Aller au contenu principal

· Mikaël Masson · Innovation  · 7 min read

Shadow AI : comment auditer et encadrer l'IA non autorisée en entreprise

57 % des salariés utilisent l'IA sans autorisation. Découvrez comment identifier, évaluer et encadrer les usages IA sauvages dans votre organisation.

La Shadow AI : un phénomène massif et croissant

Vous pensez connaître tous les outils technologiques utilisés dans votre entreprise ? Détrompez-vous.

57 % des salariés utilisent l’IA au travail sans autorisation explicite de leur employeur. ChatGPT, Copilot, Claude, Midjourney, Gemini… Ces outils sont gratuites ou peu coûteux et accessibles en quelques clics. Les salariés les utilisent pour gagner du temps, améliorer leur productivité, ou simplement par curiosité.

C’est ce qu’on appelle la Shadow AI : l’utilisation d’outils d’IA non approuvés, non contrôlés et souvent inconnus de la direction IT ou de la cybersécurité.

Le problème ? Les risques sont importants.

Les risques concrets de la Shadow AI

1. Fuite de données confidentielles

C’est le risque majeur. Vos salariés copient-collent des données sensibles dans ChatGPT :

  • Codes source de vos produits
  • Données clients (noms, emails, numéros de téléphone)
  • Documents commerciaux, contrats, prix
  • Propriété intellectuelle (algorithmes, stratégie, brevets)

Une fois partagée avec un outil cloud public, cette donnée ne vous appartient plus. Et pire : elle peut être utilisée pour entraîner d’autres modèles IA.

2. Non-conformité RGPD

Le RGPD vous oblige à maîtriser le traitement des données personnelles. Si vos salariés envoient des données personnelles dans des outils tiers, vous violez probablement le RGPD.

Les amendes du RGPD peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial (pour les violations graves).

3. Non-conformité AI Act

L’AI Act, qui entre en application en août 2026, impose des obligations spécifiques selon le niveau de risque de l’IA utilisée :

  • Risque très élevé : applications d’IA dans la recrutement, la notation de crédit, etc. Obligation de gouvernance stricte
  • Risque élevé : applications nécessitant une évaluation d’impact
  • Risque faible ou minimal : peu de contraintes

Si vous utilisez de l’IA sans audit du risque, vous ne respectez pas l’AI Act.

4. Propriété intellectuelle compromise

Si vous utilisez l’IA génératives pour créer du contenu (images, textes, code), vous prenez un risque juridique.

Exemple : un dessinateur crée une illustration avec Midjourney. Qui est propriétaire de cette création ? Midjourney ? Vous ? Les données d’entraînement ? C’est flou légalement.

5. Biais décisionnels et discriminations

Certains outils IA reproduisent les biais des données d’entraînement. Si vous utilisez l’IA pour du recrutement, de la notation de performance ou du scoring de crédit sans audit, vous risquez des discriminations involontaires.

6. Disponibilité et interruption d’activité

Si vos processus critiques dépendent d’outils IA externes non documentés, une indisponibilité du service vous paralyse.

Comment faire un audit Shadow AI en 5 étapes

Étape 1 : Inventaire des outils IA utilisés

Vous devez savoir ce qui se cache dans votre organisation.

Méthodes de découverte :

  • Sondage confidentiel des salariés (qu’utilisez-vous pour quoi ?)
  • Analyse des flux réseau (détection des connexions à OpenAI, Anthropic, Google, etc.)
  • Audit des processus critiques (où l’IA pourrait être utilisée ?)
  • Revue des connexions de données (où les données sensibles pourraient partir ?)

Outils utiles :

  • Outil de DLP (Data Loss Prevention) : détecte les tentatives de partage de données sensibles
  • Analyse des logs firewall et proxy
  • Enquête RH directe auprès des collaborateurs

Livrables :

  • Liste exhaustive des outils IA utilisés
  • Nombre d’utilisateurs par outil
  • Cas d’usage identifiés

Étape 2 : Classification et analyse des flux de données

Pour chaque outil, vous devez comprendre :

  • Quelles données sont partagées : données personnelles, secrets commerciaux, codes source ?
  • Vers quel service : le modèle tourne-t-il sur cloud public ou en interne ?
  • Qui y a accès : les données pourraient-elles être consultées par des tiers ?
  • Rétention : les données sont-elles conservées après utilisation ?
  • Légalité : TOS, données utilisées pour l’entraînement du modèle ?

Exemple : ChatGPT gratuit entraîne les modèles OpenAI sur les données que vous partagez. Donc envoyer du code propriétaire à ChatGPT gratuit = fuite très risquée.

Étape 3 : Évaluation des risques par outil

Chaque outil doit être classé selon son niveau de risque :

CritèreRisque faibleRisque moyenRisque très élevé
Données partagéesDonnées publiquesDonnées généralesDonnées sensibles / confidentielles
Lieu de traitementInterneCloud US/EUCloud tiers inconnu
Acceptabilité légaleCompliant RGPD/AI ActÀ adapterNon compliant
Criticité métierFaibleMoyenCritique

Exemple :

  • ChatGPT avec données publiques = Risque moyen (terms of service flous)
  • ChatGPT avec données clients = Risque très élevé (RGPD, données sensibles)
  • Copilot d’entreprise Microsoft = Risque faible (données restent en interne)

Étape 4 : Classification des usages et plan de remédiation

Une fois les risques identifiés, vous classez les usages en trois catégories :

  1. À autoriser : outils approuvés, contrôlés, conformes. Exemple : ChatGPT Enterprise pour la rédaction (avec charte utilisation)
  2. À adapter : outils utiles mais qui nécessitent des garde-fous. Exemple : limiter les données partagées
  3. À interdire : outils trop risqués pour votre contexte. Exemple : ImageGeneration avec données propriétaires

Plan d’action :

  • Définir une charte IA approuvée par la direction
  • Déployer des outils approuvés et sécurisés (alternatives conformes)
  • Mettre en place une DLP pour bloquer/alerter les violations
  • Former les salariés

Étape 5 : Mise en place de la gouvernance IA

L’audit ne sert que s’il débouche sur une gouvernance pérenne.

Éléments clés :

  • Charte IA documentée et approuvée par la direction
  • Comité IA : réunions régulières (RSSI, RH, métier, direction)
  • Registre des IA : liste exhaustive des outils utilisés, leurs risques, leur conformité
  • Formation continue : sensibilisation aux risques, bonnes pratiques
  • Processus d’approbation : avant d’adopter un nouvel outil IA, validation par l’IT/RSSI

De l’audit à la gouvernance IA

1. Charte IA

Document qui précise :

  • Quels outils sont approuvés et pourquoi
  • Quels types de données peuvent être partagés (et lesquels jamais)
  • Responsabilités de chacun (salariés, direction, IT)
  • Procédures de signalement des usages non autorisés

Exemple de règles :

  • ✅ Utiliser ChatGPT pour rédiger des articles marketing (aucune donnée client)
  • ✅ Utiliser Copilot pour améliorer du code (données non critiques)
  • ❌ Jamais : partager des données clients, des codes sources sensibles, des contrats
  • ❌ Jamais : utiliser des outils qui entraînent les modèles publics sur vos données

2. Comité IA multidisciplinaire

Réunions mensuelles ou trimestrielles avec :

  • RSSI / Responsable cybersécurité
  • RGPD / DPO si applicable
  • Responsables métier (qui savent quels cas d’usage apportent de la valeur)
  • IT / Infrastructure
  • Direction générale

Objectifs : valider les nouveaux usages, évaluer les risques, décider des approches.

3. Outils approuvés et alternatives conformes

Plutôt que d’interdire l’IA (impossible), proposez des alternatives sécurisées :

  • ChatGPT Enterprise au lieu de ChatGPT gratuit (données sécurisées, pas d’entraînement)
  • Copilot pour Microsoft 365 au lieu de ChatGPT classique
  • Solutions on-premise ou privées : Ollama, LLaMA, Mistral en local
  • APIs propriétaires : vous maîtrisez les données

4. Formation et sensibilisation

Tous les salariés doivent comprendre :

  • Les risques de la Shadow AI
  • Les outils approuvés et pourquoi
  • Qu’ils ne doivent pas partageur de données sensibles avec n’importe quel outil
  • Comment signaler un usage suspect

L’AI Act : ce qui change pour les PME

L’AI Act (en application août 2026) impose une classification des risques et une gouvernance adaptée.

Obligations principales :

  • IA à très haut risque : obligation d’évaluation d’impact, de documentation exhaustive, de traçabilité
  • IA à risque élevé : évaluation d’impact requise
  • IA à risque bas/minimal : obligations minimales

Pour une PME :

  • Vous devez auditer chaque outil IA que vous utilisez et le classer selon son risque
  • Vous devez documenter votre gouvernance IA
  • Si vous utilisez l’IA pour du recrutement, du crédit, ou d’autres domaines critiques : exigences strictes
  • Transparency : vous devez informer les utilisateurs finaux qu’une IA intervient

L’AI Act renforce l’urgence d’une audit Shadow AI et d’une gouvernance IA.

Par où commencer ?

  1. Lancer un sondage : demander discrètement aux salariés quels outils IA ils utilisent
  2. Analyser les logs : comprendre les connexions sortantes vers des services IA
  3. Évaluer les risques : pour chaque outil, quel est le risque réel ?
  4. Définir une charte IA : quoi autoriser, quoi interdire, comment procéder ?
  5. Communiquer et former : annoncer la charte IA et sensibiliser l’équipe
  6. Mettre en place les garde-fous : DLP, outils approuvés, gouvernance

Un accompagnement spécialisé permet d’avancer rapidement sans créer de frustration auprès des salariés.

Vous souhaitez auditer la Shadow AI dans votre organisation ? KTSN vous accompagne sur l’identification des risques et la mise en place d’une gouvernance IA. Découvrir notre offre Innovation & IA → ou prendre rendez-vous pour discuter →.

Cet article fait partie d’une série sur la gouvernance IA et la sécurité de l’information. Retrouvez également nos guides sur la conformité NIS2 et les bases de cybersécurité.

Share:
Back to Blog

Related Posts

View All Posts »