Les Shadow AIs : comment les employés introduisent des IA non sécurisées dans l’entreprise

Après l’ère du shadow IT, où les collaborateurs utilisaient des applications non validées par la DSI, voici celle du shadow AI. Depuis l’explosion de l’IA générative, de nombreux employés intègrent de leur propre initiative des outils comme ChatGPT, Claude ou Perplexity dans leurs tâches quotidiennes… souvent sans cadre ni validation. 

Ce phénomène, aussi spontané qu’invisible, pose des questions majeures de sécurité, de conformité et de souveraineté des données. Et les entreprises doivent désormais apprendre à gérer un nouveau risque : le BYOAI  

L’IA en libre accès : un outil puissant… et non maîtrisé 

Les usages de l’IA générative se multiplient dans tous les services : 

  • Marketing : rédaction de contenus avec ChatGPT, recherche d’idées sur Perplexity 
  • Développement : relecture de code avec GitHub Copilot ou Cody 
  • RH : génération de descriptions de poste ou de supports d’entretien 
  • Juridique : résumé de contrats ou veille réglementaire 

Ces outils augmentent la productivité, mais ils fonctionnent majoritairement dans le cloud, et les données saisies transitent par des serveurs extérieurs à l’entreprise. S’il n’y a pas de politique d’encadrement, un employé peut très facilement : 

  • Coller du code confidentiel dans un chatbot grand public 
  • Résumer un document sensible via un outil non chiffré 
  • Alimenter involontairement un modèle avec des données internes 

Dans certains cas, les conversations sont même stockées et réutilisées pour entraîner des modèles tiers. Ce qui peut violé les politiques internes de sécurité ou le RGPD

Pourquoi les Shadow AIs se développent malgré tout 

Le phénomène s’explique par plusieurs facteurs : 

  • Facilité d’accès : une simple inscription suffit, sans installation complexe 
  • Manque de clarté interne : dans beaucoup d’entreprises, aucune ligne directrice claire n’encadre l’usage de l’IA 
  • Attentes de productivité : les équipes cherchent à gagner du temps face à des charges croissantes 
  • Pédagogie insuffisante de la DSI : les blocages techniques ne sont pas toujours accompagnés d’alternatives autorisées 

Résultat : l’IA s’infiltre dans les workflows par la porte dérobée, hors de toute supervision. 

Outils et pratiques pour reprendre le contrôle 

Les entreprises commencent à s’équiper pour détecter, encadrer et sécuriser ces usages émergents. Plusieurs leviers sont disponibles : 

1. Surveillance des usages (Shadow AI Detection) 

Des solutions comme Microsoft Purview, Lookout, Symantec DLP ou Netskope permettent d’analyser le trafic réseau et de détecter les appels à des services IA non autorisés (requêtes API, accès web, copier-coller de données sensibles). 

Ces outils offrent : 

  • Une cartographie des IA utilisées par les collaborateurs 
  • Des alertes en temps réel en cas de fuite potentielle 
  • Des tableaux de bord pour qualifier les risques 

2. Encadrement via des politiques d’usage claires 

Il est essentiel de rédiger des chartes IA internes, qui précisent : 

  • Quels outils sont autorisés ou interdits 
  • Quels types de données peuvent être traités via IA 
  • Quelles précautions sont obligatoires (floutage, anonymisation, vérification humaine) 

Certaines entreprises vont plus loin et mettent en place un processus de validation IA, proche des listes blanches d’applications (allowlisting). 

3. Proposition d’alternatives maîtrisées 

Interdire ne suffit pas. Il faut proposer des alternatives internes ou souveraines : 

  • Déploiement de chatbots IA en local ou sur cloud privé 
  • Intégration d’IA générative dans les outils métier via API contrôlées (ex. Azure OpenAI, Mistral, Hugging Face) 
  • Usage de modèles open source embarqués, pour les données sensibles (comme LLaMA ou Mistral 7B) 

Cette approche évite la frustration, tout en préservant la sécurité. 

4. Formation et acculturation 

Les collaborateurs doivent comprendre les risques : 

  • Données saisies = données exposées 
  • Un prompt mal formulé peut divulguer des éléments critiques 
  • Les modèles publics ne garantissent ni confidentialité ni traçabilité 

Une campagne de sensibilisation bien conçue (quiz, ateliers, simulations) peut prévenir bien des erreurs. 

Conclusion : entre innovation et exposition 

Le Shadow AI est le symptôme d’une transformation rapide du travail. Les collaborateurs veulent être plus efficaces, plus rapides, plus créatifs — et ils se tournent naturellement vers l’IA. 

Mais sans cadre ni stratégie, ces usages peuvent exposer l’entreprise à des risques majeurs : fuites de données, non-conformité RGPD, dépendance à des services non maîtrisés. 

Plutôt que de freiner les usages, les entreprises doivent les canaliser intelligemment, en alliant visibilité, pédagogie et outils adaptés. Car l’IA n’est pas le problème. Le manque de gouvernance, si.