Petit point de rappel tout d’abord, le shadow IT recouvre tous les outils numériques, logiciels, services cloud ou applications utilisés par les salariés sans validation préalable du service informatique ou de la sécurité.

Un employé qui stocke des fichiers sensibles sur son compte cloud personnel, une équipe marketing qui souscrit seule à un outil d’emailing… Tout ça, c’est du shadow IT.

Et bien que ces pratiques répondent souvent à un besoin réel de flexibilité et de productivité, elles créent un angle mort pour la Direction des Systèmes d’Information (DSI) qui ne sait plus exactement où sont les données, qui y accède, ni avec quels niveaux de protection.

Le shadow AI, lui, reprend les mêmes mécanismes, mais avec l’IA générative et les services d’IA intégrés. Et le phénomène est d’autant plus redoutable car, à la différence du shadow IT classique, il ne s’agit plus seulement d’un outil en plus, mais d’un système, pas exempt de toute vulnérabilité et qui ingère, transforme et parfois conserve des données potentiellement sensibles.

Votre vie privée doit rester privée.

Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.

Les injections de prompts restent une menace inhérente aux outils d’IA générative // Source : Montage Numerama

Le shadow AI, c’est quoi ?

Le shadow AI regroupe l’ensemble des usages d’intelligence artificielle, générative ou non, qui ne sont ni validés, ni maîtrisés par l’entreprise. Cela inclut donc :

• L’utilisation de chatbots grand public (LLM) plébiscités en général pour rédiger des mails, synthétiser ou analyser des documents internes.
• Le recours à des plugins, extensions de navigateur ou add-ons « IA » pour automatiser des tâches bureautiques, parfois en se connectant directement aux outils métiers (CRM, ERP, messagerie).
• L’adoption d’agents autonomes capables d’enchaîner plusieurs actions (recherche, rédaction, envoi d’emails, interaction avec des API).
• Le paramétrage d’outils no‑code, low-code ou encore vibe codés, configurés par les métiers eux-mêmes, avec des accès à des bases de données internes ou des documents sensibles.

Dans tous ces cas, l’IA est utilisée pour des tâches professionnelles, avec des données de l’entreprise, mais en dehors du cadre prévu par la DSI.

Les risques classiques du shadow IT sont alors amplifiés : fuite de données via des prompts copiés-collés, stockage de contenus confidentiels chez des prestataires non identifiés voire erreurs ou hallucinations qui se propagent dans les processus métiers.

Le spectre du shadow AI devrait encore s’élargir

Si le shadow AI inquiète autant, c’est que le contexte technologique joue en sa faveur. L’IA devient omniprésente et s’intègre dans plus en plus d’outils et donc d’usages.

Les navigateurs web embarquent désormais des assistants capables de lire et résumer le contenu de pages web et de documents. Les suites collaboratives intègrent des copilotages IA pour rédiger, analyser ou traduire.

Surtout, les agents autonomes franchissent un cap : l’outil ne se contente plus de répondre à des questions, il prend des initiatives, enchaîne des actions et interagit avec d’autres systèmes.

A noter par ailleurs que l’augmentation de la part de l’IA dans les flux de travail rend le shadow AI plus difficile à détecter. Quand tout devient « assisté par IA », il devient complexe de distinguer ce qui relève d’outils approuvés et sécurisés de ce qui est ajouté par les utilisateurs à la marge.

En espérant que la cybersécurité demeure une priorité dans les outils déployés par les géants du secteur.