Agents IA sous contrôle américain : un DSI européen tire la sonnette d'alarme

# Agents IA sous contrôle américain : un DSI européen tire la sonnette d'alarme

*En 2026, le rachat de Symmetry Systems par Zscaler illustre une tendance lourde : les éditeurs américains de cybersécurité absorbent méthodiquement les briques de gouvernance des agents IA. Nous avons interrogé un DSI d'une ETI industrielle européenne, en charge de la transformation numérique d'un groupe présent dans cinq pays de l'Union. Il a accepté de nous parler franchement, à condition de rester anonyme.*

RiffLab : Quand vous avez appris le rachat de Symmetry Systems par Zscaler, quelle a été votre première réaction ?

Une réaction de fatigue, honnêtement. Pas de surprise — ça fait des années que le marché de la cybersécurité se consolide côté américain. Mais cette fois, quelque chose m'a frappé différemment. Symmetry n'était pas un éditeur de firewall ou d'antivirus. C'était une société spécialisée dans la gouvernance des données structurées autour des systèmes d'IA — qui accède à quoi, quel agent manipule quelle donnée sensible, quelle politique s'applique en temps réel. En absorbant ça, Zscaler ne rachète pas un outil de sécurité de plus. Il rachète une capacité de contrôle sur ce que font les agents IA au cœur des systèmes d'information. Et cette capacité sera désormais opérée depuis une infrastructure soumise au Cloud Act américain. Pour moi, c'est un signal d'alerte de premier ordre.

RiffLab : Concrètement, qu'est-ce que ça change pour une ETI européenne qui utilise des agents IA dans ses processus métier ?

Ça change beaucoup, et je pense que beaucoup de mes pairs n'ont pas encore mesuré l'étendue du problème. Un agent IA qui automatise un processus RH, financier ou commercial ne se contente pas d'exécuter des tâches. Il lit, classe, corrèle des données souvent très sensibles — des données personnelles au sens du RGPD, des données couvertes par NIS2 si vous êtes dans un secteur critique, des données financières soumises à DORA si vous êtes dans les services. La couche de gouvernance qui supervise cet agent — qui lui dit ce qu'il peut toucher, ce qu'il doit journaliser, ce qu'il doit refuser — cette couche devient stratégique. Si elle est opérée par un acteur américain, vous perdez la maîtrise effective de votre conformité. Vous dépendez d'un tiers soumis à une juridiction étrangère pour attester que vos agents IA respectent le droit européen. C'est un paradoxe absurde, et je pense qu'il faut le nommer clairement.

RiffLab : Le Cloud Act revient souvent dans ces débats. Est-ce vraiment un risque opérationnel ou plutôt un argument théorique ?

C'est un risque opérationnel réel, et je vais vous dire pourquoi je ne le traite plus comme une abstraction juridique. Depuis que nous avons déployé des agents IA dans notre chaîne de production documentaire, j'ai cartographié précisément quelles données ces agents manipulent. Certaines relèvent du secret des affaires, d'autres touchent à des données personnelles de salariés dans plusieurs pays européens, d'autres encore concernent des sous-traitants dans des secteurs sensibles. Si demain une autorité américaine — dans le cadre du Cloud Act ou d'une procédure d'investigation élargie — peut exiger d'un opérateur américain l'accès aux logs de gouvernance de mes agents IA, elle peut reconstituer une cartographie très précise de mon SI, de mes processus, de mes flux de données. Sans que j'en sois informé. Sans que je puisse m'y opposer efficacement. Ce n'est pas théorique. C'est une surface d'exposition que j'ai le devoir de réduire.

RiffLab : NIS2 et DORA imposent désormais des exigences renforcées sur la chaîne de sous-traitance numérique. Est-ce que ces textes vous donnent des leviers face à ce type de consolidation américaine ?

Ils donnent des leviers, oui — mais à condition de les utiliser avec détermination, et je ne suis pas certain que toutes les organisations en soient là. NIS2 oblige à cartographier et à évaluer les risques liés aux tiers critiques. Si votre couche de gouvernance des agents IA est opérée par un acteur américain soumis au Cloud Act, cette dépendance doit apparaître dans votre analyse de risque tiers. Elle doit être qualifiée, documentée, et vous devez démontrer que vous avez pris des mesures de mitigation. DORA va encore plus loin pour les entités financières : il exige des droits d'audit contractuels effectifs sur les prestataires critiques. Essayez donc d'obtenir un droit d'audit réel sur l'infrastructure d'un acteur américain dominant — je vous souhaite bon courage. En pratique, ces textes créent une pression réglementaire qui devrait logiquement orienter les achats vers des acteurs européens auditables. Mais il faut que les directions juridiques et les DSI travaillent ensemble pour transformer cette pression en décision d'achat. Ce n'est pas encore systématique.

RiffLab : Face à cette consolidation, existe-t-il des alternatives européennes crédibles sur le segment de la gouvernance des agents IA ?

L'écosystème européen se structure, mais il faut être honnête : on part de loin sur ce segment très spécifique. Ce que je vois émerger, c'est une approche par briques souveraines combinées plutôt qu'une suite intégrée qui rivaliserait frontalement avec Zscaler. Des éditeurs comme Tehtris — qui a investi massivement sur la détection et la réponse aux comportements anormaux des systèmes autonomes — commencent à adresser sérieusement la question des agents IA. Il y a aussi des initiatives portées par des consortiums européens dans le cadre de Gaia-X ou d'appels à projets IPCEI qui produisent des frameworks de gouvernance exploitables. Ce n'est pas encore packagé et vendu avec la puissance commerciale d'un acteur américain, je ne vais pas vous mentir. Mais je pense que le vrai levier pour les ETI européennes aujourd'hui, c'est de refuser de laisser ces choix architecturaux se faire par défaut — par facilité ou par habitude de travailler avec les acteurs dominants US.

RiffLab : Un dernier mot pour vos pairs DSI qui lisent cet article et qui n'ont pas encore posé ce sujet sur la table de leur comité de direction ?

Je leur dirai ceci : le sujet des agents IA n'est plus un sujet d'innovation. C'est un sujet de gouvernance, de conformité et de souveraineté opérationnelle. Et il arrive très vite sur vos bureaux — que vous ayez déjà déployé des agents ou que vous vous apprêtiez à le faire. La question de savoir qui contrôle la couche de gouvernance de ces agents, qui peut accéder aux logs, qui décide des politiques d'accès aux données, c'est une question que vous devez poser avant de signer n'importe quel contrat avec n'importe quel éditeur. Pas après. Parce qu'après, vous avez créé une dépendance dont il sera très coûteux de sortir. La consolidation américaine que nous observons avec des mouvements comme celui de Zscaler n'est pas un accident de marché. C'est une stratégie délibérée pour contrôler les infrastructures d'IA au niveau de la couche de confiance. Il faut la lire comme telle, et répondre avec la même clarté stratégique.

*Propos recueillis par la rédaction de RiffLab Media. L'interviewé a souhaité conserver l'anonymat en raison de sa position dans un secteur industriel sensible.*