Comment mesurer la maturité IA de votre business ?

Je mesure la maturité IA avec quatre axes simples : usage, sophistication, gouvernance et infrastructure. Le vrai sujet, c’est rarement la techno. C’est le passage du bricolage invisible aux usages maîtrisés, puis des pilotes au ROI mesurable.

Où en est vraiment votre maturité IA ?

La maturité IA, je la mesure d’abord sur ce que les équipes font vraiment avec l’IA, pas sur ce que l’entreprise pense avoir déployé. C’est souvent là que l’écart apparaît. Sur le papier, il y a une stratégie, des licences, parfois un Copilot activé. Sur le terrain, les usages sont bricolés, dispersés, mal suivis.

J’utilise une grille simple en cinq niveaux. Le niveau 0, c’est l’Awareness ou la Shadow AI : les gens testent, souvent seuls, parfois avec leurs comptes personnels. Le niveau 1, c’est l’Experimental ou Pilot : on lance des cas d’usage, mais ils restent limités. Le niveau 2, c’est l’Operational ou Integration : l’IA commence à entrer dans les processus, avec un minimum de cadre. Les niveaux supérieurs existent, bien sûr, mais je les aborde avec prudence si l’organisation n’a pas déjà stabilisé ses usages, sa gouvernance et son infrastructure.

Pour éviter le piège classique, je ne regarde pas le nombre d’outils utilisés. Je regarde quatre dimensions très concrètes :

Intégrez l’IA Générative (GenAI) dans votre activité

Nos formations IA Générative (GenAI) et prompt engineering sont conçues pour les équipes qui veulent apprendre à exploiter les IA comme un pro. Vous y apprenez à structurer des prompts efficaces, à exploiter les meilleurs outils (assistants IA type ChatGPT, générateurs d’images, audio et vidéo) et à les appliquer à vos vrais cas métiers : analyser vos données (GA4, BigQuery, CRM…), produire des contenus clairs et crédibles, prototyper plus vite et automatiser les tâches répétitives. Des ateliers 100 % pratiques, pensés pour les entreprises, pour gagner du temps, sécuriser vos usages et livrer des analyses et supports de décision de niveau pro.

  • Usage : Qui utilise l’IA, pour quoi faire, avec quelle fréquence, et dans quels processus métier.
  • Sophistication : Est-ce qu’on fait juste des prompts simples, ou est-ce qu’on automatise, connecte, mesure, industrialise.
  • Gouvernance : Est-ce qu’il existe des règles sur les données, les accès, les validations, les risques, les responsabilités.
  • Infrastructure : Est-ce que les outils sont sécurisés, intégrés au SI, traçables, administrés correctement.

Une équipe peut utiliser ChatGPT ou Copilot tous les jours et rester peu mature. Si aucun registre des usages n’existe, si aucune politique de données n’est claire, si les accès ne sont pas contrôlés et si personne ne mesure la valeur produite, on est encore dans une zone fragile.

Chez certains clients, j’ai vu des directions convaincues d’être très avancées parce que les équipes faisaient des prompts tous les jours. En réalité, elles étaient encore au niveau 0, avec des comptes personnels, zéro audit et des données parfois sensibles copiées dans des outils publics. Ça pique un peu quand on le met à plat, mais c’est souvent le vrai point de départ.

DimensionCe que je regardeSignal de maturité faibleSignal de maturité plus forte
UsageLes cas d’usage réels dans les équipesDes tests isolés et non suivisDes usages intégrés aux processus métier
SophisticationLe niveau technique des pratiquesDes prompts ponctuels sans méthodeDes workflows IA mesurés et réutilisables
GouvernanceLes règles, contrôles et responsabilitésAucune politique claire sur les donnéesDes règles connues, appliquées et auditées
InfrastructureLa sécurité, les accès et l’intégrationDes comptes personnels et peu de traçabilitéDes outils administrés, sécurisés et connectés au SI

Pourquoi le Shadow AI est-il si risqué ?

Le Shadow AI, c’est l’IA utilisée dans l’entreprise sans validation officielle. Et le piège, c’est qu’elle crée souvent de la valeur tout de suite. Un collaborateur gagne du temps, résume un document, prépare un mail, cherche une info, rédige un brouillon. Sur le moment, tout paraît utile. Le vrai problème, ce n’est pas l’intention. C’est l’absence de visibilité, de contrôle et de responsabilité claire.

Au niveau 0 de maturité, que j’appelle souvent Awareness, les usages existent déjà mais personne ne les pilote vraiment. Des équipes utilisent des comptes personnels sur des IA publiques. Chat, résumé, traduction, reformulation, analyse rapide d’un fichier. Rien de spectaculaire. Sauf que ces usages basiques peuvent déjà exposer l’entreprise.

J’ai déjà vu un cas très simple chez un client. Une équipe commerciale copiait des notes de rendez-vous dans un outil IA pour générer des comptes rendus plus propres. Bonne idée. Sauf que les notes contenaient des noms de clients, des montants, des clauses en discussion et parfois des infos sensibles sur la concurrence. Personne n’avait validé l’outil. Personne ne savait où partaient les données. Personne ne pouvait auditer l’usage.

Les risques arrivent vite quand il n’y a pas de cadre :

  • Fuite de données : Informations clients, RH, financières, commerciales ou contractuelles copiées dans un service non approuvé.
  • Non-conformité : Données personnelles traitées sans base claire, sans registre, sans validation juridique ou sécurité.
  • Décisions biaisées : Réponses IA prises pour vraies alors qu’elles peuvent être incomplètes, inventées ou mal contextualisées.
  • Impossible à auditer : Aucun historique centralisé, aucun registre des usages, aucune preuve de contrôle.
  • Accès non maîtrisés : Comptes personnels, mots de passe faibles, données partagées hors de l’environnement de l’entreprise.

Les cadres sérieux vont tous dans le même sens. Le NIST AI Risk Management Framework insiste sur le fait qu’il faut cartographier, mesurer, gérer et gouverner les risques IA. ISO/IEC 42001 donne un cadre de management pour organiser ces pratiques. L’AI Act européen renforce aussi cette logique avec la classification des risques et la traçabilité selon les usages. Pas besoin d’en faire un cours juridique. Le message est simple : Si vous ne savez pas où l’IA est utilisée, vous ne pouvez pas gérer le risque.

La mauvaise réaction, c’est d’interdire brutalement l’IA. Ça ne supprime pas les usages. Ça les pousse juste encore plus dans l’ombre. La première action saine, c’est de comprendre ce qui existe déjà.

Mini-checklist pour cartographier le Shadow AI :

  • Quels outils IA sont utilisés aujourd’hui, même de façon informelle ?
  • Qui les utilise, dans quelles équipes, avec quels comptes ?
  • Quels types de données sont copiés ou envoyés dans ces outils ?
  • Quels cas d’usage reviennent le plus souvent ?
  • Quels usages touchent des données clients, RH, financières ou contractuelles ?
  • Existe-t-il un registre, une politique d’accès et une validation sécurité ?

Comment passer du niveau 0 au niveau 1 ?

Pour passer du niveau 0 au niveau 1, il faut arrêter de faire comme si personne n’utilisait l’IA. Le vrai sujet, c’est de passer d’un usage informel, caché, parfois risqué, à des pilotes autorisés, visibles et encadrés. Pas besoin de tout verrouiller. Il faut juste remettre de la lumière là où les usages existent déjà.

La première condition, c’est la visibilité. J’audite les usages non autorisés sans lancer une chasse aux sorcières. Quels outils sont utilisés ? ChatGPT, Copilot, Claude, Perplexity, des extensions Chrome obscures ? Quelles données partent dedans ? Des emails clients, du code, des contrats, des tickets support ? Quelles équipes sont concernées ? Marketing, support, finance, produit ? Et surtout, qu’est-ce qui les a poussées à utiliser ces outils. Souvent, ce n’est pas de la désobéissance. C’est juste que les process internes sont trop lents, les outils existants sont mauvais, ou les équipes cherchent à gagner du temps.

La deuxième condition, c’est de proposer des alternatives sanctionnées. Sanctionnées veut dire approuvées, pas punies. Si l’entreprise interdit tout sans rien proposer, les usages partent dans l’ombre. Il faut des outils ou instances approuvés, avec des règles claires, capables d’apporter un vrai gain de productivité tout en limitant les risques de fuite de données. Un outil IA interne, un Copilot bien configuré, une version entreprise avec non-entraînement des données, peu importe. Il faut que ce soit utile, sinon personne ne l’utilisera.

La troisième condition, c’est une gouvernance de base. Rien de bureaucratique. Juste le minimum vital :

  • Un registre des outils IA approuvés, avec les usages autorisés.
  • Des politiques simples sur ce qu’on peut faire et ne pas faire.
  • Des règles sur les données autorisées ou interdites, par exemple jamais de données clients sensibles dans un outil public.
  • Une surveillance légère mais réelle, pour détecter les dérives et ajuster le cadre.

La conduite du changement compte autant que la technique. Il faut un soutien exécutif clair, des champions internes dans les équipes, et une communication honnête. L’IA sert à augmenter les rôles, pas à remplacer les gens du jour au lendemain. J’ai vu des équipes se fermer très vite quand le message ressemblait à du contrôle. Si elles sentent que le sujet est punitif, elles se taisent. Si elles comprennent que le cadre protège leur travail et accélère les bons usages, elles participent.

Un pilote simple marche très bien avec une équipe support. L’IA approuvée résume les tickets, propose des réponses, classe les demandes par urgence ou typologie. L’humain valide avant envoi. Le gain est concret, le risque est maîtrisé, et tout le monde comprend à quoi sert le niveau 1.

CritèreNiveau 0Niveau 1
UsageInformel, caché, non déclaré.Pilotes visibles et autorisés.
SophisticationExpérimentation individuelle.Cas d’usage simples avec validation humaine.
GouvernanceAucune règle claire.Registre, politiques minimales, règles de données.
InfrastructureOutils publics utilisés au hasard.Outils approuvés, accès contrôlés, surveillance légère.

Pourquoi les pilotes IA restent-ils bloqués ?

Les pilotes IA restent souvent bloqués pour une raison simple : ils prouvent qu’une idée peut marcher, mais pas encore qu’un système peut être exploité au quotidien.

Au niveau 1, que j’appelle Experimental, on voit des pilotes autorisés, parfois même encouragés. Une équipe lance un POC, c’est-à-dire une preuve de concept. Il y a souvent un champion motivé, quelqu’un qui pousse le sujet, qui teste, qui embarque deux ou trois collègues. Ça donne des démos sympas. Parfois très impressionnantes. Mais les usages restent cloisonnés, peu connectés aux outils métier, et la gouvernance arrive surtout quand il y a un problème.

C’est ce que j’appelle le purgatoire des pilotes. Beaucoup de POC sont lancés, quelques-uns font le buzz en interne, très peu passent en production. Pas parce que l’IA ne marche pas. Plutôt parce que tout ce qui permet de l’exploiter n’a pas été prévu.

Les causes sont rarement mystérieuses :

  • Pas d’infrastructure solide pour faire tourner le système proprement.
  • Pas de priorité stratégique claire, donc tout semble intéressant mais rien n’est vraiment important.
  • Pas de budget d’exploitation après la démo.
  • Pas de règles claires sur la sécurité, les données ou les accès.
  • Pas de propriétaire métier responsable du résultat.
  • Pas de mesure du ROI, le retour sur investissement.
  • Pas de plan de maintenance quand le modèle dérive ou que les données changent.
  • Pas d’intégration dans les outils que les équipes utilisent déjà.

J’ai souvent vu des POC IA mourir non pas parce que le modèle était mauvais, mais parce que personne n’avait prévu qui allait l’utiliser le lundi matin, dans quel outil, avec quel support, et comment on allait prouver que ça valait quelque chose.

Pour sortir de ce blocage, je préfère choisir moins de cas d’usage, mais mieux les cadrer. Chaque pilote doit avoir un objectif business, un indicateur mesurable, un périmètre de données clair, un responsable métier, un responsable technique, une règle human-in-the-loop si la décision a un impact significatif. Ça veut dire qu’un humain valide ou supervise la décision. Et à la fin, il faut décider franchement : abandonner, améliorer ou industrialiser.

QuestionPassage au niveau 2 possible ?
Le pilote résout-il un vrai problème business ?Oui, si le problème est prioritaire et reconnu par le métier.
Un indicateur de succès est-il défini ?Oui, si on mesure un gain concret : temps, coût, qualité, revenu, risque.
Un propriétaire métier est-il nommé ?Oui, si quelqu’un porte l’usage après la démo.
L’IA est-elle intégrée aux outils existants ?Oui, si l’utilisateur n’a pas besoin de bricoler autour.
La sécurité et la maintenance sont-elles cadrées ?Oui, si les règles, les accès et le support sont déjà prévus.

Quand l’IA devient-elle opérationnelle ?

Pour moi, l’IA devient opérationnelle le jour où elle arrête d’être un jouet dans un coin et commence à tourner dans les vrais workflows. Elle est connectée aux outils, elle produit un résultat mesurable, elle a des contrôles stables, et surtout on sait dire si elle fait gagner du temps, de l’argent, ou de la qualité.

À ce niveau 2, que j’appelle souvent Operational ou Integration, l’IA n’est plus seulement un assistant isolé. Elle agit dans des processus concrets. Support client, RH, facturation, contrôle qualité, détection d’anomalies, relance fournisseur, analyse de tickets. J’ai vu ça chez un client avec un agent qui préqualifiait les demandes support avant escalade humaine. Ce n’était pas spectaculaire, mais ça marchait, et les gains étaient visibles.

Les signes de maturité deviennent assez clairs :

  • Des workflows agentiques multi-étapes, où l’IA enchaîne plusieurs actions avec des règles précises.
  • Une mesure d’usage, pas juste “on a lancé un agent”, mais combien de fois il est utilisé et par qui.
  • Une mesure de valeur, avec du temps gagné, des erreurs évitées, des coûts réduits ou une meilleure satisfaction client.
  • Une intégration dans plusieurs fonctions de l’entreprise, pas uniquement dans une équipe innovation.
  • Des protocoles human-in-the-loop, donc une validation humaine pour les décisions sensibles.
  • Une gouvernance formalisée, avec des responsabilités claires sur les données, les modèles et les usages.
  • Des contrôles d’accès RBAC, c’est-à-dire des droits définis par rôle pour éviter que tout le monde voie tout.
  • Une réduction sérieuse des risques de fuite de données, avec logs, permissions, cloisonnement et règles d’usage.
  • Un suivi des erreurs et une amélioration continue, parce qu’un agent IA laissé seul finit toujours par dériver.

Le passage du niveau 2 au niveau suivant est souvent le vrai mur. On ne parle plus d’expérimenter ou d’intégrer quelques cas d’usage. On parle de transformer l’organisation, ses responsabilités, sa gouvernance, son architecture et ses standards de qualité. À ce stade, il faut renforcer les pratiques avec des référentiels solides comme NIST AI RMF, ISO/IEC 42001 et, selon les usages, les exigences de traçabilité et de classification des risques de l’AI Act européen.

Le bon indicateur n’est pas le nombre d’agents IA en production. C’est votre capacité à les superviser, les auditer, les sécuriser et prouver leur contribution au business.

SignalCe que ça montre
ROI mesuréL’IA crée une valeur prouvée, pas une impression.
Contrôles d’accès en placeLes données sensibles sont mieux protégées.
Validation humaine définieLes décisions critiques restent maîtrisées.
Logs et audits disponiblesLes actions de l’IA peuvent être retracées.
Standards de gouvernance adoptésL’organisation peut préparer le passage au niveau suivant.

Alors, votre IA crée-t-elle vraiment de la valeur ?

La maturité IA ne se résume pas à lancer des outils ou à empiler des POC. Je la regarde avec quatre angles : usage, sophistication, gouvernance et infrastructure. Le vrai premier cap, c’est sortir du Shadow AI sans casser l’élan des équipes. Le deuxième, c’est dépasser les pilotes pour intégrer l’IA dans des workflows mesurables, contrôlés et utiles au business. Si vous savez où sont vos usages, quelles données circulent, qui valide quoi et quel ROI vous obtenez, vous avancez déjà beaucoup plus proprement. Le bénéfice pour vous est simple : moins de risque, moins de dispersion, plus de valeur concrète.

FAQ

  • Qu’est-ce que la maturité IA d’une entreprise ?
    La maturité IA mesure la capacité d’une organisation à utiliser l’intelligence artificielle de façon utile, contrôlée et durable. Je regarde surtout quatre dimensions : les usages réels, la sophistication des cas d’usage, la gouvernance et l’infrastructure.
  • Pourquoi le Shadow AI est-il un problème ?
    Le Shadow AI pose problème parce que les équipes utilisent des outils IA publics ou personnels sans visibilité côté entreprise. Ça peut exposer des données sensibles, créer des risques de conformité et rendre les décisions impossibles à auditer.
  • Comment passer d’un usage informel à un pilote IA encadré ?
    Je commence par cartographier les usages existants, puis je propose des alternatives approuvées et j’installe une gouvernance minimale : registre des outils, règles de données, responsables identifiés et surveillance légère. Le but n’est pas de bloquer, c’est de rendre l’usage visible et plus sûr.
  • Pourquoi les POC IA ne passent-ils pas en production ?
    La plupart restent bloqués parce qu’ils n’ont pas de propriétaire métier clair, pas d’indicateur de ROI, pas d’intégration aux outils existants ou pas de cadre de sécurité suffisant. Une bonne démo ne suffit pas. Il faut un vrai chemin vers l’exploitation.
  • Quels standards peuvent aider à gouverner l’IA ?
    Des cadres comme le NIST AI Risk Management Framework, ISO/IEC 42001 ou l’AI Act européen peuvent aider à structurer la gestion des risques, la gouvernance, la traçabilité et les responsabilités. Je les vois comme des repères pratiques, à adapter aux usages réels de l’entreprise.

 

 

A propos de l’auteur

Je suis Franck Scandolera, expert et formateur en tracking avancé server-side, Analytics Engineering, automatisation No/Low Code avec n8n, intégration de l’IA en entreprise et SEO/GEO. J’accompagne des équipes qui veulent rendre leurs données, leurs automatisations et leurs usages IA vraiment exploitables, pas juste séduisants en démo. J’ai travaillé avec des références comme Logis Hôtel, Yelloh Village, BazarChic, la Fédération Française de Football ou Texdecor. Je dirige l’agence webAnalyste et l’organisme Formations Analytics. Si vous voulez cadrer, industrialiser ou gouverner vos projets IA, contactez-moi.

Retour en haut
Formations Analytics