/IEC 42001 fournit un système de gestion pour l'IA, tout comme la norme ISO 27001 le fait pour la sécurité de l'information, garantissant ainsi que la gouvernance continue de l'IA, la gestion des risques, la surveillance et la conception éthique soient intégrées à chaque initiative en matière d'IA. »

Il reste encore du chemin à parcourir avant que les outils d'IA ne commencent à avoir un impact significatif. Le célèbre Gartner Un plateau de productivité. Mais pour y parvenir, les organisations devront comprendre que l'expertise humaine restera toujours une condition sine qua non de la réussite des projets.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster