Shadow AI, surtout ne l’ignorez pas !

Ignorer la situation revient à l’exacerber et donc encourager les dérives !

Entre usages non contrôlés, fuites de données et risques cyber, les entreprises peinent à garder la main sur ces outils qui séduisent autant qu’ils exposent. Faut-il interdire, encadrer ou accompagner cette révolution technologique ? Julien Theys, fondateur d’Agilytic, balise le sujet du shadow AI.

Si ChatGPT représente une avancée technologique indéniable, son usage dans un contexte professionnel n’est pas sans risques. Entre la sécurité des données, le respect des régulations, la fiabilité de l’information et les enjeux liés à la propriété intellectuelle, de nombreux freins poussent les entreprises à en limiter l’accès sur le lieu de travail.

Le shadow IT à l’heure de l’AI, c’est avant tout des pratiques et initiatives individuelles : copier-coller des données sensibles dans ChatGPT, envoyer des fichiers via des boites e-mails personnelles ou encore utiliser des outils tiers sans validation ou consultation préalable de la direction IT. Finalement, « le shadow AI désigne l’inventivité des utilisateurs pour trouver des solutions quand on ne leur en fournit pas, explique Julien Theys. J’en parle en toute conscience pour avoir été, il y a plus de 10 ans, un fan du shadow IT ! »

Shadow AI : sensibiliser, former

Selon une étude récente, 15 % des employés admettent insérer des données d’entreprise dans ChatGPT ; un quart de ces informations sont des données sensibles ou classifiées. Autre ordre de grandeur interpellant : 75 % des travailleurs du savoir utilisent déjà des outils d’IA ; la moitié d’entre eux continuerait à le faire même si ces outils étaient interdits en entreprise…

Interdire les IA ? Cela reviendrait à interdire d’utiliser Google ! « De toute façon, les utilisateurs en entreprise trouvent toujours le moyen de contourner les interdictions lorsqu’ils dénichent quelque chose de beaucoup plus pratique », assure Julien Theys. Et de conseiller de ne pas ignorer la situation. Cela reviendrait à l’exacerber et donc encourager les dérives !  « Ne pas offrir de solution, c’est s’exposer à l’émergence rapide d’un shadow AI, susceptible de mettre l’entreprise en danger ! »

La méthode la plus efficace pour lutter contre l’IA reste… l’IA ! 

Les entreprises ont aujourd’hui tout intérêt d’encadrer l’utilisation de l’IA et à former leurs collaborateurs aux bonnes pratiques. Ce qui veut dire, pour commencer, sensibiliser et former les collaborateurs aux risques de l’utilisation de l’IA dans le cadre du travail.

« A défaut de mettre en place de solutions techniques visant à rendre impossible l’utilisation de l’IA avec les données de l’entreprise, il faut sensibiliser et former ses collaborateurs à l’utilisation éthique de l’IA et les enjeux de son utilisation encadrée dans l’environnement professionnel. » 

Une des méthodes pour limiter le shadow AI en entreprise consiste à  rendre disponible aux collaborateurs un outil spécifique à l’entreprise pour les détourner d’une utilisation non autorisée au profit d’une autorisation contrôlée.

« Cette inclusion de l’IA ne permet pas d’exclure totalement le risque lié au shadow AI. Toutefois, elle permet à l’entreprise d’avoir le contrôle sur un outil similaire inclus dans l’environnement de travail. Ainsi, Copilot dans un environnement Microsoft. Certes, il en coûtera en termes de licences. Mais, ce faisant, vous répondrez aux besoins standards de vos collaborateurs ; vous éviterez qu’ils favorisent une autre solution externe. »

Alternatives open source à sécuriser

Il existe quantité de solutions d’IA sécurisées. Pour des fonctionnalités d’IA avancées, privilégier des LLM privés et professionnels, tels qu’Amazon Q ou ChatGPT Enterprise, qui offrent une sécurité, une conformité et un contrôle des données renforcés.

Pour les organisations nécessitant une personnalisation plus poussée, une piste consiste à investir dans des modèles d’IA internes basés sur des modèles fondamentaux de fournisseurs comme Anthropic, OpenAI ou des alternatives open source comme Llama , Mistral, voire DeepSeek.

Il est possible d’améliorer ces modèles grâce à la génération augmentée de récupération pour intégrer les sources de connaissances internes et garantir leur exactitude et leur pertinence. « C’est très intéressant dans le cas d’applications verticales qui doivent exceller dans une spécialisation bien définie, comme la finance ou la science de pointe. »

« make » et « buy »

Julien Theys constate aussi l’essor du mix « make » et « buy ». Autrement dit, s’appuyer sur les ressources des fournisseurs comme Google, Microsoft, Amazon, OpenAI ou  Mistral et consacrer ses efforts à l’assemblage de ces ressources.

« Le jeu des modèles personnalisés fait sens si la création d’une pile d’IA propriétaire exige des efforts considérables, le mix offre contrôle, sécurité et adéquation aux besoins de l’entreprise. »

D’autres pistes, encore, apparaitront. Cette année 2025 marquera des avancées majeures pour les organisations, qui gagneront en confiance, en créativité et en innovation dans leur utilisation de l’IA générative. Mais elle sera aussi jalonnée d’erreurs. Craindre son potentiel transformateur reviendrait à laisser l’avantage aux concurrents, tandis qu’une approche réfléchie et encadrée permettra d’en exploiter les bénéfices tout en évitant des faux pas coûteux.