DSI : intégrer l'IA dans votre SI existant sans casser ce qui marche

Pour une DSI de PME (30-200 salariés) en 2026, intégrer l'IA générative dans le SI existant est devenu un sujet de table COMEX. Mais entre le shadow IT incontrôlé et l'over-engineering paranoïaque, il y a un chemin maîtrisé. Voici la méthode appliquée sur 16 projets DSI PME en 18 mois.

Quels sont les 3 risques structurants d'une intégration IA ?

Avant d'attaquer la méthode, comprendre ce qu'on cherche à éviter.

Risque 1 — Exposition de données sensibles via shadow IT

Sur 16 audits DSI PME, 14 avaient des collaborateurs utilisant ChatGPT consumer sans encadrement. Conséquence : données client confidentielles, contrats, données salariés copiés dans des prompts sans contrôle. Risque RGPD majeur + risque secret professionnel sur certains métiers.

Risque 2 — Dépendance non maîtrisée à un fournisseur

Brancher tous les workflows critiques sur Claude API ou GPT-5 API sans architecture d'abstraction = lock-in fort. Si l'éditeur double ses tarifs ou change ses CGU, vous avez 1-3 mois pour réagir. Vu sur 3 projets en 2025-2026.

Risque 3 — Dégradation des SLA existants

Si les workflows IA touchent les systèmes critiques (CRM, ERP, facturation) sans gouvernance, risque de pollution : appels API non maîtrisés qui saturent les ressources, transactions à moitié appliquées en cas d'erreur LLM, données corrompues par des outputs mal validés.

Pour le contexte stratégique de présenter ces enjeux à la direction, voir notre méthode pour justifier un projet IA devant un COMEX PME.

Quelle est la méthode d'intégration en 5 phases ?

Phase 1 — Audit du SI existant et zones d'intégration (2-3 semaines)

Cartographie complète :

• Applications métier en place (CRM, ERP, GED, comptabilité, RH)
• Flux de données entre applications
• Données sensibles vs publiques
• Identification du shadow IT IA actuel (interviews opérationnels)
• Zones où l'IA peut apporter de la valeur sans toucher au critique

Output : matrice priorisée des zones d'intégration potentielles + cartographie shadow IT à régulariser.

Phase 2 — Classification des données par sensibilité (1-2 semaines)

3 niveaux de classification (méthode standard) :

• Public : peut être envoyé à Claude/GPT API standard
• Interne : peut être envoyé via DPA + zone UE
• Confidentiel : doit rester sur infrastructure dédiée ou ne jamais sortir

Mapping pour chaque type de donnée que l'IA pourrait traiter. Validation par le DPO + équipe juridique.

Phase 3 — Choix de l'architecture (1 semaine)

3 architectures possibles selon la taille et la complexité du SI :

Option A — API directe (PME < 30 salariés) : chaque workflow appelle l'API LLM directement. Simple, économique, faible gouvernance.

Option B — MCP server + workflow N8N (PME 30-100 salariés) : un serveur N8N centralise les appels IA, expose des MCP servers réutilisables. Permet la gouvernance sans complexité enterprise. Voir notre analyse MCP Anthropic pour agents IA en entreprise.

Option C — Gateway IA interne (PME 100+ salariés) : tous les appels IA passent par un gateway interne avec authentification SSO, journalisation, budget par équipe, anti-abus.

Phase 4 — Plan de migration par briques avec dual-run (8-16 semaines)

Migration incrémentale :

• Brique 1 : pilote sur 1 use case non-critique (3-5 semaines)
• Brique 2 : extension à 2-3 use cases supplémentaires si validation (4-6 semaines)
• Brique 3 : régularisation du shadow IT (formation + outils officiels)
• Brique 4 : automatisation des workflows back-office (4-8 semaines)

Aucune brique ne se déploie sans dual-run et monitoring pendant 14-30 jours.

Phase 5 — Monitoring et gouvernance long terme (continu)

Revue mensuelle :

• Coûts API par équipe/projet
• Volumes et latences
• Incidents et hallucinations
• Évolutions à valider (nouveaux use cases, nouveaux modèles)

Pour le pattern de migration sans casse, voir notre méthode migration Zapier vers N8N, transposable au cas IA.

Quelle architecture cible pour une PME en 2026 ?

Pour les PME 50-200 salariés, l'architecture qui s'impose en 2026 :

Couche 1 — Gateway IA interne

Un service interne (peut être un simple workflow N8N + API custom) qui :

• Centralise tous les appels Claude/GPT
• Authentifie via SSO entreprise (Okta, Azure AD, Google Workspace)
• Logue toutes les requêtes et réponses
• Applique des règles de filtrage (DLP basique sur données sensibles)
• Gère le budget par équipe

Couche 2 — Connecteurs métier

MCP servers pour chaque outil métier (Postgres, Salesforce, Notion, GitHub, Slack). Réutilisables, maintenables. Voir notre analyse MCP Anthropic pour agents IA en entreprise.

Couche 3 — Workflows orchestrés

N8N self-hosted (cf. notre analyse N8N Cloud vs self-hosted en 2026) qui orchestre les workflows agent IA + connecteurs.

Couche 4 — Monitoring transverse

Dashboard Grafana ou Metabase qui agrège les logs gateway + workflows. Alerting sur incidents, dérives coûts, anomalies.

Sur 16 projets DSI PME, 12 sont sur cette architecture cible. Les 4 autres sont en transition (pilote en API directe avant gateway).

Comment gérer la classification des données ?

3 règles pratiques observées sur 16 projets :

Règle 1 — Documentation explicite des données par workflow

Pour chaque workflow IA, document court (1-2 pages) :

• Types de données ingérées
• Niveau de classification (Public / Interne / Confidentiel)
• Fournisseur IA utilisé et garanties (DPA, zone, no training)
• Durée de conservation

Validé par DPO et stocké dans le registre des traitements RGPD.

Règle 2 — Filtrage DLP basique au gateway

Le gateway IA détecte les patterns sensibles avant envoi : numéros de sécurité sociale, IBAN, données carte bancaire, NIR. Bloque ou anonymise automatiquement selon politique.

Outils : OpenAI Moderation API en pré-filtrage + règles regex custom + revue trimestrielle des incidents bloqués.

Règle 3 — Architectures dédiées pour les confidentiels

Si vous traitez du Confidentiel (secret professionnel avocats/médecins/CGP/comptables), l'API standard ne suffit pas. Architecture cible : Claude via AWS Bedrock zone Europe + DPA renforcé + audit annuel.

Pour le pattern complet RGPD/conformité IA en 2026, voir notre analyse RGPD et IA générative selon la CNIL en 2026.

Quelle gouvernance long terme mettre en place ?

3 composantes structurantes sur les 16 projets observés.

Composante 1 — Comité IA mensuel

Réunion 90 minutes / mois, 4-6 personnes :

• DSI (président)
• DPO ou référent RGPD
• 2-3 owners métier (qui utilisent les outils IA)
• Eventuellement un partenaire externe sur les 6 premiers mois

Agenda type : revue indicateurs, incidents, nouveaux use cases, évolutions modèles, budget.

Composante 2 — Charte usage IA pour les collaborateurs

Document court (2-3 pages) qui définit :

• Quels outils IA officiels (Claude entreprise, ChatGPT entreprise) sont autorisés
• Quelles données peuvent être envoyées dans quel outil
• Que faire si on a un doute (canal Slack DSI)
• Conséquences en cas d'usage non conforme

Signée par chaque collaborateur, mise à jour annuelle.

Composante 3 — Audit annuel externe

Une fois par an, audit conduit par un cabinet externe (avocat spécialisé + DPO indépendant) : conformité RGPD, conformité AI Act, sécurité technique, gouvernance. Coût : 2 800-7 500€ HT selon taille entreprise.