Prolifération du Shadow AI. L’IA générative est partout. Elle écrit vos mails, résume vos PowerPoints, et parfois, elle code même mieux que le stagiaire de l’été dernier. Mais derrière la façade brillante des abonnements corporate à ChatGPT Enterprise et consorts, il y a une réalité moins glamour.
Oui, vous avez bien lu. Après le Shadow IT, le Shadow SaaS, voici la nouvelle mascotte des RSSI : le Shadow AI. Autrement dit, toutes ces IA utilisées en douce, sans validation, sans contrôle, et parfois avec des données qui feraient pâlir d’envie un attaquant APT.
đź“Š Les chiffres qui piquent un peu
Selon le rapport MIT State of AI in Business :
- 40%Â des entreprises ont bien pris leur petit abonnement officiel Ă un LLM.
- 90% des employés, eux, utilisent déjà des IA au quotidien – et pas forcément celles bénies par l’IT.
Et le meilleur pour la fin : une étude Harmonic Security montre que 45,4% des interactions sensibles avec l’IA viennent de comptes email personnels. Traduction : vos salariés copient-collent des bouts de code source, des devis clients ou des rapports de conformité dans leur Gmail, puis demandent à Copilot ou à ChatGPT d’« améliorer ça ».
Mais tout va bien, on a mis un firewall et une charte d’utilisation de l’IA dans l’intranet.
🕵️ Pourquoi c’est dangereux (même pour les débutants)
- Fuite de données sensibles : L’IA de l’ombre n’a pas signé de NDA.
- Risque juridique : Données personnelles envoyées → RGPD → amende → champagne au cabinet d’avocats.
- Hallucinations incontrôlées : Quand l’IA invente des infos, pas de garde-fou corporate pour limiter la casse.
- Traçabilité nulle : Qui a demandé quoi, quand, et avec quelles données ? Mystère.
En résumé : vous avez remplacé le Bring Your Own Device par un magnifique Bring Your Own AI.
🧑‍💼 Le problème culturel derrière le problème technique
Pourquoi les employés se tournent-ils vers le Shadow AI ?
Parce que :
- Les solutions officielles sont bridées comme un proxy des années 2000.
- Les formations internes ressemblent plus à une liste d’interdictions qu’à une aide.
- Les salariés veulent aller vite, pas remplir 14 tickets Jira pour avoir le droit d’utiliser une API d’IA.
Bref, le Shadow AI, ce n’est pas juste une faille de sécurité, c’est un signal d’alarme sur la gouvernance.
🛠️ Quelques pistes (pour éviter que votre RSSI fasse un burn-out)
- Découverte et visibilité : commencez par identifier où et comment l’IA est utilisée en douce. Spoiler : partout.
- Politiques d’usage claires : pas des PDF de 200 pages, mais des guidelines simples (ce que je peux copier-coller, ce qui est interdit, etc.).
- Intégration souple : proposez des IA d’entreprise qui ne sont pas des freins. Sinon, vos salariés continueront à alimenter OpenAI avec vos roadmaps stratégiques.
- Formation & sensibilisation : pas juste « ne faites pas ça », mais « voici pourquoi c’est dangereux » + cas concrets.
🎯 Conclusion
Le Shadow AI, c’est comme les cigarettes à la pause café : tout le monde sait que ce n’est pas sain, mais tout le monde le fait.
Alors tant qu’à faire, autant sortir le paquet de l’ombre, mettre des règles, et éviter que la prochaine fuite de données parte directement du compte Gmail d’un chef de projet en manque d’Excel macros intelligentes.
👉 Et vous, dans votre boîte : vos salariés utilisent ChatGPT Enterprise… ou juste ChatGPT avec leur adresse perso ?
