Data / IA
Récap IA IT for Business : 2025, l’année des agents et de la gouvernance — ce que 2026 exigera des DSI
Par Thierry Derouet, publié le 31 décembre 2025
En 2024, l’IA a surtout brillé en vitrine : copilotes, promesses, démonstrations « waouh ». En 2025, elle a changé de pièce : elle est descendue dans les tuyaux — données, sécurité, coûts, agents, conformité, passage à l’échelle. Et 2026 s’annonce comme l’année des comptes à rendre, entre gouvernance, AI Act pleinement applicable et arbitrages industriels. Voici notre relecture « feuilleton » de l’IA, pour reprendre le fil — et retrouver, article après article, ce qui compte vraiment.
Il faut se souvenir de l’ambiance de 2024 : l’IA s’invitait partout, mais surtout dans les discours. Beaucoup d’entreprises ont découvert la puissance… et la fragilité. On parlait productivité, on mesurait mal la valeur. On s’émerveillait des modèles, on oubliait parfois le terrain : la donnée imparfaite, le code vieillissant, l’organisation qui résiste, et ce bruit de fond qui ne ment jamais — l’écart entre une démo et un système d’information.
Deux signaux, déjà, se distinguaient. D’abord, la transformation des métiers techniques : l’IA ne « remplaçait » pas, elle déplaçait les responsabilités, la qualité, la manière de concevoir et de vérifier. Ensuite, une évidence qui revient comme un refrain : « plus grand » n’est pas « mieux » quand les données sont bruitées, et quand la vérité opérationnelle se cache dans les exceptions.
- À relire : Vers une transformation du rôle des développeurs
- À relire : Big data, « noisy data » : plus grand n’est pas toujours mieux
2025 : l’IA descend dans les tuyaux (agents, plateformes, « usines »)
En 2025, un mot a fini par s’imposer parce qu’il décrit le vrai basculement : agentique. Non plus seulement répondre, mais agir. Non plus seulement assister, mais enchaîner des tâches, piloter des outils, déclencher des workflows — avec, au passage, une nouvelle question : qui tient le volant quand l’IA tient le clavier ?
Microsoft a cristallisé ce mouvement à Build 2025 : l’IA n’est plus un module, c’est une manière de concevoir le travail et le logiciel. L’entreprise ne « branche » plus un modèle : elle construit des expériences agentiques, des chaînes d’exécution, des garde-fous, et une observabilité. C’est là que la promesse cesse d’être un slogan : elle devient une architecture.
- À relire : Build 2025 (1/4) — L’agentification du travail selon Microsoft
- À relire : Build 2025 (2/4) — Des « usines » à agents IA
- À relire : Build 2025 (3/4) — Dev, Ops, sécurité et conformité à l’ère agentique
- À relire : Build 2025 (4/4) — Windows se réinvente pour l’ère agentique
L’Europe en 2025 : l’IA devient aussi une affaire d’industrie (et pas seulement de modèles)
En 2025, l’IA n’est plus seulement une « course aux modèles ». C’est une course aux capacités : calcul, énergie, talents, chaînes d’approvisionnement, souveraineté. L’Union européenne a tenté de remettre la main sur le scénario industriel — AI Factories, stratégie « AI Continent », supercalculateurs, gigafactories. On peut discuter la vitesse ; on ne peut plus ignorer la direction.
- À relire : AI Continent — l’Europe pose les bases stratégiques de son ambition IA
- À relire : EuroHPC — l’AI Factory « LISA » et l’extension du HPC Leonardo
- À relire : Alice Recoque — le HPC exascale français au cœur de l’IA européenne
- Pour le cadre : AI Act — timeline officielle (Commission européenne)
Modèles : la revanche du « sur-mesure » (et la fin de l’obsession unique du gigantisme)
2025 a aussi été l’année où beaucoup de DSI ont cessé de poser une question naïve (« quel est le meilleur modèle ? ») pour poser une question utile (« quel est le bon couple modèle + données + garde-fous + coût ? »). D’où le retour en grâce des petits modèles (SLM), des approches hybrides, des modèles de raisonnement orientés entreprise, et d’une idée plus pragmatique : l’IA n’est pas un monolithe, c’est un portefeuille.
- À relire : Adieu au gigantisme LLM ? Les entreprises misent sur l’IA sur mesure des SLM
- À relire : SLM First — le choix rationnel pour déployer des agents IA à l’échelle
- À relire : OpenAI DevDay 2025 — ce qu’il faut en retenir
- À relire : OpenAI réinvestit le terrain de l’IA ouverte (modèles orientés entreprises)
Le vrai mur 2025 : passer du POC au « système » (ROI, adoption, dette, gouvernance)
La phrase qui résume 2025, nous l’avons entendue, mesurée, répétée : « il n’a jamais été aussi simple de faire un POC… et jamais aussi difficile de l’industrialiser. » Elle revient comme une ritournelle parce qu’elle décrit un monde où l’IA « marche » vite… mais « tient » mal, si on ne traite pas l’adoption, la donnée, l’architecture, les processus, et le pilotage de la valeur.
Les entreprises découvrent aussi une réalité moins glamour : l’IA coûte — au compute, à l’outillage, à la mise en qualité des données, à la sécurité. Elle ne s’autofinance pas magiquement. Et quand le marché s’emballe trop vite, l’offre devance la demande : Gartner parle déjà de surchauffe sur l’agentique.
- À relire : IA en entreprise — ROI, agents, data, passage à l’échelle (Matinale)
- À relire : Rapport Bain — « l’IA ne peut pas s’autofinancer »
- À relire : Pourquoi seuls 5% savent transformer l’IA en valeur
- À relire : Piloter l’adoption de l’IA : 7 piliers pour une culture partagée
- À relire : Gartner — la surchauffe du marché de l’IA agentique
Sécurité : quand l’agent IA devient une surface d’attaque
Le passage à l’agentique a ramené une vieille vérité : dès qu’un système peut agir, il peut être manipulé. La prompt injection n’est plus un sujet de laboratoire ; c’est un risque d’exploitation. Tenable l’illustre avec Copilot Studio : « le no-code promet des agents qui travaillent pour vous ; il peut aussi leur donner les clés du magasin ». Voilà l’époque : une consigne devient une action, une action devient un incident, et l’incident devient un audit.
Ce basculement est désormais documenté hors de notre écosystème : OWASP structure les risques LLM, et le NCSC britannique insiste sur un point brutal — la prompt injection n’est pas une simple variante « moderne » d’injection classique. C’est un autre animal.
- À relire : Copilot Studio piraté — Tenable et la faille structurelle des agents IA
- À relire : PromptLock — quand les ransomwares se dopent à l’IA
- Référence : OWASP — Prompt Injection (LLM01)
- Référence : NCSC — « Prompt injection is not SQL injection »
Régulation : 2025 a commencé à « dater » l’IA
En 2024, la conformité restait souvent un horizon. En 2025, elle est devenue un calendrier. L’AI Act est entré dans sa phase d’application progressive (interdictions et obligations de « AI literacy » déjà en application ; obligations sur les modèles généralistes ; puis pleine applicabilité). Et dans le même temps, Bruxelles a ouvert un autre front : la tentation de « simplifier » le RGPD au nom de la compétitivité IA — une ligne de crête qui concerne directement les DSI, parce qu’elle touche aux fondations : les données, leurs usages, et la capacité à prouver qu’on tient la route.
- À relire : Digital Omnibus — comment Bruxelles détricote le RGPD au nom de l’IA
- Pour le cadre : AI Act — cadre & timeline officielle
- Pour le détail : AI Act Service Desk — Article 113 (entrée en application)
Décembre 2025 : la latence, le MCP, et le retour du réel
À la fin de 2025, un symptôme a pris une valeur inattendue : la latence. Longtemps, on a confondu « rapide » et « utile ». Or, plus un agent fait vraiment le travail — chercher, vérifier, tester, éditer, relancer — plus il prend du temps. La latence devient alors le coût visible d’une IA qui cesse de « faire semblant ».
Dans le même mouvement, des briques techniques se précisent. Le MCP s’invite dans des retours terrain. Des chiffres apparaissent (tokens, industrialisation, gouvernance). Et côté ingénierie logicielle, les agents cessent d’être des assistants : ils deviennent des équipiers de production, capables d’itérer sur un dépôt, de piloter tests et CI, et d’avaler des refactorings massifs.
- À relire : IA — quand la latence devient un signe de maturité technologique
- À relire : SNCF Voyageurs (TGV) — MVP IA, MCP adopté, et 9 milliards de tokens
- À relire : GPT-5.2-Codex — le cœur des agents d’ingénierie logicielle
- À relire : GPT-5.2 est déjà là… et c’est du lourd
Ce que 2026 va vraiment poser sur la table
Si 2025 a été l’année du passage de la vitrine au chantier, 2026 ressemble à l’année du contrôle technique. Pas seulement parce que l’AI Act devient pleinement applicable au fil du calendrier, mais parce que l’entreprise va devoir répondre — au comité exécutif, aux auditeurs, aux régulateurs, aux métiers : « où est la valeur, où sont les risques, et qui assume ? »
Trois grandes interrogations se dessinent déjà pour les DSI :
- Gouverner des agents : identité, droits, actions autorisées, traçabilité, supervision à l’exécution, preuve.
- Tenir l’économie : coût du token, coût du run, coût des données, coût de la sécurité — et modèle de financement durable.
- Éviter la fragmentation : Shadow IA, « mini-agents » métiers, plateformes disparates, et un SI qui se recompose sans plan.
Et puis il y a la question la plus humaine, celle qu’on remet toujours à demain : l’acculturation. Une organisation n’adopte pas l’IA parce qu’on la déploie. Elle l’adopte quand elle comprend ce qu’elle délègue, ce qu’elle contrôle, et ce qu’elle refuse de déléguer.
Pour replonger : nos « autres articles » IA 2025
- Dossier spécial IA 2025 — La Vague IA est là
- Ignite 2025 — Microsoft veut nous convaincre que l’IA agentique est mature
- Ignite 2025 — Windows 11 vers un OS agentique
- Plateformes agentiques — l’autonomie des métiers, nouvelle frontière du no-code
- Salesforce — « nous entrons dans un monde où l’on embauche des IA »
- Dreamforce 2025 — le jour où Marc Benioff a rendu l’IA « raisonnable »
En 2024, l’IA était une promesse. En 2025, elle est devenue une mécanique. En 2026, elle sera une responsabilité. Et c’est peut-être là, finalement, que l’histoire devient intéressante : quand la technologie cesse d’être un sujet… pour devenir une pratique, un risque, un budget, un choix — bref, un vrai sujet de DSI.
À LIRE AUSSI :
