C’est le nouveau cauchemar des DSI. Il suffit d’ailleurs de faire un tour dans les stands du Forum InCyber, qui se tient du 31 mars au 2 avril 2026 au Grand Palais à Lille, pour mesurer la place qu’a prise l’équation du Shadow AI dans l’écosystème cyber.
Pour rappel, le Shadow AI est le petit frère 2.0 du Shadow IT : il désigne l’utilisation par les employés d’outils d’intelligence artificielle non approuvés par leur entreprise. Et alors que les capacités de ces solutions ne cessent de croître, que l’IA agentique se démocratise à grande vitesse, portée par des outils toujours plus accessibles au grand public, les entreprises font encore face à la question de leur bonne intégration.
Comment contrôler leur usage en interne sans freiner l’appétit des employés pour des outils toujours plus prometteurs en termes de productivité ?
Interdire pousse à la clandestinité
Pour analyser ce phénomène, nous avons échangé avec Ivan Rogissat, expert des questions liées à la cyber-résilience chez Zscaler en France. L’objectif : appréhender la vision d’un acteur amené à structurer la cybersécurité d’une organisation. Quelle stratégie adopter ? Et où se situe la véritable responsabilité face à cette vague technologique ?
Face au risque de voir des données confidentielles aspirées par des modèles grand public, la réaction instinctive de nombreuses entreprises a été, dans un premier temps, de concevoir leurs propres solutions ou, plus radical, de bloquer radicalement l’accès aux IA. Pourtant, selon l’expert, la deuxième option constitue une erreur stratégique majeure, la solution se situerait quelque part entre les deux.
« Il va falloir que les DSI s’approprient les ‘policies’ et les règles qu’elles veulent autoriser, parce que si elles bloquent tout, ça va être pire. »
En effet, interdire l’outil ne fait pas disparaître le besoin : cela pousse les salariés vers la clandestinité. « Tout va partir de côté, les gens vont utiliser leurs outils à la maison, et là la visibilité sera de zéro. »
La performance n’est plus négociable
Mais voilà, aujourd’hui, pour bon nombre d’employés, la quête de productivité, ou la simple curiosité face à ces nouvelles technologies, prime souvent sur les règles strictes.
Une effervescence qui impacte directement le choix de la solution à intégrer. Ivan Rogissat souligne que la performance est devenue non négociable : « S’il n’y a pas de performance, l’utilisateur trouvera rapidement une backdoor, c’est-à-dire une voie non officielle. »
Le véritable défi cyber n’est donc pas la censure, mais la capacité à combiner maîtrise des flux et performance. À ce jeu d’équilibriste, une priorité se distingue : identifier les informations sensibles, car « malheureusement, il y a beaucoup de données qui sont aujourd’hui encore non classifiées. »
Laisser ce travail de tri aux seuls salariés est toutefois trop risqué, l’utilisateur restant « malheureusement le maillon faible ».
Paradoxalement, la solution pourrait résider dans l’IA elle-même pour pallier ce manque de visibilité. « Le LLM, c’est du langage, (…) donc on a l’opportunité de pouvoir auto-préclassifier un document et de flaguer les zones où il y a des risques. »
Une responsabilité en fonction de l’usage
Si l’interdiction est une impasse et que l’entreprise doit accepter d’encadrer l’IA, qui porte le chapeau en cas de compromission des données ? Ivan Rogissat apporte une réponse nuancée, et il convient de souligner qu’il s’agit ici d’une lecture opérationnelle, celle d’un éditeur, et non d’une analyse juridique.
Si une fuite survient via une intelligence artificielle validée et déployée en interne, comme un Microsoft Copilot intégré à la suite bureautique, la faute incombe à la direction informatique. « Si j’active Copilot, j’ai la responsabilité de le sécuriser. (…) Donc c’est la DSI qui est responsable. » C’est donc à la direction d’assumer la configuration des politiques nécessaires pour empêcher l’exfiltration de données sensibles.
Le constat s’inverse totalement si l’employé sort des clous. Dans un cas de Shadow AI pur, où le salarié a délibérément utilisé un outil non autorisé, la responsabilité de la fuite revient à « l’utilisateur qui a contourné les mesures de sécurité en place. »
Pour la DSI, le plus dur commence : « embrasser la sécurisation de la donnée » sans renoncer à « la performance et la simplification pour l’utilisateur ».
Les abonnés Numerama+ offrent les ressources nécessaires à la production d’une information de qualité et permettent à Numerama de rester gratuit.
Zéro publicité, fonctions avancées de lecture, articles résumés par l’I.A, contenus exclusifs et plus encore. Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !