Le DSI est le pivot le plus exposé des projets IA en 2026. C’est lui qui doit garantir la sécurité du SI, piloter le coût LLM, choisir le bon modèle, et délivrer une vraie valeur métier — sans empiler une dette technique de plus. Ces 15 questions sont celles qu’on entend chaque semaine dans les comités de pilotage.
Comment exposer mes APIs internes à un LLM en sécurité ?
Trois patterns possibles, classés du plus sûr au plus exposé. MCP server interne : vous écrivez un serveur Model Context Protocol qui wraps vos APIs avec une whitelist d’outils, un audit log par appel, et un scope par agent. Le LLM ne voit que les outils que vous exposez, jamais l’API brute. Function calling avec gateway : un proxy LLM (Portkey, LiteLLM, ou maison) intercepte les tool calls et les route vers vos APIs après vérification. Direct browser access : à éviter — le LLM voit votre URL, vos tokens, vos schémas. Recommandation : MCP en interne, tools whitelistées par agent, audit log immutable, et un kill-switch par scope. Jamais de credentials en clair dans le contexte LLM.
Quel LLM EU pour mon SI en 2026 ?
Le choix réaliste se réduit à trois fournisseurs souverains EU : Mistral via Scaleway (souverain France, Mistral Large 2 et Codestral, hébergement Paris/Amsterdam), Claude API EU (Anthropic, région Frankfurt, DPA strict, zéro rétention possible), et Azure OpenAI région West Europe (mais Microsoft reste US, donc Cloud Act applicable malgré la région). Pour un SI public ou data sensible : Mistral via Scaleway. Pour la qualité maximale et conformité AI Act stricte : Claude EU. Pour les écosystèmes Microsoft déjà établis : Azure OpenAI avec DPA renforcé. Évitez l’API OpenAI directe pour tout ce qui touche du PII non anonymisé.
Comment piloter le coût LLM mensuellement ?
Le coût LLM dérape toujours par les boucles d’agent et le contexte qui gonfle. Trois leviers concrets. Routing intelligent : Haiku/Mistral Small pour les classifications, Sonnet/Mistral Large pour le raisonnement, Opus uniquement pour les missions critiques. Économie typique 60-75 % vs tout-en-Sonnet. Prompt caching : Anthropic et OpenAI cachent les prompts répétés, gain 50-90 % sur les system prompts longs. Plan caching : pour les agents répétitifs, on cache les plans d’exécution réussis et on les rejoue (gain 90 % sur les tâches récurrentes). Mettez en place un budget mensuel par agent, alertes à 80 %, kill à 110 %.
Le Model Context Protocol (MCP), c’est mature en 2026 ?
Oui pour les usages internes. MCP est devenu de fait le standard pour exposer des outils à un LLM (Claude Desktop, Cursor, et la plupart des clients agents le supportent). L’écosystème serveurs est riche (filesystem, GitHub, Slack, base de données, web). Mais MCP n’est pas une couche de sécurité — c’est un protocole. Vous restez responsable de l’authentification, de la whitelist d’outils, et de l’audit log. En production, on recommande un MCP gateway interne qui agrège vos serveurs MCP, applique des policies par agent, et trace tout. Voir notre article sur MCP en entreprise.
Comment auditer un projet IA avant de le déployer en prod ?
Un audit IA pré-prod sérieux couvre 6 dimensions. Sécurité : whitelist d’outils, sandbox d’exécution, kill-switch testé. Données : classification, sanitization, retention zéro chez le fournisseur LLM. Coût : budget par agent, alertes, kill automatique. Qualité : evals automatiques sur 50-200 cas représentatifs, score min de passage. Observabilité : logs structurés par appel LLM, tracing distribué, alerting. Conformité : AI Act (catégorie de risque, documentation), RGPD (DPIA si nécessaire). On livre typiquement ce genre d’audit en 2-3 semaines pour 4 800 €. Voir notre service Audit IA.
RAG ou fine-tuning pour ma base de connaissance interne ?
En 2026, RAG dans 90 % des cas. Le fine-tuning n’a de sens que si votre base évolue très peu, votre volume de requêtes est massif, et la latence est critique. Pour une base documentaire qui change chaque semaine, le RAG (embeddings + retrieval + génération avec citations obligatoires) est moins cher, plus traçable, et plus à jour. Investissement RAG type : 25-45 k€ pour un index vectoriel interne, qualité d’extraction, et UI métier. Le coût récurrent reste sur l’embedding et le LLM de génération. Voir notre comparatif RAG vs fine-tuning.
Mon DPO me bloque sur ChatGPT — comment débloquer ?
Votre DPO a raison s’il s’agit de ChatGPT direct (compte payant ou Plus). Sans plan Enterprise, OpenAI peut entraîner ses modèles sur vos prompts. Trois sorties propres : passer sur ChatGPT Enterprise (zéro rétention contractuelle), passer sur API directe avec opt-out training (plus flexible, moins cher en volume), ou choisir un fournisseur EU comme Claude EU ou Mistral. Documentez la décision avec une DPIA, mettez en place une charte d’utilisation, et formez les équipes sur ce qui ne doit JAMAIS sortir (PII, données concurrentielles, code propriétaire critique).
Comment monitorer la qualité d’un agent IA en production ?
Trois couches d’observabilité minimales. Logs structurés : chaque tool call, chaque tour de boucle, chaque réponse LLM, avec timestamp, agent, scope, tokens, coût. Evals continues : un set de 50-200 cas représentatifs rejoués chaque jour ou chaque release, score moyen tracké. User feedback : un thumbs-up/thumbs-down embarqué dans l’UI, agrégé par cas d’usage. Outils 2026 : LangSmith, Weights & Biases Weave, Datadog LLM Observability, Helicone. En interne, un simple Postgres + Grafana fait le job pour 80 % des PME.
Quels sont les risques d’agents autonomes en production ?
Cinq risques à mitiger systématiquement. Dérive de but (l’agent fait des choses à côté de l’objectif) → décomposition en sous-tâches mesurables. Boucle infinie (l’agent retente la même action) → compteur d’échecs, mémoire d’erreurs. Action irréversible (delete massif) → whitelist d’outils, soft-delete par défaut, validation humaine au-delà d’un seuil. Fuite de données (envoie de PII à un outil tiers) → classification, sanitization, refus explicite. Coût qui explose (boucle agent qui consume tokens) → budget hard, kill-switch automatique. Voir notre article sur les agents autonomes.
Faut-il un cluster GPU interne pour faire de l’IA en 2026 ?
Quasiment jamais pour une PME ou ETI. Le coût d’un cluster GPU sérieux (8x H100 = ~250 k€ + admin) ne se justifie que si vous avez du fine-tuning continu sur des données ultra-sensibles, ou des volumes d’inférence massifs avec contraintes latence. Pour 99 % des cas, l’API d’un fournisseur LLM (Claude, OpenAI, Mistral) est plus rapide à mettre en place, plus économique, et plus à jour. Si la souveraineté est exigée, Scaleway (Mistral) ou Anthropic Frankfurt couvrent l’EU.
Comment intégrer l’IA dans mes process existants sans tout casser ?
Le pattern qu’on déploie systématiquement : augmentation, pas remplacement. L’IA s’insère comme un assistant ou un pré-traitement dans le process existant, validable par l’humain. Exemples concrets : un agent saisie comptable qui propose une écriture (le comptable valide), un agent veille qui pousse un digest (le manager décide), un agent qui pré-rédige une réponse client (le commercial relit). On ne change pas le process, on accélère le maillon le plus chronophage. Voir comment intégrer l’IA dans process existants.
Mes équipes IT n’ont pas la skill IA — comment former vite ?
Trois niveaux de formation à prévoir. Sensibilisation générale (1 jour) pour tout le monde IT : ce qu’est un LLM, un embedding, un agent, le vocabulaire de base. Formation pratique développeur (3-5 jours) pour les devs qui vont coder : prompt engineering, function calling, RAG, evals. Architecte IA (formation continue, 6-12 mois) pour 1-2 personnes seniors : AI Act, gouvernance, FinOps LLM, sécurité. Notre offre formation typique : 6 800 € pour un cabinet 8-15 personnes. Voir notre service Formation IA.
Comment savoir si mon use case mérite vraiment un agent IA ?
Un test rapide en 4 questions. Y a-t-il une décision à prendre par cas ? (sinon, c’est de l’automatisation classique). La décision dépend-elle d’un texte non structuré ? (sinon, des règles métier suffisent). Les cas sont-ils suffisamment répétitifs pour amortir l’effort ? (au moins 100 cas/mois). Le coût d’erreur est-il maîtrisable ? (sinon, il faut un humain en validation systématique). Si 4/4, c’est un bon use case agent IA. Si 2/4, c’est probablement de l’automatisation déguisée. Voir automatisation IA vs automatisation classique.
Quelle gouvernance IA mettre en place dans une ETI ?
Trois rôles minimums et un comité. AI Officer (souvent le DSI ou un délégué) : pilote la conformité AI Act, le registre des systèmes IA, la classification de risque. Référent métier par direction (finance, RH, ventes) : valide les use cases, mesure le ROI réel. Référent technique (architecte) : garantit la cohérence technique, la sécurité, le FinOps. Comité IA mensuel pour passer en revue : nouveaux projets, incidents, dérives budget, alertes conformité. Charte d’usage écrite, formation annuelle, et registre des projets IA tenus à jour. C’est le minimum exigé par l’AI Act pour les systèmes “à haut risque”.
Combien coûte vraiment un projet IA bout en bout ?
Pour une PME française en 2026, fourchettes réalistes. Audit IA : 4 000 - 8 000 €. Implémentation chatbot RAG simple : 15 000 - 30 000 €. Agent métier (saisie, veille, support) : 25 000 - 60 000 €. Plateforme multi-agents avec orchestration : 80 000 - 150 000 €. À cela s’ajoute le coût récurrent LLM (de quelques centaines à quelques milliers €/mois selon l’usage) et la maintenance (10-20 % du projet par an). Méfiez-vous des devis sous 10 k€ pour un “vrai agent” — c’est du POC qui ne tiendra pas en prod. Voir combien coûte un projet IA en 2026 et calculez votre budget avec notre estimateur.
Vous voulez aller plus loin ?
Cette FAQ couvre l’essentiel mais chaque SI a ses spécificités. Si vous préparez une roadmap IA pour 2026 ou que vous voulez auditer un projet existant avant mise en prod, discutons de votre projet. Premier échange gratuit, sans engagement.