Dans le sillage de la révolution de l’intelligence artificielle, une nouvelle zone grise se développe à toute vitesse : le “shadow AI”. Ces usages non déclarés de modèles d’IA par les salariés échappent au contrôle des directions informatiques. Un phénomène déjà massif, porteur d’autant d’innovations que de risques pour la sécurité, la conformité et la réputation des organisations.
Une IA qui s’installe en douce
Dans de nombreuses entreprises, les collaborateurs ont désormais un réflexe : ouvrir ChatGPT, Claude, Perplexity ou Copilot pour accélérer leur travail. Certains traduisent des documents internes, d’autres rédigent du code, résument des dossiers ou simulent des scénarios financiers. Rien de plus naturel : ces outils sont puissants, faciles d’accès, et souvent plus rapides que les solutions internes.
Mais derrière cette efficacité immédiate se cache un phénomène inquiétant : le shadow AI, ou intelligence artificielle de l’ombre. Ce terme désigne l’usage de modèles d’IA, publics ou privés, sans autorisation, ni contrôle de la DSI ou du RSSI. Autrement dit, des modèles qui échappent à toute gouvernance et dont personne ne maîtrise vraiment les flux de données.
“Nous découvrons aujourd’hui que des équipes métier exploitent des modèles open source ou des API externes, parfois reliées à nos données sensibles, sans que cela soit déclaré”, confie un directeur de la sécurité d’un grand groupe industriel. “C’est exactement le scénario du shadow IT des années 2010, mais dopé à l’intelligence artificielle.”
L’héritage du “shadow IT”, puissance dix
Le parallèle avec le shadow IT — ces outils non validés utilisés par les équipes pour contourner la lourdeur du système d’information — est évident.
Mais ici, l’enjeu dépasse la simple question d’outils : il touche au cœur de la donnée.
L’IA ne se contente pas de stocker ou d’afficher. Elle analyse, apprend et conserve parfois des fragments de ce qu’on lui soumet. Une simple demande “rédige un résumé du rapport financier Q2” peut exposer des informations confidentielles à des serveurs situés hors de l’Union européenne. Pire : ces données peuvent servir indirectement à réentraîner les modèles publics.
D’après une étude récente de Cyberhaven, plus de 8 % des employés d’entreprises du Fortune 500 auraient déjà transmis des données internes à un modèle d’IA externe. Et dans 95 % des cas, cela s’est fait sans validation ni sensibilisation préalable.
Une culture de l’efficacité qui court-circuite la sécurité
Pourquoi les collaborateurs prennent-ils ce risque ?
Les raisons sont aussi simples que révélatrices :
Les outils internes sont souvent perçus comme lents, complexes ou bridés. Les IA grand public offrent une réponse instantanée, gratuite et souvent bluffante. Et, surtout, il n’existe aucune politique claire encadrant ces usages dans beaucoup d’organisations.
“Les salariés ne font pas ça pour nuire à l’entreprise, mais pour mieux faire leur travail”, analyse Élodie Roussel, chercheuse en cybersécurité au CNAM. “Le danger, c’est que cette recherche de productivité se fasse sans conscience du périmètre de sécurité.”
Ce glissement culturel est d’autant plus rapide que les modèles d’IA s’intègrent désormais dans tous les environnements : navigateur, messagerie, IDE, CRM, voire outils bureautiques. Le shadow AI s’insinue partout — invisible, silencieux, parfois indétectable.
Des risques multiples et souvent invisibles
Les menaces associées au shadow AI ne se limitent pas aux fuites de données. Elles dessinent un paysage de risques systémiques, difficilement maîtrisable.
1. Fuite d’informations sensibles
Des données clients, des codes sources, des résultats de recherche ou des rapports RH peuvent être introduits dans des modèles externes. Une fois hors du périmètre, il devient impossible d’en garantir la confidentialité ou la suppression.
2. Non-conformité réglementaire
Le RGPD, la directive NIS2 ou les normes sectorielles (santé, finance, défense) imposent des règles strictes sur la localisation et la traçabilité des données. Un usage d’IA non autorisé peut engager la responsabilité juridique de l’entreprise.
3. Résultats biaisés ou erronés
Les modèles grand public génèrent parfois des contenus inexactes ou biaisés. Si ces résultats sont utilisés pour prendre des décisions opérationnelles — embauche, audit, production — le risque de dérive ou de réputation devient majeur.
4. Surface d’attaque élargie
Certaines IA open source peuvent contenir des failles (injections de prompt, exfiltration par API, etc.). Sans contrôle, elles deviennent une porte d’entrée vers le réseau interne.
5. Fragmentation du savoir et dette technique
Chaque équipe développant sa propre solution IA crée des silos et multiplie les dépendances. À long terme, cela complexifie l’intégration et fragilise la cohérence de l’écosystème numérique.
L’heure de la gouvernance IA
Pour les experts, la réponse ne peut être ni punitive ni purement technologique. Le shadow AI est symptomatique d’un vide de gouvernance, pas d’une rébellion. Il faut donc structurer, pas censurer.
“Le réflexe naturel des DSI, c’est d’interdire. Mais l’interdiction pure et simple pousse l’usage dans l’ombre”, souligne Laurent Jacquin, directeur cybersécurité chez Wavestone. “La bonne approche, c’est de proposer des alternatives officielles : un environnement IA sécurisé, contrôlé, mais libre d’usage.”
Trois leviers se dégagent pour reprendre le contrôle :
1. Établir une politique claire d’usage de l’IA
Chaque organisation doit définir :
les types d’usage autorisés et les données interdites ; les procédures de validation ; les responsabilités de chaque collaborateur.
Cette charte IA doit être lisible, diffusée et régulièrement mise à jour. Elle constitue la première barrière de sécurité culturelle.
2. Créer un environnement IA interne sécurisé
Fournir aux équipes des outils IA validés — qu’ils soient internes (LLM hébergé sur serveur privé) ou via des API contrôlées — réduit drastiquement les risques de contournement.
Certaines entreprises déploient déjà leur “AI Gateway”, une passerelle qui filtre, chiffre et journalise toutes les requêtes IA sortantes.
“C’est une question de confiance numérique,” estime Nicolas Berger, responsable IT d’un groupe de santé. “Si vous offrez une alternative interne performante, les utilisateurs n’iront pas chercher ailleurs.”
3. Surveiller, auditer et éduquer
La supervision doit devenir proactive : analyse des flux réseau, détection d’appels API IA non répertoriés, audits réguliers.
Mais la pédagogie reste la clé : sessions de sensibilisation, ateliers “bon usage de l’IA”, retours d’expérience concrets.
Plus qu’une technologie, c’est une culture du discernement numérique qu’il faut instaurer.
Le dilemme : innover sans se mettre en danger
Pour de nombreuses entreprises, la ligne de crête est fine : trop de contrôle freine l’innovation ; trop de liberté ouvre la porte aux incidents.
Le défi du shadow AI consiste précisément à trouver l’équilibre entre créativité et sécurité.
Les organisations les plus matures adoptent une approche “open but safe” : elles encouragent l’expérimentation dans des environnements confinés, mesurent les impacts, puis intègrent les réussites dans le SI officiel.
C’est ce que plusieurs grands groupes appellent déjà leur “AI Lab” : un espace de test contrôlé où les équipes peuvent prototyper sans risquer de compromettre les données réelles.
Vers une IA de confiance
Le shadow AI n’est pas une dérive passagère, c’est le symptôme d’un monde où l’intelligence artificielle devient omniprésente.
Refuser cette réalité reviendrait à ignorer l’ampleur de la transformation en cours.
Ce qu’il faut désormais construire, c’est une IA de confiance : transparente, éthique, traçable, alignée sur la stratégie d’entreprise.
Une IA qui améliore la performance sans compromettre la sécurité.
Une IA que les utilisateurs n’auront plus besoin de dissimuler.
Comme le résume un RSSI d’un groupe bancaire :
“L’avenir ne sera pas sans IA. Mais il ne peut pas non plus être sans règles.”
En savoir plus sur GDL T&C
Subscribe to get the latest posts sent to your email.