Stratégie

Le shadow AI multiplie les risques de fuite de données sensibles

Les politiques d'encadrement de l'IA des entreprises restent insuffisantes face au Shadow AI. (Photo : A.Geranrekab/Unsplash)

Malgré une baisse en 2025, la moitié des utilisateurs de GenAI en entreprise continuent de passer par un compte personnel, selon une étude de Netskope. Un constat qui va de pair avec un risque croissant de voir des données sensibles sortir de l'entreprise.

PublicitéDans son étude 2026 sur le cloud et les menaces cyber, l'éditeur de sécurité cloud Netskope pointe en particulier la persistance des risques liés au Shadow AI. Ainsi, l'an dernier, le nombre d'utilisateurs de GenAI en SaaS en entreprise a quasiment triplé, selon l'étude, mais surtout, près de la moitié d'entre eux ont continué d'exploiter des identifiants personnels pour accéder à des applications comme ChatGPT d'OpenAI, Gemini de Google, et même Grok de xAI. Et même si cette proportion chute - elle était de 78% en 2024 - et que 62% des utilisateurs passent désormais, au moins partiellement, par des comptes gérés par l'entreprise contre 25% en 2024, la croissance des usages amplifie les risques.

Volume de données multiplié par 6

Elle entraîne, en particulier, le doublement du nombre des envois de données sensibles vers ces solutions à l'extérieur de l'entreprise, avec une moyenne par organisation de 223 incidents référencés par mois. Un nombre qui atteint 2 100 dans les entreprises les plus touchées. Le rapport Netskope s'appuie sur les données anonymisées d'utilisation de sa plateforme entre le 1er octobre 2024 et le 31 octobre 2025 concernant les tactiques des attaquants, le comportement des utilisateurs et les politiques d'organisation cyber des entreprises.

Malgré la mise en place de règles de gouvernance, près de deux tiers des menaces internes en entreprise sont liées à ce type d'incidents, avec la sortie de données réglementées ou protégées par la propriété intellectuelle, de codes sources, voire d'identifiants, vers des outils de GenAI grand public. Un enjeu majeur, puisque le rapport constate également que si le nombre d'utilisateurs de cette technologie a triplé en moyenne, « le volume de données envoyées aux applications de GenAI a lui été multiplié par six, le nombre de requêtes envoyées par mois passant de 3 000 à 18 000 ». Pour Netskope, « cette tendance devrait inquiéter les professionnels de la cybersécurité, car l'augmentation de l'utilisation [de la GenAI] s'accompagne d'une hausse des expositions non désirées de données à des tiers ».

Des politiques d'encadrement de l'IA insuffisantes

Pire, selon l'éditeur, le rapport 2026 révèle également une incapacité des entreprises à encadrer le phénomène. Il constate une multiplication par 6 des alertes de sécurité liées à l'usage de la GenAI pour un triplement du nombre d'utilisateurs, mais seulement un doublement du nombre de violations de la politique de données. Pour Netskope, cela signifie que les politiques d'encadrement de l'IA ne sont pas suffisamment mûres pour détecter le nombre réel de violations. L'étude constate d'ailleurs que la moitié des organisations n'ont tout simplement aucune politique de protection des données spécifique à la GenAI. Pour l'éditeur, la première règle, simple, consiste à bloquer les applications qui ne sont sûres dans aucun contexte et ne présentent aucun intérêt pour l'entreprise.

PublicitéEnfin, « l'essor des navigateurs IA et des serveurs MCP en 2026 va amplifier le problème », estime Netskope, sans oublier bien entendu l'IA agentique. L'étude note qu'avec la croissance des usages de cette dernière, les entreprises ont recours, pour se protéger, à des plateformes permettant désormais d'héberger les modèles en interne et de créer des applications personnalisées. 33% des organisations utilisent OpenAI via Azure, 27% via Amazon Bedrock et 10% via Google Vertex AI. Les risques de sécurité n'en demeurent pas moins importants, comme le rappelle l'éditeur, car les systèmes multi-agents augmentent la surface d'attaque, avec des risques comme le détournement d'outils ou l'élargissement des voies d'exfiltration de données.