Shadow AI : le défi de la gouvernance qui empêche les dirigeants de dormir

Pour les CIO et CHRO, cela représente une crise de gouvernance que les achats à eux seuls ne peuvent résoudre. L’approche traditionnelle consistant à « acheter le bon outil et en imposer l’usage » échoue lorsque les employés peuvent accéder à des capacités similaires via des applications grand public gratuites. Le défi pour les équipes de direction est d’instaurer du contrôle sans étouffer les gains de productivité qui ont rendu l’IA si attractive au départ.

Envergure de l’utilisation invisible de l’IA

L’IA fantôme diffère des défis précédents liés à l’informatique de l’ombre autant par son ampleur que par son accessibilité. Un employé ne peut pas déployer un serveur fantôme ou un système d’approvisionnement depuis son téléphone pendant sa pause déjeuner. Mais il peut tout à fait coller des données clients confidentielles dans ChatGPT ou Claude pour rédiger un e-mail, écrire un compte rendu d’évaluation, ou analyser un tableau.

En mars 2024, 27,4 % des données d’entreprise saisies par les employés dans des outils d’IA étaient classées sensibles, contre 10,7 % un an plus tôt. Il ne s’agit pas seulement de volume, mais aussi de rapidité. 

La nature distribuée de l’adoption de l’IA rend les méthodes de surveillance traditionnelles insuffisantes. Contrairement aux installations de logiciels qui exigent des privilèges d’administrateur ou aux outils SaaS qui laissent une trace documentaire, l’utilisation de l’IA via des comptes personnels ne laisse pratiquement aucune trace technique.

Parmi les organisations connaissant une forte utilisation d’IA fantôme, les brèches de sécurité ont compromis davantage de données personnelles identifiables (65 %) et exposé plus de propriété intellectuelle (40 %) que dans celles affichant des taux moindres d’IA fantôme, selon le rapport 2025 d’IBM sur le coût d’une violation de données. Ces incidents ont aussi ajouté en moyenne 670 000 $ au coût total des violations. 

Lorsque les employés traitent des données RH, des informations financières ou des dossiers clients avec des outils d’IA grand public, les organisations perdent la chaîne de conservation des données. Elles ne peuvent plus prouver leur conformité aux réglementations sur la protection des données, ne peuvent pas auditer quelles informations ont quitté l’entreprise et ne peuvent pas garantir leur suppression lorsqu’elle est exigée par la loi.

La concentration du risque est particulièrement forte dans les petites entreprises. Les sociétés comptant de 11 à 50 salariés présentaient la densité la plus élevée d’utilisation d’IA fantôme, avec une moyenne de 269 applications IA non sanctionnées pour 1 000 employés.

Même les organisations de taille moyenne comptant entre 500 et 1 000 employés affichaient environ 200 outils d’IA fantôme pour 1 000 utilisateurs. Il ne s’agit pas d’expériences temporaires : certaines applications d’IA fantôme présentent une durée médiane d’utilisation dépassant les 400 jours consécutifs sans approbation ou supervision formelle.

C’est l’une des réalités les plus courantes actuellement : l’adoption de l’IA se produit déjà, que la direction l’ait prévue ou non. La pire réaction serait de tout interdire. Cela engendre plus d’usages cachés et détruit la confiance.

Share This Quote on:

• Share on Twitter
• Share on LinkedIn
• Share on Facebook

Dave EvansOpens new window

CEO et cofondateur de Fictiv

État d’esprit : rapidité contre sécurité

Des recherches récentes dévoilent une réalité gênante quant à la perception des employés à propos de la gouvernance de l’IA. Parmi les salariés, 60 % estiment que l’utilisation d’outils d’IA non sanctionnés vaut le risque pour la sécurité si cela leur permet de travailler plus vite ou de respecter les délais. Un autre 21 % pense que leur employeur « fermerait les yeux » sur l’utilisation d’outils d’IA non approuvés tant que le travail est effectué à temps.

Ce calcul évolue selon le niveau hiérarchique. Parmi les présidents et dirigeants au niveau C, 69 % considèrent que la vitesse l’emporte sur la confidentialité ou la sécurité. Chez les directeurs ou vice-présidents seniors, ce chiffre atteint 66 %. À l’inverse, seuls 37 % des professionnels de l’administration et 38 % des cadres juniors partagent ce point de vue. 

Ceux qui ont le plus de pouvoir pour modifier les politiques de gouvernance sont aussi les plus enclins à les ignorer.

Les données partagées par les employés reflètent cette tolérance au risque. Un tiers ont partagé des recherches ou des jeux de données via des outils d’IA non sanctionnés, plus d’un quart ont transmis des données sur les employés (noms, paie ou performances) et 23 % ont partagé des états financiers ou des données de vente.

Pourquoi le blocage échoue

Les organisations qui tentent de résoudre le problème de l’IA furtive par des restrictions se heurtent à un problème fondamental. Les employés trouvent des moyens de contourner les applications bloquées. Bloquer n’élimine pas ce comportement ; cela le rend simplement plus clandestin et élimine la visibilité.

Les personnes dans votre organisation l’utilisent. Elles l’utilisent tout le temps. Vous devrez donc peut-être déclarer ce que j’appelle une amnistie de l’IA pour dire : sortez de l’ombre et montrez-nous ce que vous utilisez avec l’IA. Utilisez les outils préférés qui sont verrouillés, n’entraînez pas le modèle, sécurisez tout. Mais sortez de l’ombre, plus d’IA de l’ombre. Vous avez l’amnistie. On ne vous reprochera pas de l’avoir utilisée dans le passé. On s’en fiche, tout simplement. Mais s’il vous plaît, mettez cela au grand jour et trouvons ensemble la meilleure façon d’avancer.

Share This Quote on:

• Share on Twitter
• Share on LinkedIn
• Share on Facebook

Charlene LiOpens new window

Fondatrice et PDG de Quantum Networks Group

Le manque de connaissances accentue ce défi. Alors que 40 % des employés se souviennent avoir reçu une formation sur l’IA, 40 % continuent à utiliser chaque jour des outils non autorisés. Plus paradoxalement, des chercheurs ont constaté une corrélation positive entre le fait de déclarer comprendre les exigences de sécurité liées à l’IA et l’usage régulier d’outils d’IA non approuvés. 

À mesure que les employés prennent conscience des risques liés à l’IA, leur confiance à juger ces risques augmente — même au détriment du respect des politiques internes.

Cela suggère que la formation à la sensibilisation à la sécurité ne suffit pas comme garde-fou. Moins de la moitié des employés déclarent connaître et comprendre la politique de leur entreprise concernant l’utilisation de l’IA. Les politiques existantes ne prennent souvent pas en compte les raisons pratiques qui conduisent les employés à recourir à l’IA furtive dès le départ.

Construire un cadre pratique de gouvernance de l’IA

L’Information Systems Audit and Control Association a élaboré des lignes directrices pour aider les organisations à couvrir l’ensemble du cycle de vie de la gestion de l’IA. Selon la recherche de l’ISACA, seulement 31 % des organisations disposent de politiques d’IA formelles et complètes, alors que 83 % des professionnels de l’informatique et des affaires pensent que des employés utilisent l’IA au sein de leur organisation.

« Les meilleurs cadres commencent par la reconnaissance, a déclaré Evans. Premièrement, un inventaire des usages existants de l’IA et de leurs raisons. Deuxièmement, définir des garde-fous clairs : quelles données sont autorisées, quels outils sont approuvés, et où la supervision humaine est requise. Troisièmement, attribuer la responsabilité : qui rend compte des résultats lorsque l’IA influence une décision. La gouvernance doit permettre l’agilité en toute sécurité, sans freiner les équipes. Bien exécutée, elle transforme l’expérimentation informelle en exécution responsable et reproductible. »

L’ISACA recommande d’adapter le cadre COBIT – traditionnellement utilisé pour la gouvernance informatique – afin de répondre aux défis spécifiques de l’IA. Cette approche fonctionne car la plupart des organisations possèdent déjà une structure de gouvernance fondée sur COBIT, ce qui permet d’étendre la gouvernance de l’IA plutôt que de devoir tout reconstruire.

Voyons donc quelles sont les étapes à suivre :

Alignement stratégique

Garantit que les initiatives liées à l’IA répondent directement aux objectifs de l’entreprise, plutôt que d’exister comme de simples projets technologiques autonomes. Il s’agit de se demander non pas « Que peut faire l’IA ? » mais « Quels problèmes métier faut-il résoudre et l’IA peut-elle aider ? »

Inventaire et classification des risques 

Répertorier les outils d’IA existants – qu’ils soient sanctionnés ou non – et les classer par niveau de risque. Un chatbot du service client traitant des demandes ordinaires présente des risques différents d’un outil d’IA analysant des données de performance des employés ou des projections financières. Cette classification détermine le niveau de gouvernance requis selon les outils et les cas d’usage.

Intégrer la gestion des risques liés à l’IA aux processus organisationnels existants.

L’intégration avec le développement logiciel, la gestion de projets et des changements permet d’évaluer les risques tôt et régulièrement. Du point de vue de la confidentialité et de la gouvernance des données, un suivi rigoureux des actifs, des données et des modèles offre une vision globale des usages de l’IA. Les processus de gestion des risques tiers doivent recenser les fournisseurs utilisant l’IA et la façon dont ils en assurent la sécurité.

Définir des frontières pour les données 

Les organisations ont besoin de politiques explicites définissant quelles informations peuvent ou non être traitées par des systèmes d’IA. Ces limites reposent généralement sur un système à plusieurs niveaux : les informations publiques peuvent être utilisées dans n’importe quel outil d’IA, les informations internes nécessitent des solutions d’entreprise assorties d’accords de protection des données, et les données confidentielles sont restreintes à des environnements d’IA spécifiques et fortement surveillés.

Le cadre met en avant que la gouvernance de l’IA doit être globale, supervisant l’ensemble du cycle de vie de l’IA du début à la fin. Cela inclut la capture des métadonnées pertinentes à chaque étape, garantissant que le cadre de gouvernance couvre tous les aspects du développement, du déploiement et de la surveillance des modèles.

La gouvernance de l’IA doit assurer une visibilité totale de tous les modèles d’IA au sein de l’écosystème de l’entreprise, favorisant la transparence et permettant aux parties prenantes de comprendre comment les modèles sont créés, utilisés et gérés.

Étapes pratiques pour bien démarrer

Les organisations n’ont pas besoin de mettre en place un cadre de gouvernance complet du jour au lendemain. L’approche de l’ISACA suggère une mise en œuvre progressive :

Phase 1 : Établir la visibilité (Semaines 1-4)

• Réaliser un audit des outils d’IA dans tous les départements
• Créer un registre de l’IA exigeant que les employés documentent les outils qu’ils utilisent et dans quels buts
• Classer les outils par niveau de risque (faible, moyen, élevé, critique)
• Identifier les types de données traitées par chaque outil

Phase 2 : Définir les politiques et les limites (Semaines 5-8)

• Développer des normes claires de classification des données (publiques, internes, confidentielles, restreintes)
• Créer des politiques d’utilisation graduées reliant le niveau de risque des outils à la sensibilité des données
• Établir des procédures d’approbation pour les nouvelles demandes d’outils d’IA
• Définir les rôles et responsabilités (qui approuve quoi, qui surveille la conformité)

Phase 3 : Mettre en œuvre les contrôles (Semaines 9-16)

• Déployer des contrôles techniques (prévention de la perte de données, gestion des accès)
• Fournir des alternatives approuvées aux outils d’ombre d’IA couramment utilisés
• Lancer une formation des employés sur les outils approuvés et les politiques de gestion des données
• Mettre en place des systèmes de surveillance pour détecter les usages anormaux de l’IA

Phase 4 : Amélioration continue (en cours)

• Mener des audits réguliers (trimestriels recommandés) pour repérer l’utilisation non autorisée de l’IA
• Revoir et mettre à jour les politiques à mesure que les capacités de l’IA évoluent
• Mesurer les taux de conformité et l’efficacité de la gouvernance
• Recueillir les retours des employés sur les lacunes en matière d’outils et les points de friction des politiques

L’essentiel est de considérer la gouvernance de l’IA comme un produit avec une responsabilité dédiée plutôt qu’un simple document de politique. De la même manière que les organisations disposent de directeurs de la sécurité avec des équipes en charge de la sécurité, une gouvernance efficace de l’IA demande qu’une personne – qu’il s’agisse d’un Chief AI Officer, Chief Data Officer ou d’une équipe dédiée à la gouvernance de l’IA – soit responsable du maintien du cadre comme d’un système vivant.

Bacs à sable IA pour une expérimentation sûre

Le développement le plus notable en matière de gouvernance de l’IA de l’ombre est peut-être le concept de « bacs à sable IA » : des environnements contrôlés où les employés peuvent expérimenter les capacités de l’IA sans exposer de données sensibles.

Les bacs à sable tiennent compte d’une vérité fondamentale : les employés utilisent l’IA de l’ombre car cela les aide à mieux travailler. Bloquer l’accès sans proposer d’alternatives ne supprime pas le besoin.

L’Université de Harvard a été pionnière en la matière lorsque les professeurs et chercheurs ont eu besoin d’un accès sécurisé à de grands modèles de langage sans risque de fuite de données vers des fournisseurs externes. L’université a lancé un bac à sable IA sécurisé compatible avec GPT-3.5, GPT-4, Claude 2 et PaLM 2 Bison.

Plus de 50 utilisateurs pilotes ont utilisé le bac à sable pour tester l’IA dans le cadre de l’enseignement et de la recherche tout en protégeant les données confidentielles. Ces tests contrôlés ont également guidé les décisions d’achat de Harvard pour les futures intégrations d’IA.

Le gouvernement du Massachusetts a mis en place des bacs à sable isolés similaires grâce à l’infrastructure AWS pour des outils d’IA, notamment des chatbots et systèmes d’achat. Ces systèmes ont permis une expérimentation sécurisée et peu risquée, optimisé les services et nourri les stratégies d’adoption de l’IA à plus grande échelle. Des villes comme le New Jersey et Washington D.C. ont engagé des démarches comparables avec Azure.

Dans le secteur financier, la Financial Conduct Authority britannique s’est associée à NVIDIA pour créer ce qu’ils qualifient de « bac à sable suralimenté », donnant aux entreprises accès à des modèles d’IA, des jeux de données et des conseils réglementaires. Le bac à sable a facilité l’innovation en matière de détection de fraude, de gestion des risques et d’automatisation tout en garantissant conformité et supervision.

Le concept du bac à sable crée des espaces dédiés où les équipes peuvent tester des outils d’IA pour des cas d’usage spécifiques à l’aide de données assainies. Une équipe finance peut expérimenter des modèles de prévision alimentés par l’IA en utilisant des données historiques dont les identifiants clients ont été supprimés. Une équipe RH peut tester des outils de tri de CV en utilisant des profils candidats synthétiques. Le marketing peut prototyper des concepts de campagne sans partager d’informations sur des produits non encore lancés.

Ces environnements remplissent une double fonction. Ils satisfont le désir des employés d’utiliser les capacités de l’IA tout en offrant aux équipes IT et conformité des terrains de test contrôlés pour évaluer de nouveaux outils avant un déploiement à l’échelle de l’entreprise. 

Lorsqu’une équipe identifie un cas d’usage IA pertinent dans le bac à sable, l’organisation peut correctement évaluer l’outil et négocier les accords de protection des données appropriés avant un déploiement élargi.

Le rôle du DRH dans la gouvernance de l’IA

Si les DSI pilotent généralement les initiatives de gouvernance de l’IA, les DRH jouent un rôle tout aussi crucial qui est souvent sous-estimé. Le shadow AI n’est pas seulement un problème technologique, c’est un problème humain, enraciné dans la manière dont les salariés travaillent, les pressions de productivité qu’ils subissent, et la confiance qu’ils accordent (ou non) aux outils officiels.

Les DRH doivent traiter les dynamiques culturelles qui encouragent le recours à l’IA non officielle. Quand les employés pensent que demander l’accès à un nouvel outil IA entraînera un processus d’achat de six mois, ils trouveront des solutions alternatives. Lorsqu’ils perçoivent les politiques IT comme des freins à leur productivité plutôt que comme une gestion légitime des risques, la même chose se produit.

Il revient alors aux DRH de défendre des cadres de gouvernance qui équilibrent sécurité et facilité d’utilisation. Un système qui requiert quinze validations pour utiliser un outil de rédaction IA échouera, même s’il est théoriquement sécurisé. Les employés se contenteront simplement d’utiliser ChatGPT et n’en parleront jamais. Une gouvernance efficace fait du bon chemin le chemin le plus simple.

Les DRH sont aussi responsables de la conduite du changement nécessaire pour orienter les comportements des salariés du shadow AI vers les alternatives autorisées. Cela passe par une communication sur l’importance de la gouvernance, une formation à l’usage des outils approuvés, et la création de canaux clairs pour permettre aux employés de demander de nouvelles fonctionnalités si les outils existants ne répondent pas à leurs besoins.

L’aspect management de la performance ne doit pas non plus être ignoré. Les organisations doivent décider comment traiter les employés qui enfreignent les politiques d’utilisation de l’IA. Un nombre croissant d’employés font plus confiance aux outils d’IA qu’à leurs managers ou collègues, indiquant un déplacement de la confiance des relations humaines vers la technologie. Cette dynamique complique l’application des règles : trop sévère et les employés cacheront mieux leur usage de l’IA, trop indulgente et les politiques deviennent inopérantes.

Des systèmes de surveillance efficaces

Une surveillance efficace de l’IA suppose de trouver un équilibre entre besoin de sécurité, respect de la vie privée et confiance des employés. Les approches les plus pertinentes s’intéressent aux mouvements de données plutôt qu’aux comportements individuels. Les systèmes surveillent les flux massifs d’informations potentiellement sensibles copiés dans le presse-papiers ou téléchargés sur des sites externes — des schémas qui signalent une fuite de données potentielle plutôt qu’un travail de routine.

Le contexte est fondamental dans la surveillance. Un ingénieur qui colle du code dans un outil d’IA peut chercher de l’aide pour le déboguer… ou partager des algorithmes propriétaires. Le système de surveillance doit faire la distinction, souvent grâce à des systèmes de classification des données qui qualifient différemment des dépôts de code sensibles et des projets open source.

Certaines organisations mettent en place des systèmes d’éducation « just-in-time » qui interviennent en cas de comportement à risque. Si un employé tente de copier ce qui semble être des données clients dans un outil d’IA externe, le système génère un avertissement expliquant les politiques de protection des données et oriente vers des alternatives approuvées. Cela permet d’éduquer sans punir et offre une possibilité de se réorienter avant la violation de la politique.

La question des achats

Un moteur majeur du shadow AI est le frein dans les processus d’achats. Il suffit à un employé quelques minutes pour créer un compte ChatGPT ou Claude et commencer à travailler. Obtenir l’approbation, l’achat et le déploiement d’un outil d’IA d’entreprise par l’IT peut prendre des mois. Ce différentiel garantit l’adoption du shadow AI.

Les organisations les plus avancées créent des circuits d’achats accélérés pour les outils d’IA répondant à certains critères. Si un outil n’a pas accès à des données sensibles, ne s’intègre pas aux systèmes centraux et vise un nombre d’utilisateurs limité, l’approbation peut être obtenue en quelques jours au lieu de plusieurs mois. Cela réduit l’incitation à recourir à l’usage non officiel tout en conservant une surveillance adaptée aux déploiements à risque élevé.

Certains adoptent des « bibliothèques d’outils IA », des catalogues pré-approuvés de services IA auxquels les employés peuvent accéder immédiatement grâce à des accords-cadres. Plutôt que de négocier des contrats pour chaque nouvel outil, l’IT conclut des accords globaux avec des fournisseurs majeurs, et les employés peuvent activer l’accès à la demande. Cela combine la rapidité du shadow AI avec la gouvernance des outils approuvés.

Là où la gouvernance atteint ses limites

Les cadres actuels de gouvernance de l’IA peinent face à plusieurs défis émergents. Le premier tient à la montée en puissance des fonctionnalités IA intégrées à d’autres logiciels. Microsoft Copilot s’intègre directement dans Office 365, les fonctionnalités IA d’Adobe sont incluses dans Creative Cloud, et Salesforce Einstein fonctionne au cœur des workflows CRM. Ces capacités IA « invisibles » ne sont pas perçues comme des outils distincts requérant une gouvernance spécifique mais traitent pourtant d’importants volumes de données métier.

Le deuxième défi concerne les appareils personnels. De nombreuses organisations adoptent des politiques permettant aux employés d’apporter leur propre appareil, afin qu’ils puissent accéder à leurs courriels professionnels et à des documents depuis leurs téléphones ou ordinateurs portables personnels. Lorsque ces appareils disposent d’assistants IA — Siri, Google Assistant ou des outils tiers — capables d’accéder aux données de travail, le suivi traditionnel basé sur le réseau devient inefficace.

Le troisième défi consiste à distinguer l’utilisation de l’IA de la dépendance à l’IA. Les cadres de gouvernance permettent de contrôler les outils auxquels les employés ont accès mais peinent à savoir si ces derniers développent des compétences de pensée critique appropriées ou deviennent trop dépendants des résultats générés par l’IA. Un employé qui utilise l’IA pour rédiger tous ses courriels ne contrevient à aucune politique, mais voit ses compétences rédactionnelles progresser bien moins qu’avant l’apparition de l’IA.

À quoi ressemble la réussite

Les organisations qui parviennent à gouverner efficacement l’usage de l’IA sans nuire à la productivité partagent plusieurs caractéristiques. 

• Elles définissent des politiques claires et simples, que les employés peuvent comprendre et suivre sans interprétation juridique. 
• Elles fournissent des alternatives autorisées qui répondent véritablement aux besoins des employés et évitent que ceux-ci retournent vers des outils non approuvés. 
• Elles mettent en place des mécanismes de retour d’expérience permettant aux employés de signaler les lacunes des outils validés ou de demander de nouvelles fonctionnalités.
• Elles considèrent la gouvernance comme une conversation continue et non comme un règlement figé. 

Une communication régulière expliquant pourquoi les politiques existent, quels risques elles atténuent et comment elles évoluent, entretient l’adhésion des employés. Lorsqu’ils comprennent que la gouvernance les protège de la responsabilité, des violations de données pouvant affecter leurs propres informations, et des contraventions réglementaires, la conformité devient alors un réflexe culturel plutôt qu’une contrainte imposée.

Les organisations qui peinent avec l’IA de l’ombre affichent bien souvent les caractéristiques inverses : 

• Des politiques complexes nécessitant une interprétation juridique
• Des outils approuvés à la traîne par rapport aux offres grand public en termes de fonctionnalités et de facilité d’utilisation
• Une communication unidirectionnelle où le service informatique impose des politiques sans en expliquer les raisons ni solliciter de retour.

Les perspectives d’avenir

L’IA de l’ombre ne disparaîtra pas. Les outils d’IA grand public continueront de gagner en fonctionnalités et en accessibilité, les rendant toujours attractifs pour les employés cherchant à accroître leur productivité. Le véritable défi de gouvernance ne consiste pas à éliminer l’IA de l’ombre mais à orienter son adoption vers des systèmes maîtrisés qui protègent à la fois les intérêts de l’organisation et la productivité des employés.

Cela nécessite une collaboration entre les DSI, les DRH et les dirigeants pour concevoir des cadres de gouvernance applicables dans la pratique et pas seulement sur le papier. Cela exige d’investir dans des outils validés réellement compétitifs avec les alternatives grand public, plutôt qu’en simples solutions dictées par la bureaucratie. Il faut enfin faire confiance aux employés pour qu’ils prennent les bonnes décisions si les orientations sont claires, et que la direction mette les ressources permettant de travailler efficacement dans le respect du cadre de gouvernance.

L’alternative, c’est un écart grandissant entre la politique officielle et la pratique réelle, où l’usage de l’IA de l’ombre continue de s’étendre d’une façon que l’organisation ne peut ni observer ni contrôler. En 2025, les données ont montré qu’environ un tiers des projets d’IA générative en entreprise étaient susceptibles de stagner à cause de la mauvaise qualité des données, de contrôles de risques insuffisants, de coûts croissants ou d’un manque de valeur ajoutée claire pour l’entreprise. Les recherches indiquent que plus de 80 % des projets IA échouent globalement.