Technologies

6 stratégies pour lutter efficacement contre le Shadow IA

Selon une étude de 1Password, 43 % des employés utilisent des applications d'IA sur leurs appareils personnels à des fins professionnelles. (Photo : Salvador Rios/Unsplash)

Pour les DSI, encadrer les usages de l'IA en interne revient à mettre en place des garde-fous excluant les usages non autorisés, sans pour autant abolir toute forme d'innovation. 6 conseils pratiques pour trouver le bon équilibre.

PublicitéEn raison du battage entourant cette logique, il n'est pas illogique de voir les employés tester de manière autonome les derniers outils d'IA. Mais ce phénomène confronte les DSI à un défi : la maîtrise de ce Shadow IA. Même motivé par de bonnes intentions, ce dernier peut en effet engendrer des risques importants pour la confidentialité, la conformité et la sécurité des données.

Selon l'étude 2025 de 1Password, « The Access-Trust Gap », le Shadow IA accroît les risques pour les entreprises, car 43 % des employés utilisent des applications d'IA sur leurs appareils personnels à des fins professionnelles, tandis que 25 % utilisent des applications d'IA non autorisées au travail. D'autres études donnent même des chiffres bien plus élevés. Une récente étude d'Upguard, auprès de 1500 salariés partout dans le monde, estime que 81% d'entre eux utilisent des outils d'IA non approuvés pour leur travail.

Malgré ses risques, les experts affirment que le Shadow IA ne doit pas être totalement éliminé. Il s'agit plutôt de le comprendre et de l'encadrer. Voici six stratégies pour aider les DSI à encourager une expérimentation responsable de l'IA tout en garantissant la sécurité des données sensibles.

1. Définir des limites claires tout en laissant une place aux tests

Gérer le Shadow IA commence par définir clairement ce qui est autorisé et ce qui ne l'est pas. Danny Fisher, directeur technique de West Shore Home, entreprise américaine spécialisée dans la rénovation de domiciles, recommande aux DSI de classer les outils d'IA en trois catégories simples : approuvés, restreints et interdits.

« Les outils approuvés sont validés et bénéficient d'un support, explique-t-il. Les outils restreints peuvent être utilisés dans un environnement contrôlé avec des limites claires, comme l'utilisation exclusive de données factices. Les outils interdits, généralement des systèmes d'IA publics ou non chiffrés, doivent être bloqués au niveau du réseau ou de l'API. » Associer chaque type d'utilisation de l'IA à un environnement de test sécurisé, tel qu'un espace de travail OpenAI interne ou un proxy d'API sécurisé, permet aux équipes d'expérimenter librement sans mettre en péril les données de l'entreprise, ajoute-t-il.

Jason Taylor, architecte d'entreprise principal chez LeanIX (une société du groupe SAP), abonde : « bien identifier les outils et plateformes approuvés et ceux qui ne le sont pas est essentiel. Tout comme il est également essentiel de bien définir les scénarios et cas d'utilisation autorisés et ceux qui ne le sont pas, ainsi que les modalités d'usage au sein des IA des données et informations de l'entreprise par les employés. Par exemple, distinguer un simple téléchargement unique d'un copier-coller ou d'une intégration plus poussée. »

PublicitéL'architecte ajoute que les entreprises devraient également établir une liste claire des types de données dont l'utilisation dans une IA est autorisée, et dans quelles situations ces recommandations s'appliquent. Un outil moderne de prévention des pertes de données (DLP) peut ici s'avérer utile en détectant et en étiquetant automatiquement les données, et en appliquant les principes du moindre privilège ou de Zero Trust concernant les accès.

Patty Patria, DSI du Babson College, une école de commerce possédant 3 campus aux Etats-Unis, souligne l'importance de la définition de garde-fous spécifiques pour les outils d'IA No Code/Low Code et les plateformes de vide-coding (technique de programmation utilisant la GenAI). « Ces outils permettent aux employés de prototyper rapidement des idées et d'expérimenter des solutions à base d'IA, mais ils présentent également des risques spécifiques lors de la connexion à des données propriétaires ou sensibles », explique-t-elle.

Pour y remédier, la DSI estime que les organisations devraient mettre en place des niveaux de sécurité permettant aux utilisateurs d'expérimenter en toute sécurité, mais exigeant un examen et une approbation supplémentaires dès lors qu'un outil d'IA est connecté à des systèmes sensibles. « Par exemple, nous avons récemment élaboré des directives internes claires à destination des employés, précisant quand solliciter l'équipe de sécurité pour l'examen des applications et quand ces outils peuvent être utilisés de manière autonome », dit Patty Patria. Son département tient également à jour une liste des outils d'IA supportés et ceux qu'il déconseille car trop risqués.

2. Assurer une visibilité constante et un suivi des outils

Les DSI ne peuvent pas gérer ce qu'ils ne voient pas. Pour les experts, la tenue d'un inventaire précis et à jour des outils d'IA est l'une des meilleures défenses contre le Shadow IA. « Le plus important est de créer une culture où les employés se sentent à l'aise de partager ce qu'ils utilisent plutôt que de le dissimuler », souligne Danny Fisher (West Shore Home). Son équipe combine des enquêtes trimestrielles avec un registre en libre-service où les employés consignent les outils d'IA qu'ils utilisent. Le service informatique valide ensuite ces entrées par le biais d'analyses réseau et d'une surveillance des API.

Ari Harrison, vice-président informatique chez Bamko, fabricant de produits promotionnels et de marque, explique que son équipe adopte une approche multicouche pour maintenir une visibilité optimale sur les usages. « Nous gérons un registre dynamique des applications connectées en important les données de la vue des applications connectées de Google Workspace et en les intégrant à notre SIEM (système de gestion des informations et des événements de sécurité), précise-t-il. Microsoft 365 propose des données de télémétrie similaires, et les outils des brokers de sécurité d'accès au cloud peuvent compléter cette visibilité si nécessaire. » Cette approche multicouche permet à Bamko d'avoir une vision claire des outils d'IA qui accèdent aux données de l'entreprise, des personnes qui les ont autorisés et des droits dont ils disposent.

Mani Gill, vice-président senior pour les produits chez Boomi, éditeur d'une plateforme iPaaS cloud, affirme que les audits manuels ne suffisent plus. « Une gestion efficace des données nécessite de dépasser les audits périodiques et d'adopter une approche continue et automatisée sur l'ensemble de l'écosystème », estime-t-il. Il ajoute que les bonnes politiques de gouvernance veulent que tous les agents d'IA, qu'ils soient approuvés ou intégrés à d'autres outils, échangent leurs données via une plateforme centralisée. Avec cette architecture, les organisations bénéficient d'une visibilité instantanée et temps réel sur l'activité de chaque agent, la quantité de données utilisée et sa conformité aux règles. Tim Morris, conseiller principal en sécurité chez l'éditeur Tanium, confirme l'intérêt de cette approche : « si une nouvelle application d'IA ou un plug-in de navigateur apparaît dans votre environnement, vous devez en être immédiatement informé. »

3. Renforcer la protection des données et les contrôles d'accès

En matière de protection des données contre le Shadow IA, les experts s'accordent sur les mêmes principes fondamentaux : la mise en place d'une prévention des pertes de données (via des outils de DLP), le chiffrement et l'application des principes de moindre privilège. « Utilisez des règles DLP pour bloquer le téléchargement d'informations personnelles, de contrats ou de code source vers des domaines non autorisés », conseille ainsi Danny Fisher. Il recommande également de masquer les données sensibles avant qu'elles ne quittent l'organisation, d'activer la journalisation et de mettre en place des pistes d'audit pour suivre chaque prompt et réponse dans les outils d'IA approuvés.

Ari Harrison partage cet avis, soulignant que Bamko privilégie les contrôles de sécurité les plus pertinents: la protection contre la perte de données sortantes (Outbound DLP) et l'inspection du contenu pour empêcher la fuite de données sensibles ; une gouvernance OAuth pour garantir le respect du principe du moindre privilège pour les droits accordés à des tiers ; et des limites d'accès restreignant le chargement de données confidentielles aux seuls connecteurs d'IA approuvés au sein de sa suite bureautique. De plus, l'entreprise considère que les droits étendus, comme l'accès en lecture et en écriture aux documents ou aux e-mails, présentent un risque élevé et nécessitent donc une approbation explicite. Là où les autorisations restreintes, en lecture seule par exemple, peuvent être mises en oeuvre plus rapidement. « L'objectif est de permettre une créativité au quotidien dans un cadre sécurisé tout en réduisant le risque qu'un simple clic confère à un outil d'IA des pouvoirs imprévus », explique le responsable de Bamko.

Jason Taylor (LeanIX) ajoute que la sécurité doit être cohérente dans tous les environnements. « Chiffrez toutes les données sensibles, qu'elles soient au repos, en cours d'utilisation ou en transit. Appliquez les principes de moindre privilège et de Zero Trust pour la gestion des autorisations d'accès aux données et assurez-vous que les systèmes DLP peuvent analyser, étiqueter et protéger les données sensibles », énumère-t-il. Et de souligner que les DSI doivent veiller à ce que ces contrôles fonctionnent de la même manière sur les ordinateurs, les appareils mobiles et le Web. Sans oublier de les vérifier et de les mettre à jour régulièrement en fonction des modifications.

4. Définir et communiquer clairement la tolérance au risque

Définir la tolérance au risque d'une organisation relève autant de la communication que du contrôle. Danny Fisher (West Shore Home) conseille aux DSI de fonder la tolérance au risque sur la classification des données plutôt que sur une opinion. Son équipe utilise ainsi un système de couleurs simple : vert pour les activités à faible risque, comme le contenu marketing ; jaune pour les documents internes nécessitant l'utilisation d'outils approuvés ; et rouge pour les données clients ou financières incompatibles avec tout système d'IA.

« La tolérance au risque doit être justifiée par la valeur des données pour l'entreprise et les obligations réglementaires », dit Tim Morris (Tanium). À l'instar de Danny Fisher, il recommande de classer l'utilisation de l'IA en catégories claires : ce qui est autorisé, ce qui nécessite une approbation et ce qui est interdit. Et de communiquer ce cadre lors de réunions d'information avec la direction, lors de l'intégration des nouveaux employés et via les portails internes.

Patty Patria souligne le rôle essentiel du Comité de gouvernance de l'IA mis en place par Babson College dans ce processus. « Lorsque des risques potentiels apparaissent, nous les soumettons au comité pour discussion et élaborons conjointement des stratégies d'atténuation, explique-t-elle. Dans certains cas, nous avons décidé de bloquer l'accès à certains outils pour le personnel, tout en autorisant leur utilisation en classe. Cet équilibre permet de gérer les risques sans freiner l'innovation. »

5. Favoriser la transparence et une culture de confiance

La transparence est essentielle pour bien gérer le Shadow IA. Les employés doivent savoir ce qui est surveillé et pourquoi. « La transparence signifie que les employés savent toujours ce qui est autorisé, ce qui est surveillé et pourquoi, explique Danny Fisher. Publiez votre approche de gouvernance sur l'intranet de l'entreprise et incluez des exemples concrets d'utilisation de l'IA, tant positifs que négatifs. Il ne s'agit pas de prendre les gens en flagrant délit. L'objectif est de renforcer la confiance dans le fait que l'utilisation de l'IA est sûre et équitable. »

Jason Taylor recommande de publier une liste des d'IA officiellement approuvées et de la tenir à jour. « Soyez clair sur la feuille de route pour la mise en oeuvre des fonctionnalités qui ne sont pas encore disponibles », dit-il, et prévoyez une procédure pour demander des exceptions ou de nouveaux outils. Cette ouverture montre que la gouvernance existe pour soutenir l'innovation, et non pour la freiner.

Patty Patria ajoute qu'en plus des contrôles techniques et des politiques, la mise en place de groupes de gouvernance dédiés, comme le Comité de gouvernance de l'IA, peut considérablement renforcer la capacité d'une organisation à identifier et gérer les risques liés aux Shadow IA, comme ceux apparus avec des outils comme DeepSeek ou Fireflies.AI. Ce groupe de gouvernance se doit d'expliquer ses décisions et les raisons qui les sous-tendent, contribuant ainsi à instaurer transparence et responsabilité partagée, selon la DSI de Babson College. « Les employés doivent savoir quels outils d'IA sont approuvés, comment les décisions sont prises et à qui s'adresser pour poser des questions ou soumettre de nouvelles idées », approuve Tim Morris.

6. Mettre en place une formation continue à l'IA, adaptée aux fonctions

La formation est l'un des moyens les plus efficaces de prévenir toute utilisation inappropriée des outils d'IA. L'essentiel est d'être concis, pertinent et régulier. « Privilégiez les formations courtes, visuelles et adaptées aux différentes fonctions, conseille Danny Fisher. Évitez les présentations PowerPoint interminables et privilégiez les anecdotes, les démonstrations rapides et les exemples clairs. »

Patty Patria précise que Babson intègre la sensibilisation aux risques liés à l'IA dans sa formation annuelle en cybersécurité et envoie régulièrement des newsletters sur les nouveaux outils et les risques émergents. « Des formations régulières sont proposées pour garantir que les employés comprennent les outils d'IA approuvés et les risques émergents. Les référents IA au sein des différents services sont encouragés à faciliter le dialogue et à partager leurs expériences pratiques, en soulignant à la fois les avantages et les écueils potentiels de l'adoption de l'IA », ajoute la DSI.

Jason Taylor (LeanIX) recommande d'intégrer la formation directement dans le navigateur, afin que les employés apprennent les bonnes pratiques au contact des outils qu'ils utilisent. « Copier-coller dans un navigateur web ou glisser-déposer une présentation semble anodin jusqu'à ce que vos données sensibles quittent votre écosystème », souligne-t-il.

Mani Gill (Boomi) souligne que la formation doit établir un lien entre utilisation responsable et performances. « Les employés doivent comprendre que conformité et productivité sont indissociables, affirme-t-il. Les outils approuvés offrent des résultats plus rapides, une meilleure précision dans les données et moins d'incidents de sécurité que le Shadow IA. Une formation continue, adaptée aux fonctions des uns et des autres, peut démontrer comment les garde-fous et la gouvernance protègent à la fois les données et l'efficacité, garantissant ainsi que l'IA accélère les workflows plutôt que de créer des risques. »