Shadow AI : Mettre en œuvre des politiques dans l'entreprise

Avatar
Lisa Ernst · 31.10.2025 · Technik · 5 min

Les outils d'IA sont souvent testés avant les approbations officielles. Cela augmente les problèmes de risque et de gouvernance. Shadow AI est la deuxième forme la plus courante de Shadow IT. L'EU AI Act entre en vigueur progressivement, avec des règles déjà applicables pour les pratiques interdites et des exigences pour l'IA à usage général.

Introduction

Shadow AI décrit l'utilisation d'outils d'IA générative sans la connaissance ou l'approbation du service informatique. Cela se produit, par exemple, lorsque du texte, du code ou des données clients sont insérés dans des chats externes sans vérification préalable du contrat ou de la confidentialité. Shadow IT désigne les technologies introduites de manière informelle en dehors des processus officiels ; Shadow AI est la forme spécifique pour l'Intelligence Artificielle. La gouvernance fournit le cadre réglementaire pour l'utilisation sûre et légale de l'IA, y compris les politiques, les rôles et les contrôles. Un exemple de cela est le NIST AI Risk Management Framework avec les fonctions Gouverner, Cartographier, Mesurer, Gérer. La gestion des risques liés aux modèles (MRM) comprend l'inventaire des modèles, la validation, le suivi et la documentation. Elle est établie dans la surveillance financière depuis des années (SR 11-7) et est transférable aux modèles d'IA. Pour un système de gestion au niveau de l'organisation, il existe la ISO/IEC 42001:2023.

État actuel

L'actuel 1Password-Report 2025 montre que Shadow AI est la deuxième catégorie de Shadow IT la plus fréquente après l'e-mail. 27 % des employés utilisaient des applications d'IA non approuvées. De plus, 37 % ont déclaré ne suivre les politiques de l'entreprise que « la plupart du temps », ce qui indique des lacunes dans les politiques. Une autre observation du marché par Zluri, via Help Net Security , indique que 80 % des outils d'IA utilisés par les employés échappent à l'IT et à la sécurité. Sur le plan réglementaire, dans l'UE, les interdictions de certaines pratiques d'IA et les obligations de littératie en IA sont en vigueur depuis le 02/02/2025. Les obligations GPAI sont en vigueur depuis le 02/08/2025, et d'autres parties de la loi suivront à partir du 02/08/2026, avec des transitions prolongées pour certains systèmes à haut risque jusqu'en 2027. La Commission européenne maintient le calendrier, malgré les demandes de report de l'industrie, comme Reuters a rapporté.

Le modèle de l'iceberg illustre la nature cachée de Shadow AI par rapport aux systèmes d'IA officiellement approuvés.

Source: infoproteccion.com

Le modèle de l'iceberg illustre la nature cachée de Shadow AI par rapport aux systèmes d'IA officiellement approuvés.

Causes et contexte

Shadow AI émerge pour diverses raisons. La commodité et le désir de gain de productivité sont les principaux moteurs. Souvent, les politiques sont peu claires ou communiquées de manière incohérente, comme le 1Password-Report le souligne. Les dynamiques de plateforme amplifient cela : les faibles barrières à l'entrée, les plug-ins, les extensions de navigateur et les intégrations d'applications facilitent l'expérimentation, souvent sans SSO, DLP ou audit, comme Help Net Security rapporte. Simultanément, des contre-mesures concrètes deviennent accessibles. OWASP décrit les risques LLM typiques tels que l'injection de prompt, les fuites de données ou les droits d'agent excessifs, qui peuvent servir de points d'ancrage pour les contrôles. Du côté des fournisseurs, les offres d'entreprise renvoient à la protection des locataires, à la journalisation et au contrôle de la durée de conservation des données, par exemple chez ChatGPT Enterprise/Edu et Microsoft 365 Copilot.

Les principaux risques de Shadow AI comprennent la désinformation, l'exposition des données et les risques potentiels pour les clients.

Source: walkme.com

Les principaux risques de Shadow AI comprennent la désinformation, l'exposition des données et les risques potentiels pour les clients.

Faits et malentendus

Il est prouvé que Shadow AI est largement répandu dans les entreprises. Le 1Password-Report montre que 27 % des employés utilisent des applications d'IA non approuvées et que Shadow AI est la deuxième catégorie de Shadow IT la plus fréquente. De plus, 80 % des outils d'IA utilisés ne sont pas gérés, ce qui entraîne de grandes zones d'ombre, comme Help Net Security rapporte. Les obligations de l' EU AI Act entrent en vigueur progressivement depuis 2025, avec les règles GPAI depuis le 02/08/2025 et une application plus large à partir du 02/08/2026. On ne sait pas à quelle vitesse les entreprises appliqueront les normes MRM à l'IA générative de manière généralisée. Le MRM est établi dans la surveillance bancaire ( SR 11-7), ), mais les niveaux de maturité varient selon les secteurs. L'affirmation « Nous n'avons rien à faire avant 2026 » est fausse ou trompeuse. Les interdictions et les obligations de littératie de l'UE sont déjà en vigueur aujourd'hui (depuis le 02/02/2025), ainsi que les obligations GPAI (depuis le 02/08/2025). La Commission confirme le calendrier, comme Reuters le signale.

Source: YouTube

Recommandations d'action

Pour mettre en œuvre des politiques Shadow AI de manière pragmatique et solide, les entreprises devraient définir les cas d'utilisation autorisés, les entrées interdites (par exemple, données personnelles, données clients confidentielles), les outils autorisés et les voies d'approbation. Le NIST-Rahmenwerk offre une structure appropriée à cet effet. Un processus continu de découverte et d'inventaire est nécessaire pour rendre les nouveaux outils d'IA visibles, comme Help Net Security le souligne. Des contrôles techniques tels que DLP/Labels, Accès Conditionnel, Journalisation et Pistes d'Audit doivent être ancrés ; des exemples sont fournis par l' Copilot-Architektur. L'introduction de processus MRM, y compris l'inventaire des modèles, la documentation des hypothèses et de la provenance des données, la validation indépendante, le suivi de la dérive et de la performance, ainsi que les contrôles de changement, est cruciale. SR 11-7 offre un plan directeur solide ici. Ceux qui souhaitent établir la gouvernance de manière certifiable sur le plan organisationnel peuvent utiliser ISO/IEC 42001 comme système de gestion et l' NIST-Playbook pour des mesures concrètes.

Un cadre éthique est essentiel pour une gestion responsable de l'IA et la mise en œuvre des politiques.

Source: linkedin.com

Un cadre éthique est essentiel pour une gestion responsable de l'IA et la mise en œuvre des politiques.

Perspectives

Les questions ouvertes concernent la précision des exigences GPAI et les attentes de la supervision dans les audits. La Commission continue de travailler sur des documents d'orientation et maintient le plan par étapes, comme Reuters rapporte. La normalisation des tests pour les risques d'injection de prompt et d'agent dans des flux de travail complexes est un autre défi. OWASP fournit des catalogues de risques mis à jour en permanence à cet effet. La question des métriques pour l'équité, la robustesse et les hallucinations qui deviendront la norme de facto est également ouverte. NIST travaille sur des profils et des méthodes d'évaluation pour l'IA générative.

Shadow AI montre que les gens veulent des résultats rapides. De bonnes politiques combinent cette impulsion avec la protection. Ceux qui formulent maintenant des règles d'utilisation claires, établissent la découverte et le suivi, intègrent des contrôles techniques et mettent en place des processus MRM réduisent les risques sans freiner la productivité. Cela prépare également mieux les entreprises pour l' EU AI Act et utilise des cadres tels que le NIST AI Risk Management Framework et ISO/IEC 42001.

Source: YouTube

Partagez notre article !