En cas d’incident de sécurité, notre Force d’intervention Rapide est disponible 24h/24 et 7j/7

Shadow AI : Comment encadrer l’IA dans les entreprises ?


< Retour

Thématique : Actualité

Type de contenu : Article

Langue : Français

Depuis son émergence pour le grand public en 2022, l’IA s’invite au cœur des entreprises de manière massive. Outils conversationnels, assistants de rédaction, générateurs de code ou d’images, elle est largement utilisée par de nombreux professionnels qui y voient un levier de productivité immédiat.

Mais cette adoption rapide s’opère souvent en dehors de tout cadre formel, donnant naissance à un phénomène en forte croissance : le Shadow AI.

Que se passe-t-il lorsque des salariés utilisent ChatGPT, Copilot ou Midjourney sans validation préalable de la DSI ? De même pour les solutions ou partenaires tiers utilisant des solutions d’IA avec vos données sans le notifier ? Quels sont les risques en matière de sécurité, de conformité ou de responsabilité ? Et surtout, comment encadrer ces usages sans freiner l’innovation ?

Éléments de réponse avec l’analyse de notre expert.

Qu’est-ce que la Shadow AI ?

Le Shadow AI désigne l’usage non encadré d’outils d’intelligence artificielle par des collaborateurs ou des solutions technologiques tierces, en dehors de tout cadre défini par la DSI ou la direction générale.

Comme l’explique Garen Soulahian, Directeur Cybersécurité Conseil et Intégration chez Formind : « Le shadow AI englobe aussi bien les initiatives internes non déclarées (prototypes, expérimentations locales) que l’utilisation d’outils accessibles au grand public, comme ChatGPT, Gemini ou d’autres IA génératives.

Dans certains cas, l’IA est intégrée à un logiciel tiers comme certains outils de cybersécurité ou de détection sans qu’on sache où sont entraînées les données ni comment elles sont exploitées. Si un incident survient, il n’existe souvent aucun moyen contractuel pour en limiter l’impact. »

Un phénomène loin d’être marginal : selon une étude de la société Prompt Security, les entreprises utiliseraient en moyenne 67 outils d’IA, dont 90 % n’ont jamais été validés officiellement par leur direction. Cette prolifération s’explique par une forte demande du marché soutenu par un ajout systématique de l’intelligence artificielle dans des outils du quotidien à défaut d’une réelle innovation fonctionnelle.

Les risques liés au Shadow AI

En se développant en dehors de tout cadre formel les données de l’entreprise se retrouvent exposées à des risques majeurs.

Fuites de données sensibles

Parmi les risques majeurs liés au Shadow AI, celui des fuites de données figure en tête. Comme le rappelle Garen Soulahian : « Sans le savoir, les collaborateurs peuvent partager des données sensibles dans des environnements extérieurs à l’entreprise, non maîtrisés. Dans la plupart des cas, ces outils opèrent souvent dans des infrastructures clouds publics, parfois localisés hors d’Europe. Dans ce contexte, l’entreprise perd alors toute traçabilité : où vont les données ? Et qui y a accès ? ».

Un scénario qui n’a rien de théorique. En avril 2023, des ingénieurs de Samsung ont utilisé ChatGPT pour générer du code et résumer des notes de réunion. Sans le savoir, ils ont transmis des informations confidentielles, dont des portions de code source propriétaire et des données sur les performances de fabrication de leurs produits. Alertée après plusieurs fuites en quelques semaines, l’entreprise a été contrainte de restreindre l’usage de l’outil en interne.

Risque de sécurité avec des modèles d’IA corrompus

Outre les fuites de données, le Shadow AI représente une menace directe pour la sécurité des systèmes d’information, notamment via la génération ou l’utilisation de cette dernière à des fins de programmation logicielle.

Comme le souligne Garen Soulahian : « Il arrive que des collaborateurs demandent à une IA générative de produire des scripts ou des fonctions, sans vérifier leur fiabilité ni leur origine. » Or, ces lignes de code peuvent contenir des vulnérabilités connues. Dans certains cas, l’IA peut générer un code source qui intègre des biais de programmation — ce qui peut également engendrer un phénomène d’hallucination.

Autre phénomène en plein essor, le vibe coding : une tendance du développement qui consiste à définir par prompt écrit ou dicté le fonctionnement attendu d’un programme (objectif, contraintes, exemples), puis à laisser une IA générer le code et l’affiner par itérations, sans lecture ni maîtrise complète du code produit.

Popularisé en 2025 par Andrej Karpathy et porté par des assistants comme Cursor ou Composer, ce mode de développement privilégie le pilotage par l’intention plutôt que l’écriture ligne à ligne, rendant possible la création d’applications avec peu voire pas de connaissances techniques.

Toutefois, ce glissement centré sur la plausibilité du résultat plutôt que sur sa validation technique, accroît les risques associés au Shadow AI : import de vulnérabilités, dette technique, non-conformités de licence et erreurs/hallucinations en l’absence de revue et de tests rigoureux.

La situation se généralise : de plus en plus de services applicatifs sont conçus et livrés selon cette approche, et des salariés, parfois à leur insu, utilisent des outils qui embarquent des biais susceptibles de créer des vulnérabilités.

Risque de non-conformité

Le Shadow AI expose également les entreprises à des risques de non-conformité réglementaire, en particulier vis-à-vis du RGPD et du futur AI Act européen.

En effet, lorsque des collaborateurs utilisent des outils d’IA générative sans validation préalable, ils peuvent, parfois sans le savoir, traiter ou transférer des données personnelles vers des environnements non maîtrisés.

Le futur AI Act, en cours de finalisation au niveau européen, vient renforcer cette exigence de transparence et de responsabilité. Il prévoit, pour les pratiques interdites ou les manquements aux obligations, des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial.

Si ces seuils restent théoriques pour la majorité des entreprises, ils rappellent l’importance de maîtriser les usages internes de l’intelligence artificielle. Sans gouvernance claire, le Shadow AI devient un vecteur de non-conformité difficilement défendable en cas de contrôle ou d’incident.

Problème de propriété intellectuelle

Le Shadow AI soulève également des risques juridiques en matière de propriété intellectuelle, en particulier lorsque des contenus générés par des IA enfreignent des droits d’auteur ou des marques protégées.

Comme le souligne l’expert, « Un collaborateur peut demander à une IA de générer une image dans le style de Tintin et Milou… et se retrouver, sans le vouloir, face aux ayants droit d’Hergé et de leurs avocats ». Ce type d’usage, s’il est publié sur les canaux officiels de l’entreprise, peut rapidement entraîner des litiges pour contrefaçon ou violation de droits d’auteur.

À titre d’exemple, en 2025, Disney et NBCUniversal ont poursuivi en justice Midjourney, l’accusant d’avoir généré des visuels imitant des personnages protégés sans aucune licence d’exploitation. Ces usages non maîtrisés — souvent issus d’initiatives individuelles — exposent l’entreprise à des poursuites pour contrefaçon, même si l’intention première n’était pas malveillante.

Comment Formind vous aide à encadrer les usages de l’IA dans votre entreprise ?

Face à l’essor de l’IA, l’interdiction n’est ni réaliste ni souhaitable. C’est dans cette logique que Formind intervient, en accompagnant ses clients à chaque étape — de la réflexion initiale jusqu’à l’intégration opérationnelle et sécurisée.

Établir un cadre de gouvernance clair

Pour être opérationnelle, cette gouvernance de l’intelligence artificielle doit s’appuyer sur un enchaînement d’étapes, de la stratégie à l’exécution sur le terrain.

  1. Formaliser la position de l’entreprise : La première étape consiste à rédiger un document de cadrage. Ce document court d’une à deux pages exprime de manière claire la posture de l’entreprise vis-à-vis de l’IA : quels sont les cas d’usage envisagés, les opportunités identifiées, mais aussi les risques à surveiller. Il s’agit d’un document à visée stratégique, non contraignant, qui permet de lancer rapidement les échanges avec les équipes métiers, la DSI.
  2. Formaliser des règles d’usage claires : Après avoir défini la vision, l’entreprise doit établir une politique de sécurité dédiée à l’IA, généralement intégrée à la PSSI. Ce cadre fixe les standards applicables selon les cas d’usage (plateformes autorisées, périmètres concernés, niveaux de contrôle requis) et s’intègre naturellement aux processus et aux phases projet dans une logique de Security by Design.
  3. Nommer des référents IA dans les équipes métiers : Comme c’est le cas dans le domaine de la sécurité informatique, il est recommandé de chercher des relais au sein des collaborateurs. Pour que ces règles soient réellement appliquées, l’entreprise doit désigner des référents IA au sein des différentes équipes. Leur rôle : maîtriser les règles en vigueur, accompagner les collaborateurs dans leurs initiatives, et arbitrer les cas d’usage au quotidien.
  4. Sensibiliser et contractualiser : La gouvernance ne s’arrête pas à la documentation : elle doit être partagée et comprise. Formind recommande une démarche de sensibilisation progressive (ateliers, e-learning, briefs d’équipe), parfois complétée par une validation formelle. Enfin, les relations avec les tiers doivent intégrer des clauses spécifiques sur l’usage de l’IA, la localisation des données et la transparence algorithmique.

Maîtriser la dimension technologique : sécurité, contrôle et souveraineté

Une gouvernance claire de l’IA repose également sur des choix technologiques structurants, capables d’offrir à la fois performance, sécurité et maîtrise des flux de données.

Le premier enjeu est de valider les outils autorisés : plutôt que de laisser les collaborateurs utiliser des IA grand public sans encadrement, il est préférable de déployer des solutions « sécurisées » comme des LLM open-source comme LLaMA 2 de Meta ou propriétaire comme ChatGPT Enterprise, hébergées sur un serveur on-premise ou dans un cloud souverain, afin de garantir la confidentialité des données et le contrôle des accès.

Il convient ensuite de mettre en place des mécanismes de contrôle : filtrage DNS, contrôle d’accès, solutions de Data Loss Protection (DLP), journalisation des usages.

Formind accompagne ses clients sur toute cette dimension technologique :

  • Sélection et validation des outils,
  • Tests de robustesse (pentests),
  • Déploiement et paramétrage de solutions de sécurité,
  • Connexion aux environnements SOC,
  • Évaluation des solutions tierces.

Besoin d’encadrer vos usages de l’IA générative ? Contactez les experts de Formind pour bénéficier d’un accompagnement sur mesure, de la stratégie à sa mise en œuvre opérationnelle.

Contactez nos experts