top of page

Shadow AI : l’IA non supervisée, nouveau talon d’Achille de la cybersécurité d’entreprise

  • 19 sept.
  • 3 min de lecture

Dernière mise à jour : 23 sept.


ree

L’alerte est claire : l’usage non contrôlé d’outils d’intelligence artificielle au sein des entreprises devient un risque important de cybersécurité. Le dernier rapport State of Information Security 2025, publié le 18 septembre, tire la sonnette d’alarme sur la progression du « Shadow AI » — cette utilisation de l’IA générative ou décisionnelle par les collaborateurs, sans validation ni supervision par les services IT.

.

Cette pratique, souvent motivée par des intentions d’efficacité (ou d’expérimentation), crée un angle mort critique pour la gouvernance des risques. Dans un environnement réglementaire en plein durcissement, il devient impératif d’aligner innovation et maîtrise des risques dans l’entreprise.

 

Quand l’IA échappe au contrôle de l’entreprise

 

Le phénomène de Shadow AI n’est pas marginal : il se développe à mesure que les outils d’IA deviennent accessibles à tous. Un chef de produit qui utilise ChatGPT pour rédiger une présentation, un data analyste qui s’appuie sur un LLM tiers pour interpréter des données clients, ou un service RH qui expérimente un assistant IA pour le tri des CV — autant de cas qui échappent souvent aux circuits de validation classiques.

 

Selon le rapport de Help Net Security (une publication indépendante, spécialisée dans la cybersécurité depuis 1998), ces usages élargissent considérablement la surface d’attaque des entreprises. Les données sensibles peuvent être exposées à des serveurs tiers, les flux d’information deviennent non traçables et les modèles utilisés ne répondent pas aux exigences de robustesse ou de transparence. Et logiquement, la conformité devient difficilement démontrable face aux exigences du RGPD, de DORA (pour les entités financières et leurs prestataires TIC) ou des régulations sectorielles.

 

Le réveil réglementaire : l’exemple du secteur de l’assurance

 

Le secteur de l’assurance est en première ligne face à ces risques. Dans son Opinion on AI Governance and Risk Management publiée en août 2025, l’EIOPA (Autorité européenne des assurances et des pensions professionnelles) - un organe consultatif indépendant auprès de la Commission européenne, du Parlement européen et du Conseil de l'Union européenne - détaille ses attentes concernant la gouvernance des systèmes d’IA utilisés dans l’assurance. Sans imposer de nouvelles règles, l’EIOPA insiste sur la nécessité d’une supervision humaine, de mécanismes de transparence, d’une gestion rigoureuse des données, et d’une évaluation des risques proportionnée aux usages. Une IA utilisée dans la tarification santé ou dans la souscription d’assurance vie ne doit pas être encadrée de la même manière qu’un chatbot de relation client. Mais dans tous les cas, une chaîne de responsabilité claire est indispensable !

 

Ce point de vue s’inscrit dans une logique d’application concrète du futur AI Act européen, et rappelle aux entreprises d’assurance — mais aussi à tous les secteurs fortement régulés — qu’une IA non maîtrisée peut rapidement devenir un facteur de non-conformité.

 

Les directions peuvent reprendre la main : gouvernance de l’IA

 

La gestion du Shadow AI ne peut pas reposer uniquement sur les équipes IT ou sécurité. C’est un enjeu de gouvernance, qui appelle une réponse transversale à l’échelle de l’entreprise.

 

Première étape : la visibilité. Il est essentiel que les directions générales exigent un audit clair des outils d’IA utilisés, qu’ils soient validés ou non. Cela permet d’identifier les usages à haut risque, mais aussi de détecter les opportunités d’optimisation ou de standardisation.

 

Ensuite, il s’agit de fixer un cadre, non pas pour brider l’innovation, mais pour canaliser les expérimentations vers des environnements sûrs, évalués, et compatibles avec les exigences réglementaires. Ce cadre doit intégrer des principes de transparence, de redevabilité et de supervision humaine.

 

Enfin, l’entreprise doit s’outiller : comités de gouvernance de l’IA, procédures d’évaluation des fournisseurs, mécanismes d’audit et de traçabilité, formations internes. Le tout dans une logique de dialogue entre métiers, juridique, conformité et cybersécurité.

 

Le Shadow AI est-il un risque ou bien un levier d’intelligence collective ?

 

Le Shadow AI ne doit pas être vu uniquement comme un danger, mais comme un symptôme : celui d’une forte appétence des collaborateurs pour les outils d’IA. Plutôt que de restreindre ces usages, les entreprises ont intérêt à les encadrer et à en tirer parti, à condition de bâtir une gouvernance à la hauteur des risques.

 

L’exemple du secteur assurantiel montre que l’encadrement de l’IA ne freine pas l’innovation, mais en garantit la pérennité. Pour les dirigeants d’entreprise, il y a un équilibre stratégique à trouver : entre laisser-faire et verrouillage, il existe une troisième voie, celle d’une IA maîtrisée et éthique.

 

 

 
 

omestra

En savoir plus :

 info@omestra.com -

Transformation & Transition numérique - Intelligence artificielle - Intelligences artificielles génératives - Entreprises et technologie - Gouvernance de la Tech - Conférence IA génératives et acculturation - Roadmap technologique - Pilotage de la transformation

© 2025 omestra - Tous droits réservés. Mentions légales

  • LinkedIn
bottom of page