Shadow IA en entreprise : pourquoi le vrai sujet n’est pas l’outil mais la gouvernance. Cartographie des usages réels, cadre « embrace, not ban », rôle du trio CIO–CISO–CDO et indicateurs de maturité pour sécuriser l’IA générative sans brider la valeur métier.
Shadow IA en entreprise : pourquoi les DSI qui l'ignorent répètent l'erreur du shadow IT

Shadow IA, nouveaux usages et anciens réflexes : le vrai sujet est la gouvernance

Le shadow IA en entreprise n’est pas un phénomène marginal réservé aux équipes techniques. Dans la plupart des organisations, les usages d’intelligence artificielle générative se sont installés au cœur des métiers, bien avant que la gouvernance ne soit réellement mise en place. Tant que le service informatique reste focalisé sur les seuls outils autorisés, il sous-estime les principaux risques liés à ces nouvelles pratiques.

Les collaborateurs et les employées utilisent déjà ChatGPT, Copilot, Midjourney ou des applications spécialisées pour traiter des données entreprise sans toujours mesurer les risques de sécurité. Cette shadow utilisation d’outils génératifs se fait souvent en dehors de toute utilisation autorisée, avec des données partagées qui incluent des informations sensibles, des contrats, des roadmaps produits ou des jeux de données clients. Dans plusieurs entreprises françaises suivies par Wavestone entre 2022 et 2024, la cartographie des usages IA a révélé, sur des périodes d’observation de trois à six mois et des périmètres de 10 000 à 40 000 postes, des centaines d’utilisations applications non référencées, parfois au cœur de processus critiques.

Le parallèle avec le shadow IT est évident, mais le niveau de risques sécurité est d’un autre ordre. Quand un employé ouvrait un compte SaaS sans validation, il exposait surtout des identifiants et quelques fichiers, alors qu’avec l’intelligence artificielle générative il peut provoquer une fuite de données massives vers des modèles tiers. Les risques shadow liés à l’IA combinent sécurité données, conformité réglementaire et perte de contrôle sur les informations métier, ce qui impose une gouvernance beaucoup plus fine que celle des simples outils collaboratifs.

Les DSI qui continuent à traiter le sujet comme une dérive marginale de quelques collaborateurs isolés se trompent de combat. La diffusion transversale de l’intelligence artificielle dans les entreprises, bien au-delà des équipes data, est désormais un marqueur structurel des organisations modernes. Ignorer cette réalité revient à laisser la place à des solutions artificielles non maîtrisées, tout en laissant les métiers arbitrer seuls entre productivité immédiate et protection données.

Le cœur du problème n’est pas l’outil, mais l’utilisation qui en est faite avec les données entreprise. Un même service d’intelligence artificielle peut être parfaitement acceptable pour générer un support marketing générique, et totalement inacceptable pour analyser des données partagées issues du CRM ou des systèmes financiers. La gouvernance doit donc articuler usages, risques et sécurité conformité, plutôt que de se limiter à une liste figée d’outils autorisés ou interdits.

Les RSSI qui ont vécu la première vague de cloud non maîtrisé le savent déjà. À l’époque, les organisations ont mis des années à reprendre la main sur les solutions SaaS, faute d’avoir posé rapidement un cadre clair sur l’utilisation outils et sur la protection des données. Rejouer ce scénario avec l’intelligence artificielle serait une erreur stratégique majeure pour toute entreprise qui prétend piloter sa transformation numérique par la valeur.

Cartographier les usages IA réels : du discours de conformité aux données d’observation

La plupart des comités de gouvernance se rassurent avec des politiques IA bien rédigées, mais rarement confrontées aux usages réels. Tant que la DSI ne dispose pas de données d’observation sur l’utilisation applications d’IA, la discussion sur les risques shadow reste théorique et déconnectée du terrain. Les organisations qui progressent sont celles qui traitent la cartographie comme un produit, pas comme un livrable ponctuel.

Concrètement, cela commence par l’instrumentation du réseau et des postes pour détecter l’utilisation outils d’IA externes, qu’il s’agisse de services grand public ou de solutions professionnelles. Chez un grand assureur français, l’analyse des logs proxy sur un échantillon de 25 000 postes pendant quatre mois (2023) a mis en évidence plus de 80 services d’intelligence artificielle différents utilisés par les collaborateurs, alors que seuls trois outils autorisés figuraient dans le référentiel officiel. Cette simple visibilité, obtenue via un croisement des journaux de navigation, des catégories d’URL et des signatures applicatives, a permis de prioriser les principaux risques, en distinguant les usages génératifs à faible impact des scénarios de fuite données potentiellement critiques.

Les DSI doivent aussi accepter que la cartographie ne soit pas qu’un sujet technique de sécurité données. Les entretiens avec les métiers, les ateliers avec les équipes commerciales, financières ou industrielles révèlent souvent une utilisation autorisée implicite d’outils non référencés, validée de fait par le management local. Dans plusieurs entreprises industrielles allemandes, les employées outils IA ont été encouragés par les managers pour accélérer la rédaction de réponses à appels d’offres, sans que le service informatique n’ait jamais été consulté, sur la base de retours d’expérience collectés auprès de plusieurs dizaines d’équipes projet entre 2022 et 2024.

Le rôle du trio CIO CISO CDO devient alors central pour arbitrer entre innovation et conformité réglementaire. Une gouvernance efficace ne se limite pas à rappeler les règles de protection données, elle doit aussi proposer des solutions concrètes pour canaliser les usages et réduire les risques sécurité sans casser la dynamique métier. C’est tout l’enjeu d’une gouvernance numérique qui fonctionne réellement entre DSI, RSSI et CDO, capable de parler à la fois langage métier et langage de la sécurité.

Les outils de type CASB, les proxys filtrants ou les solutions de Data Loss Prevention restent utiles, mais ils ne suffisent plus face à l’intelligence artificielle générative. Les flux chiffrés, les API multiples et la prolifération de plugins rendent la simple approche par blocage beaucoup moins efficace qu’à l’époque du shadow IT classique. Les DSI doivent donc combiner ces briques techniques avec des mécanismes de déclaration simplifiée des usages, afin que les collaborateurs puissent signaler rapidement leurs besoins sans craindre une interdiction systématique.

Cette logique de transparence suppose aussi de clarifier les responsabilités sur les données entreprise utilisées dans les prompts et les corpus d’entraînement. Quand un métier charge des documents internes dans un outil d’IA, qui porte le risque de fuite de données partagées ou de non conformité réglementaire face au RGPD et au futur AI Act européen ? Sans réponse explicite, chaque direction locale reconstruit sa propre gouvernance, ce qui fragilise la sécurité conformité à l’échelle de l’entreprise.

De l’interdiction réflexe au cadre « embrace, not ban » : sécuriser sans étouffer

Face à la montée du shadow IA en entreprise, la tentation de certains comités de direction reste d’interdire purement et simplement l’utilisation outils externes. Cette posture rassure sur le papier, mais elle ne résiste pas à la réalité des usages et à la pression concurrentielle sur la productivité. Les DSI qui ont déjà vécu l’épisode des clés USB, des Dropbox sauvages ou des CRM parallèles savent que l’interdiction seule ne fait que déplacer le problème.

La stratégie la plus robuste consiste à mettre en place un cadre « embrace, not ban » qui assume l’intelligence artificielle comme un levier métier, tout en encadrant strictement les risques shadow. Dans plusieurs grandes entreprises françaises du CAC, les DSI ont déployé des solutions d’IA générative internes, hébergées sur des infrastructures maîtrisées, pour offrir une alternative crédible aux services grand public. Ces solutions artificielles internes ne suppriment pas tous les risques, mais elles réduisent fortement la probabilité de fuite données sensibles vers des modèles externes.

Pour être crédible, ce cadre doit articuler clairement les zones d’utilisation autorisée et les zones interdites, en fonction de la criticité des données entreprise. Un cas d’usage de génération de supports de formation à partir de contenus déjà publics n’a pas le même niveau de risques sécurité qu’un cas d’analyse de contrats clients ou de données partagées issues du SI financier. Les politiques d’utilisation applications IA doivent donc être structurées par familles de données, avec des règles de protection données explicites et compréhensibles par les collaborateurs non spécialistes.

Les DSI qui réussissent ce virage travaillent étroitement avec les directions métiers pour co concevoir les garde fous, plutôt que de les imposer depuis la seule tour de contrôle du service informatique. Chez BNP Paribas ou chez Schneider Electric, les équipes IT et les métiers ont co construit des chartes d’utilisation outils IA qui précisent les responsabilités de chaque acteur, du simple utilisateur jusqu’au sponsor de la solution. Cette approche partagée renforce la sécurité conformité, car elle transforme la gouvernance en outil de pilotage plutôt qu’en simple contrainte réglementaire.

Le sujet dépasse largement la seule productivité individuelle, comme le rappelle l’analyse de plusieurs cabinets dont Gartner et Forrester. Les copilotes IA en entreprise ne posent pas seulement une question de gains de temps, mais surtout une question de gouvernance des décisions prises avec l’aide de l’intelligence artificielle. C’est précisément ce que met en avant l’analyse sur les copilotes IA en entreprise et la primauté de la gouvernance sur la productivité, qui insiste sur la nécessité de tracer les usages et de documenter les arbitrages.

Dans ce cadre, la formation des collaborateurs et des employées devient un levier de réduction des shadow risques au moins aussi important que les solutions techniques. Un utilisateur qui comprend les enjeux de sécurité données, de conformité réglementaire et de protection des informations clients fera des choix plus prudents dans ses prompts, même avec des outils non référencés. À l’inverse, une politique IA non expliquée nourrit la défiance et encourage le recours à des canaux parallèles, renforçant le shadow IA entreprise risques gouvernance au lieu de le réduire.

Aligner IA, valeur métier et pilotage de la DSI : du slide stratégique au ticket incident

Pour un CIO, traiter le shadow IA uniquement sous l’angle de la sécurité revient à manquer la moitié du sujet. La vraie question est de savoir comment transformer ces usages sauvages en valeur mesurable pour l’entreprise, sans sacrifier la gouvernance ni la conformité réglementaire. Autrement dit, comment faire de l’intelligence artificielle un actif piloté plutôt qu’un risque subi.

La première étape consiste à relier explicitement les cas d’usage d’IA générative aux objectifs métiers et aux indicateurs de valeur, plutôt qu’aux seuls KPI techniques. Une direction commerciale qui utilise des outils génératifs pour préparer des propositions plus vite doit pouvoir démontrer un impact sur le taux de transformation ou sur le cycle de vente, pas seulement sur le temps passé par les collaborateurs. C’est cette logique de pilotage par la valeur, et non par le seul coût, qui est détaillée dans l’approche ValueOps présentée sur le pilotage de la DSI par la valeur créée plutôt que par le coût évité.

En parallèle, la DSI doit intégrer le shadow IA dans ses processus opérationnels quotidiens, au même titre que les incidents de production ou les demandes de changement. Quand un employé signale un problème lié à l’utilisation outils d’IA, ce n’est pas un irritant marginal, c’est un signal faible sur les limites de la gouvernance actuelle. Chaque ticket lié à une fuite données potentielle, à une erreur générée par un modèle ou à un conflit de conformité doit être traité comme un retour d’expérience structurant pour ajuster les politiques.

Les frameworks comme NIST, ISO 27001 ou les référentiels de l’AI Act fournissent une base solide pour structurer la sécurité conformité autour de l’intelligence artificielle. Mais sans ancrage dans les réalités des organisations, ces cadres restent des checklists déconnectées des usages réels et des risques shadow concrets. Les entreprises qui avancent le plus vite sont celles qui combinent ces standards avec une boucle d’amélioration continue alimentée par les données entreprise issues des incidents, des audits et des retours métiers.

À terme, le shadow IA en entreprise deviendra un indicateur de maturité de la gouvernance, au même titre que le shadow IT l’a été pour le cloud. Un niveau élevé de shadow utilisation signalera soit une absence de solutions artificielles adaptées, soit une politique de protection données trop rigide pour les besoins métiers. Inversement, une baisse progressive des usages non référencés, accompagnée d’une hausse des déclarations d’utilisation autorisée, traduira une meilleure articulation entre innovation, sécurité et valeur créée.

Pour un CIO, l’enjeu n’est donc pas de viser le risque zéro, mais de rendre chaque euro investi dans l’IA traçable en termes de bénéfices métiers et de réduction des risques sécurité. Le vrai arbitrage ne se joue pas sur le TCO affiché en comité, mais sur le ticket incident du lundi matin qui révèle une fuite de données partagées vers un modèle externe. C’est à ce niveau concret que se juge la crédibilité de la gouvernance IA, bien plus que dans les slides parfaitement alignés sur les buzzwords du moment.

Chiffres clés sur le shadow IA, les risques et la gouvernance

  • Selon Capgemini (rapport « Cybersecurity Threats to AI-Powered Enterprises », édition 2023, panel d’environ 1 000 organisations interrogées en Amérique du Nord, en Europe et en Asie), environ 40 % des attaques par phishing intègrent déjà des éléments générés par IA, ce qui augmente fortement les risques de compromission lorsque des données entreprise circulent dans des outils non maîtrisés.
  • Les analyses de Gartner (enquêtes 2023 sur l’adoption de l’IA générative dans les grandes organisations, menées auprès de plusieurs centaines de DSI et CISO) montrent que dans de nombreuses grandes entreprises, plus de 60 % des usages d’intelligence artificielle générative démarrent hors du périmètre officiel de la DSI, illustrant l’ampleur du shadow IA par rapport aux projets encadrés.
  • Plusieurs études européennes citées par Forrester entre 2022 et 2024, basées sur des échantillons de 200 à 500 grandes entreprises, indiquent qu’une part significative des organisations n’a pas encore formalisé de politique de protection données spécifique à l’IA, malgré l’arrivée de l’AI Act et le renforcement attendu de la conformité réglementaire.
  • Les retours de terrain de cabinets comme Wavestone, basés sur des missions de diagnostic menées auprès de plusieurs dizaines de grands comptes européens entre 2022 et 2024, montrent que la mise en place d’une solution d’IA générative interne, couplée à une gouvernance claire, peut réduire de plus de 50 % les usages non autorisés d’outils externes en moins de douze mois.
Publié le