logo

🕵🏻‍♂️ Shadow IA : décryptage d’expert

Pendant que l’intelligence artificielle révolutionne nos méthodes de travail, un phénomène silencieux se propage dans les entreprises : le Shadow IA. Derrière cette pratique, des salariés qui utilisent des outils d’IA sans en informer leur hiérarchie. Entre opportunités d’innovation et risques liés à la sécurité et la gouvernance des données, le Shadow IA représente un équilibre délicat que les DSI doivent aujourd’hui maîtriser.

Pour comprendre ces enjeux actuels et décrypter cette tendance, nous avons rencontré Sébastien DECKER-WURTZ, Directeur des Systèmes d’Information chez Divalto.

Cybersécurité

27 août 2025 –

8 mn de lecture

On a entendu parler de Shadow IT et plus récemment de Shadow IA, pouvez-vous nous expliquer de quoi il s’agit ? Quels types d’outils sont le plus souvent concernés ?

🎙️ SDW : “Le Shadow IT englobe l’usage de tout logiciel ou matériel utilisé par un collaborateur qui ne serait pas approuvé et supervisé par le service informatique d’une entreprise. Cette pratique pose des problèmes de sécurité et de confidentialité pour tout usage professionnel, et tout particulièrement sur le réseau interne de l’entreprise. Avec l’émergence rapide des outils d’IA, le Shadow IA en est la déclinaison. Il s’agit de l’utilisation non encadrée, souvent à l’initiative individuelle, d’outils d’IA générative ou d’automatisation dans un contexte professionnel. Ces outils peuvent inclure ChatGPT, Copilot, Notion AI, Midjourney, etc. Les collaborateurs les testent initialement à titre personnel, puis les intègrent spontanément à leur quotidien professionnel sans validation préalable.”

Pourquoi les collaborateurs contournent les outils proposés par l’entreprise ?

🎙️ SDW : “L’émergence de cette technologie est un raz de marée. Les grandes entreprises du numérique y voient l’assurance des revenus futurs et poussent pour l’adoption massive. Un collaborateur peut tester différents outils IA gratuits pour se faire une idée. Les plus technophiles vont même allés plus loin en testant des versions payantes pour se faire la main. Ils peuvent se sentir frustrés de ne pas avoir accès à ces mêmes outils dans le cadre de leur travail. Cette frustration est alimentée par un double phénomène :

  • L’attrait de la nouveauté, de la performance, de la productivité individuelle
  • Le décalage entre l’expérience utilisateur personnelle (fluide, intuitive, rapide) et les outils plus lourds, encadrés ou bridés mis à disposition par l’entreprise.”

Quels sont les principaux enjeux liés à l’utilisation non encadrée d’outils d’IA par les collaborateurs au sein d’une entreprise ?

🎙️ SDW : “Les accès aux outils d’IA étant multiples, il est difficile d’en contrôler tous les usages possibles. De même, on ne peut pas juste les proscrire et ne rien proposer aux collaborateurs. L’important est de pouvoir proposer une ou plusieurs solutions validées par la société et surtout d’accompagner les collaborateurs sur leur usage et de les sensibiliser aux risques.

Il faut poser un cadre clair : quel outil est autorisé, dans quel contexte, avec quelles données. L’enjeu principal est de concilier l’agilité des métiers avec la maîtrise des risques (sécurité, image, conformité RGPD). Il ne s’agit donc pas de freiner, mais d’encadrer de façon proactive !”

Dans quelle mesure le Shadow IA peut-il impacter la cybersécurité, notamment en matière de conformité RGPD ou de confidentialité ?

🎙️ SDW : “Après une prise en main de solutions d’IA dans un contexte personnel, les collaborateurs early adopters seront curieux de tester leur apport dans leur quotidien professionnel. C’est ici que le risque émerge. Tout le monde ne lit pas ou n’intègre pas les subtilités des conditions d’utilisation des outils IA. Très souvent, les données que vous allez manipuler peuvent servir à l’apprentissage du modèle. Le collaborateur risque donc de rendre publiques des informations sensibles ou stratégiques de l’entreprise… ou de ses clients.

Il est important de rappeler que, même dans des versions payantes, certaines plateformes conservent le droit d’utiliser les données saisies pour entraîner leurs modèles. Et parfois, les options de désactivation de l’apprentissage automatique sont peu visibles ou désactivées par défaut. Un collaborateur qui copierait, par exemple, un cahier des charges client confidentiel dans un prompt IA pourrait sans le vouloir exposer ces données à d’autres utilisateurs du même outil. Cela pose des risques de fuite, de non-conformité RGPD et d’atteinte à la réputation.”

Quelles bonnes pratiques mettre en place pour limiter les risques tout en gardant l’agilité des services métiers ?

🎙️ SDW : “Il faut poser un cadre d’utilisation au sein de la société en proposant une ou plusieurs solutions approuvées… et surtout sensibiliser aux risques. Cela inclut :

  • Identifier des outils d’IA compatibles avec la politique de sécurité de l’entreprise
  • Paramétrer ces outils pour éviter l’usage des données à des fins d’apprentissage
  • Communiquer clairement aux collaborateurs les bonnes pratiques et les erreurs à éviter
  • Proposer des ressources pédagogiques ou un support pour accompagner la montée en compétence

L’objectif est de garder les bénéfices de l’IA (gain de productivité, efficacité) sans tomber dans des usages à risque.

Pensez-vous que le Shadow IA va croître avec l’essor des outils d’IA générative ? Comment voyez-vous évoluer le rôle de la DSI face à cette tendance ? Faut-il créer un poste de ‘Prompt engineer’ ?

🎙️ SDW : “Le Shadow IA n’est plus émergent. Il existe et devient une problématique pérenne. Ce sujet est monté très vite en puissance, bouleversant les habitudes de travail et chamboulant les roadmaps établies parfois sur plusieurs années. Mais la révolution des outils d’IA est aussi et surtout une chance pour les entreprises. Pour la DSI, c’est un nouveau challenge à relever pour encadrer leur adoption dans les process métiers. C’est comme un jeu d’équilibriste : encadrer sans brider, accélérer tout en sécurisant, accompagner les pionniers sans oublier les plus réticents. L’accompagnement peut prendre plusieurs formes, pas nécessairement en interne : des prestataires externes peuvent aussi intervenir pour construire des guides de bonnes pratiques ou former les équipes. De nouveaux métiers vont donc apparaitre pour encadrer, former, poser le cadre et créer un cahier des bonnes pratiques par exemple.”

Quels sont les impacts sur la DSI ?

🎙️ SDW : “On parle beaucoup de la frustration des collaborateurs qui n’ont pas accès aux outils IA qu’ils utilisent dans leur vie personnelle… Mais ce qu’on oublie souvent, c’est qu’il existe aussi une frustration du côté des équipes informatiques et de la DSI. Pourquoi ? Parce que la DSI voit arriver une vague technologique massive, qui s’impose à grande vitesse, sans qu’elle ait toujours les moyens ou le temps de l’encadrer correctement. Les outils d’IA générative sont déjà dans les mains des utilisateurs avant même que la DSI puisse les évaluer, poser un cadre, ou vérifier leur conformité.

Il y a un sentiment de décalage permanent, accentué par les roadmaps déjà bien remplies, les attentes fortes des directions métiers, et la pression pour à la fois innover, sécuriser, et accompagner. Et quand on ajoute à cela les risques réels de fuites de données sensibles, la responsabilité incombe à la DSI, même si elle n’a pas toujours été consultée en amont. C’est là que la frustration monte : devoir rattraper, gérer des incidents, tout en essayant de structurer une démarche proactive dans un contexte mouvant.”

Visuel ambiance logiciel erp comment choisir

Pour finir, quels conseils donneriez-vous aux salariés qui utilisent des outils d’IA ?

🎙️ SDW : Posez-vous toujours la question de la sensibilité des données que vous manipulez et présentez à un outil d’IA…

  • En cas de doute, rapprochez-vous de votre DPO ou RSSI
  • Privilégiez les outils validés par votre entreprise et assurez-vous que les paramètres liés à l’usage des données sont correctement configurés.

Restez curieux… mais conscient : la facilité d’usage ne doit pas faire oublier les enjeux de sécurité, de conformité et de confidentialité.”

Cet article vous a plus ? Partagez-le !

Les dernières actualités de la gestion d’entreprise

Cybersécurité 27 Août 2025
🕵🏻‍♂️ Shadow IA : décryptage d’expert

Entre opportunités d’innovation et risques liés à la sécurité et la gouvernance des données, le Shadow IA représente un équilibre délicat que les DSI doivent aujourd’hui maîtriser. Pour comprendre les enjeux actuels de cette nouvelle tendance, nous avons rencontré Sébastien DECKER-WURTZ, Directeur des Systèmes d’Information chez Divalto.

CRM 23 Juil 2025
CRM mobile : comment optimiser votre gestion client partout, tout le temps ?

Avec une application CRM mobile, finis les retards et les imprécisions, place à une vision 360° et à une synchronisation instantanée des données. Nos experts décryptent les enjeux liés à la mobilité.

Cybersécurité 17 Juil 2025
RGPD et ERP : règlement général et protection des données
ERP 15 Juil 2025
Fab-Dis : le format d’échange de données qui simplifie le négoce 
ERP 25 Juin 2025
Taxes et éco-contributions : comment un ERP facilite leur gestion

Envie de rester informé ? Recevez nos actualités dans votre boîte email.

S’abonner à la newsletter