Shadow AI, souveraineté, confiance : maîtrisez les vrais enjeux de l’IA

La montée en puissance de l’intelligence artificielle (IA) dans le monde professionnel soulève des questions cruciales, notamment en matière de cybersécurité et de confiance. A l’occasion du Salon InCyber 2025, nos experts Mick Levy et Marine Mathias ont donné une conférence explorant les risques du Shadow AI, leurs impacts sur les entreprises, et les solutions à mettre en place dans les organisations…

Conférence : Shadow AI, souveraineté, confiance

Qu’est-ce que le Shadow AI ?

Le Shadow AI désigne l’utilisation non autorisée d’outils d’intelligence artificielle par des employés dans un cadre professionnel. Contrairement aux solutions approuvées par l’entreprise, ces outils peuvent compromettre la sécurité des données et la confidentialité.

Le shadow AI est un véritable fléau pour l’entreprise, dans des proportions encore plus grandes que le shadow IT. En France, selon les sondages, 18 à 50 % des collaborateurs feraient du Shadow AI (Source : Ifop, Data Publica, 2024).

Selon certains sondages, on compte même jusqu’à 60 % des travailleurs du savoir qui utiliseraient des outils d’IA non régulés, ce qui représente un risque majeur pour les entreprises.

J-50

Matinale Data & IA

Paris 11 Déc 2025 08h30 – 14h00

S'inscrire

Les risques associés au Shadow AI

1. La perte de données

Les salariés qui font du shadow AI, en utilisant par exemple ChatGPT, Midjourney ou Gemini, font donc courir un risque majeur à l’entreprise en termes de perte de données, puisque les solutions grand public ne garantissent ni la confidentialité ni la stricte sécurité de vos données.

L’ensemble des prompts, des dialogues et documents échangés avec ces solutions peuvent donc réutilisés pour poursuivre l’entraînement de ces grands modèles d’IA qui sont portés à l’échelle mondiale, et provocant ainsi des fuites de données. Ces données peuvent être ensuite exposées à des personnes qui vont prompter les modèles qui auront été entraînés avec ces mêmes données.

2. La mise à disposition d’informations à la concurrence

Autre conséquence : en partageant des données avec des outils d’IA non autorisés, les salariés risquent de fournir involontairement des informations précieuses aux organisations concurrentes, nuisant alors à la position de leur entreprise sur le marché.

Cybersécurité et IA

L’intelligence artificielle peut également être exploitée par des attaquants pour concevoir des stratégies d’attaque plus sophistiquées. L’augmentation de la surface d’attaque due à l’intégration de l’IA dans les processus d’entreprise nécessite une vigilance accrue.

Par exemple, lorsque des solutions d’IA sont créées dans les entreprises ou que des projets sont mis en place, des accès pour consulter les grands LLM du marché peuvent offrir une nouvelle surface d’attaque potentielle. L’intelligence artificielle est ainsi de plus en plus exploitée par les attaquants qui mènent des stratégies d’attaque de plus en plus sophistiquées, massives, et complexes à détecter.

Souveraineté en IA

Les grands LLM (Large Language Models), mais aussi les modèles d’images et de vidéos, utilisés ou en pleine émergence sur le marché, sont très majoritairement américains ou chinois. La dépendance à ces modèles d’IA soulève des préoccupations en matière de souveraineté. Les entreprises doivent s’assurer que les solutions d’IA qu’elles utilisent respectent les normes de sécurité et de confidentialité.

Au-delà de la question de la souveraineté et de la résilience technologique, le contexte culturel est aussi à prendre en ligne de compte. Toutes les IA entraînées majoritairement sur des données anglophones, du moins pour les IA américaines, véhiculent de fait une culture essentiellement anglophone et plus précisément américaine. Cela se retrouve même très clairement sur certaines questions qui peuvent être posées dans ces IA.

IA de confiance et confiance dans l’IA

Le terme d’IA de confiance présente de multiples facettes. Passage en revue des plus marquants.

L’impact environnemental des IA

Le numérique contribue significativement aux émissions de CO2, représentant environ 4 à 4,5 % des émissions en France. L’IA, en particulier, est responsable d’une augmentation des émissions de gaz à effet de serre, et des entreprises comme Google et Microsoft ont enregistré des hausses autour de 30 à 50 % entre 2019 et 2023.

La notion d’IA de confiance nécessite d’opter pour des solutions d’IA plus durables pour réduire cet impact environnemental. Il est crucial de s’interroger pour chaque projet ou utilisation comment créer des IA un peu plus frugales et qui ont un impact environnemental moins fort ?

Le déploiement de l’AI Act

Le RIA, règlement sur l’IA (AI Act), est le premier règlement mondial porté en Europe. Entré en vigueur en août 2024, il entre peu à peu en application et va amener des contraintes pour tenter de maintenir la confiance sur les différents champs cités précédemment.

Le règlement amène ainsi un cadre nouveau pour créer et de déployer des IA pour les entreprises. Certains usages vont être totalement interdits en Europe (tels que le crédit social par exemple) et d’autres seront strictement encadrés (usages à haut risque).

Transparence, biais et hallucinations

Autre enjeu : la confiance dans l’IA. Par exemple, quelle confiance peut-on accorder à des décisions automatisées par l’IA qui ne sont pas explicables et on n’a aucune transparence sur les données qui ont été utilisées pour entraîner cette IA ? La confiance dans l’IA repose sur la transparence des processus décisionnels.

Les entreprises doivent être en mesure d’expliquer comment les décisions sont prises par les systèmes d’IA, afin de garantir la confiance des utilisateurs.

Les modèles d’IA peuvent être biaisés, ce qui peut conduire à des décisions injustes et casser la confiance envers les entreprises. Des IA extrêmement biaisées peuvent amener à reproduire des inégalités voire amplifier les inégalités de la société.

Les hallucinations, qui correspondent aux petites et grandes erreurs de l’IA, peuvent également compromettre la fiabilité des résultats. Cela soulève des questions sur la confiance accordée à ces systèmes.

Replay

IA de confiance : l’enjeu majeur des organisations responsables

Voir la vidéo

Lutter contre le Shadow AI : quelles solutions ?

1. Encadrer et sensibiliser les collaborateurs

Les entreprises ont tendance à réduire le sujet de l’IA à la seule question de la performance individuelle. Ce point-là doit être pris en compte par les organisations mais surtout pour des questions de sécurité.

Ainsi, les entreprises devraient établir des politiques claires concernant l’utilisation des outils d’IA. Cela peut inclure des chartes à signer par les employés et des sessions de sensibilisation sur les risques associés au shadow AI, l’attention et l’importance à protéger tous ensemble les données de l’entreprise. C’est d’autant plus crucial pour les données personnelles exposées au RGPD, et celles relevant du secret industriel.

2. Utiliser des solutions sécurisées

Il est essentiel de fournir aux salariés des solutions d’encapacitation (ou « empowerment » en anglais) avec des outils d’IA sécurisés et conformes aux normes de l’entreprise.

Ne pas mettre cela en place, c’est perdre deux fois ! Tout d’abord, c’est perdre les opportunités de l’IA pour améliorer la productivité de vos collaborateurs. Ensuite, vous vous fermeriez à la nouvelle génération qui arrive sur le marché du travail, qui a pris l’habitude d’utiliser l’IA et qui ne comprendrait pas ne pas pouvoir le faire en entreprise. À une autre époque, on n’aurait pas imaginé ne pas pouvoir utiliser Excel en entreprise… Il en sera de même avec l’IA.

Des solutions comme Live Intelligence d’Orange Business permettent d’utiliser des modèles d’IA dans un cadre sécurisé, réduisant ainsi les risques liés au Shadow AI.

3. Déployer l’IA à l’échelle

Le déploiement de l’IA va aussi servir à revisiter un processus, le rendre plus efficace ou disrupter même parfois tout un processus. La création d’un produit ou d’un service qui va être encapsulé dans un autre produit, sur un objet, dans une application web ou une application mobile est également possible. On est ici dans un processus de création avec l’IA : c’est une deuxième étape après avoir donné le pouvoir à chaque collaborateur d’utiliser l’intelligence artificielle.

Pour ce type de déploiement, les sujets clés vont tourner autour des choix et de la qualification des usages. Chaque projet va devoir tenir compte des six niveaux de risques ou points d’attention :

• Cybersécurité
• Souveraineté et culture
• Transparence et explicabilité
• Hallucinations et biais
• Environnement
• Réglementaire

Rappelons que « 80 % des projets d’IA de ce type ne passent pas à l’échelle ». L’une des principales raisons est le refus de certaines entreprises de transformer ses processus. Il ne suffit pas de créer un POC pour passer l’IA à échelle. Pour y parvenir, il faut accepter de transformer l’entreprise, de revoir les processus et la manière dont on travaille dans les directions ou départements impactés.

L’ajout d’une fonctionnalité à base d’IA doit également être acceptée par les collaborateurs amenés à l’utiliser. Ils doivent donc pouvoir en comprendre l’usage et l’utilité pour l’intégrer correctement au même titre que toute autre fonctionnalité du produit. C’est seulement ainsi que l’on pourra réduire le pourcentage de projets d’IA qui ne passeraient pas à l’échelle.

C’est le double défi pour d’un bon déploiement de l’intelligence artificielle dans l’entreprise. D’un côté, travailler ces solutions d’encapacitation des collaborateurs et lutter en même temps contre le shadow AI, sensibiliser contre tous les risques. Et, de l’autre côté, trouver des cas d’usage qui vont amener une valeur à l’échelle tout en tenant compte en détail du niveau de risque qui va être amené pour chacun de ces cas d’usage.

Former les employés sur les limites et les risques des outils d’IA est donc primordial. Cela inclut la sensibilisation aux biais, aux hallucinations et à la manière de protéger les données de l’entreprise.

Le shadow AI représente donc aujourd’hui un défi majeur pour toutes les entreprises et organisations. Cependant, avec des stratégies appropriées, il est possible de minimiser les risques associés. Mieux, en investissant dans des solutions sécurisées et en sensibilisant leurs salariés, les entreprises peuvent tirer parti des avantages de l’IA tout en protégeant leurs données et leur réputation. La confiance et la souveraineté doivent être au cœur de toute stratégie d’IA pour garantir un avenir numérique sécurisé.

👉 Retrouvez toute notre actu en temps réel en nous suivant sur LinkedIn