Par Etienne Delouvrier, COO d'Avanoo.
Un chiffre passé
presque inaperçu
Le chiffre a circulé en
avril dernier sans provoquer le séisme qu'il méritait. Dans une enquête menée
auprès de 2 000 agents publics issus de neuf administrations, plus d'un sur
deux déclare utiliser ChatGPT ou un équivalent dans l'exercice de ses fonctions.
Sans cadre. Sans supervision. Sans cadre déontologique formalisé. Et, dans 80 %
des cas, avec l'envie d'en faire davantage. Ce n'est pas un dérapage. C'est un
mouvement de fond.
Une fonction publique
qui invente ses propres usages
Ce que cette
statistique raconte, vu du terrain, n'a rien d'une faute professionnelle
collective. Les agents qui collent une note de synthèse confidentielle dans
ChatGPT pour la reformuler en langage clair, ceux qui font traduire un courrier
d'usager en arabe ou en ukrainien, ceux qui demandent à une IA générative de
leur produire une trame de délibération à partir d'un brouillon manuscrit :
tous font, à leur échelle, ce que les Français attendent légitimement des
collectivités (plus vite, mieux, avec moins). Ils inventent, seuls, les usages
que la doctrine institutionnelle n'a pas encore eu le temps d'écrire.
Le problème n'est donc
pas l'enthousiasme. Il est dans l'asymétrie entre cet enthousiasme et la
réalité de l'exposition cyber des collectivités.
Une exposition cyber
qui ne cesse de croître
Les chiffres de l'ANSSI
sont, sur ce point, sans équivoque. Dans son Panorama de la cybermenace 2025
publié en mars dernier, l'agence indique que les ministères et collectivités
territoriales concentrent 24% des incidents traités, soit le deuxième secteur
le plus visé en France. La même année, 144 communes françaises ont été frappées
par une cyberattaque, dont 25 par un ransomware confirmé. Et le 1er janvier
2025, une attaque DDoS coordonnée par le groupe pro-russe NoName057(16) rendait
inaccessibles les sites de plus de vingt grandes villes, parmi lesquelles
Marseille, Bordeaux, Nantes et Nice.
Les coûts, eux, sont
bien réels et bien documentés : 1 million d'euros pour Lille, 230 000 euros
pour Mitry-Mory, 58 000 euros et deux ETP mobilisés pendant un trimestre pour
Villers-Saint-Paul (qui n'est pourtant pas une métropole). En avril 2024, la
ville de Gravelines a vu l'intégralité de ses services rendus indisponibles, de
la médiathèque aux aides sociales en passant par la paie. Ce ne sont pas des
cas extrêmes. Ce sont des cas ordinaires.
Le Shadow AI, nouvelle
couche de risque
Sur ce paysage déjà
tendu vient se greffer le Shadow AI. C'est-à-dire l'usage d'outils
d'intelligence artificielle générative (presque toujours américains, presque
toujours grand public) hors de tout cadre de gouvernance de la donnée.
Concrètement : des fichiers RH, des comptes rendus de conseils municipaux, des
projets d'arrêtés, des données d'usagers, qui transitent par des serveurs hors
UE, parfois réutilisés pour entraîner des modèles dont personne, dans la
collectivité, ne maîtrise la chaîne de valeur.
Une situation qui n'est
pas la faute des collectivités
Soyons clairs : la
responsabilité de cette situation n'est pas celle des collectivités. Elle est
structurelle.
Une commune de 8 000
habitants dispose en moyenne d'un DSI à temps partagé, parfois d'aucun. Une
intercommunalité a souvent un RSSI mutualisé pour vingt entités. Le CNFPT
cartographie tout juste les besoins en formation. Les directions générales sont
sommées de faire mieux avec moins, dans un calendrier budgétaire contraint,
sous le regard d'élus eux-mêmes peu armés pour arbitrer entre Mistral, Claude,
ChatGPT ou Gemini. Et pendant ce temps, l'État déploie un assistant souverain
basé sur Mistral pour 10 000 agents ministériels (mais l'accès n'est pas encore
ouvert aux territoires). Soixante-dix collectivités négocient leur entrée. Les
autres attendent. Et, en attendant, font ce qu'elles peuvent : elles ouvrent un
onglet ChatGPT.
Une bonne nouvelle,
pourtant
Il y a une bonne
nouvelle dans tout cela, et c'est celle qu'il faut, je crois, mettre en avant.
D'abord, les
collectivités ne sont pas naïves. Vingt-quatre d'entre elles ont déjà engagé
des concertations internes ou citoyennes sur l'IA, selon l'association des
Interconnectés. Des régions pionnières (Hauts-de-France, Bretagne, Occitanie)
structurent une architecture locale de cybersécurité que la Cour des comptes
salue. Le débat est ouvert, parfois maladroit, mais il est ouvert.
Une réponse
technologique française est en train d'émerger
Ensuite, et c'est un
point trop peu souligné : la réponse technologique au Shadow AI ne viendra pas
nécessairement des géants américains qui sont à la racine du problème. Un
écosystème français et européen émerge, qui propose précisément ce que les
collectivités cherchent : la capacité de voir, de comprendre et d'encadrer
l'usage des IA génératives par les agents, sans bloquer l'élan ni reconstruire
un SI à dix millions d'euros. Cette offre souveraine est plus simple à déployer
qu'un grand programme de transformation, parce qu'elle s'inscrit dans la
réalité du terrain (le poste de travail, le navigateur, l'agent qui clique).
Elle permet de cartographier les usages réels, d'orienter vers des outils
conformes, de protéger les données sensibles à la source. Sans interdire. Sans
punir. En accompagnant.
C'est, au fond, ce que
demandent les collectivités. Pas un discours de plus sur les risques. Pas une
énième circulaire. Un outil qui marche, qui parle leur langue, qui respecte
leur souveraineté (et qui ne soit pas, lui-même, américain).
Un symptôme d'avance,
pas de retard
Le Shadow AI n'est pas le symptôme d'une fonction publique territoriale dépassée. Il est le symptôme d'une fonction publique territoriale en avance sur sa propre gouvernance. À nous, acteurs français de la cybersécurité, de combler l'écart. Vite.


