Bienvenue dans l’ère moderne de la cybersécurité avec ChatGPT, celle où vos collaborateurs, armés de leurs plus nobles intentions, décident volontairement de faire fuiter vos données sensibles. Non pas à cause d’un phishing vicieux ou d’un malware sournois… mais grâce à des outils « intelligents » qu’ils utilisent dans votre dos. On appelle ça le Shadow SaaS, et c’est beaucoup plus tendance que le Shadow IT : c’est brillant, c’est branché, et surtout, c’est bourré d’IA générative.
L’apothéose du clic irresponsable
Fini les bons vieux Excel partagés dans des Dropbox personnelles (voir notre dossier sur les Shadow IT. Aujourd’hui, on entre du contenu RH, des chiffres confidentiels, voire des morceaux de code source dans ChatGPT, Notion, Bard, Grammarly, ou même Midjourney. Le tout sans NDA, sans chiffrement, sans gouvernance. C’est gratuit, c’est magique… et ça donne des sueurs froides aux RSSI.
Un exemple ? Un développeur anonyme a récemment collé un bout de code d’un logiciel bancaire dans ChatGPT pour « comprendre pourquoi ça buggait ». Résultat : une IA OpenAI entraînée à résoudre des problèmes métier avec des secrets industriels en bonus.
La magie des plugins douteux
Vous pensiez que le prompt direct était dangereux ? Attendez de découvrir les plugins. Le top du top, ce sont ces extensions ChatGPT capables d’aller chercher vos fichiers Google Drive, de se connecter à Jira, ou d’interroger vos bases Notion. Parce que franchement, pourquoi sécuriser vos API quand on peut confier tout ça à une boîte tierce hébergée à l’autre bout du monde ?
Petit bonus : certains plugins ChatGPT demandent des accès OAuth en mode « Full read/write »… pour un service de résumé de documents. Bien sûr, tout le monde clique sur « Accepter » les yeux fermés. C’est pour aller plus vite, voyons.
Quand l’IA vous recopie… vous-même
OpenAI a confirmé que les prompts pouvaient être utilisés pour entraîner ses modèles, sauf si vous cochez des cases bien planquées dans les paramètres (mais pourquoi se donner cette peine ?). Ce qui veut dire que si 20 salariés saisissent vos prévisions commerciales dans ChatGPT, une IA pourra un jour proposer votre propre stratégie à votre concurrent.
Mais tout va bien, hein, c’est pour améliorer les résultats.
Les RH, nouveaux champions du Shadow SaaS
Vous pensiez que les développeurs étaient les pires ? Détrompez-vous. Le département RH est en embuscade, armé de ChatGPT pour générer des réponses personnalisées à des conflits internes, reformuler des mails « sensibles », voire créer des profils LinkedIn. Tout ça à base de données personnelles, bien sûr. L’intelligence artificielle au service du RGPD ? Une idée de génie.
Et pendant ce temps, la direction pense avoir tout bloqué en coupant l’accès à Facebook.
Solutions simples (mais impopulaires)
- Cartographie des flux SaaS : Oui, ça demande du boulot, mais sans ça, vous ne saurez jamais que 12 employés utilisent encore Prezi pour faire leurs présentations.
- Mise en place d’un proxy filtrant avec journalisation : Vous allez pleurer, eux vont râler. Mais vous saurez enfin qui demande à ChatGPT « comment licencier un salarié en toute légalité ».
- Formation ludique et culpabilisante : Un bon quizz de fin avec « Vous avez partagé les salaires dans Notion sans y penser. Que faites-vous ? » peut faire des miracles.
- Tokenisation/obfuscation des données sensibles avant usage IA : Compliqué ? Oui. Mais tellement plus sain que de faire confiance à des IA « dans le cloud ».
Conclusion : confiance aveugle, risque absolu
Le Shadow SaaS, c’est un peu comme offrir les clés de votre maison à un inconnu sympa parce qu’il vous a souri. ChatGPT n’est ni méchant, ni dangereux en soi. Mais utilisé sans règles, sans encadrement et avec une foi quasi religieuse dans sa toute-puissance… il devient un puits sans fond de fuite d’information.
Alors la prochaine fois qu’un collègue vous dit : « T’inquiète, j’ai tout généré avec l’IA », demandez-lui juste où il l’a collé. Et priez pour que ce ne soit pas dans un plugin ukrainien certifié ISO-quelque-chose.
