«La Shadow AI représente un risque pour la sécurité des données et la conformité d’une entreprise»
Les collaborateurs veulent utiliser des outils d’IA, que leur employeur les mette ou non à disposition. Cette Shadow AI comporte des risques, mais offre aussi des opportunités, comme l’explique Beni Eugster, Cloud Operation and Security Officer chez Swisscom, dans un entretien.
Avril 2025, texte Andreas Heer 5 min.
L’intelligence artificielle générative (GenAI) facilite le travail quotidien. Et les collaborateurs veulent utiliser des outils comme Microsoft Copilot, ChatGPT, Perplexity.ai ou Google Gemini. Si les employeurs ne mettent pas à disposition les outils correspondants, les collaborateurs se débrouillent seuls en utilisant l’outil de leur choix avec des comptes privés. L’étude Work Trend Index 2024(ouvre une nouvelle fenêtre) de Microsoft a révélé que près de 80% des personnes qui utilisent la GenAI apportent leurs propres outils au travail. Cette «Shadow AI» pose aux entreprises des problèmes similaires à celles de la Shadow IT, à savoir l’utilisation d’appareils privés non autorisés et de services Cloud dans le cadre du travail. Dans cet entretien, Beni Eugster nous explique où se situent les principaux risques et pourquoi la Shadow AI offre également des opportunités.
Beni Eugster, quelle est l’ampleur du problème de Shadow AI en entreprise?
La problématique varie considérablement en fonction du secteur d’activité, de la taille de l’entreprise, de la structure informatique et de la criticité des données et des services. Cependant, comme de plus en plus d’entreprises utilisent les technologies d’IA, le risque d’une utilisation non surveillée et non explicitement autorisée de l’IA augmente également. La Shadow AI crée des risques importants pour la sécurité des données, la conformité et la réputation de l’entreprise. Le principal problème réside dans le fait que, comme pour la Shadow IT, de nombreux services d’IA sont disponibles gratuitement ou à bas prix sur Internet. Par conséquent, le risque que les collaborateurs utilisent des services non autorisés pour travailler plus efficace augmente, mais cela représente également une opportunité pour l’entreprise.
Quel est le risque de la Shadow AI?
Les principaux problèmes de la Shadow AI concernent la sécurité des données et la conformité. Selon l’usage qui en est fait, différentes données peuvent être concernées: par exemple les données de clients, les informations sur les collaborateurs, la communication interne, les faiblesses internes, les mots de passe, les rapports de gestion, du code et d’autres informations sensibles qui sont normalement protégées par des politiques et des mesures de sécurité informatique. Les technologies d’IA doivent être mises sur un pied d’égalité avec les autres processus de traitement des données. Cela signifie que les mêmes réglementations s’appliquent, par exemple celles que nous avons pour les données personnelles. Les risques et le flux de données(ouvre une nouvelle fenêtre) doivent donc faire l’objet d’une analyse précise.
Nous observons également l’émergence de nouvelles réglementations propres à l’IA pour l’utilisation de l’intelligence artificielle en lien avec des données sensibles et, de manière générale, pour l’utilisation de modèles d’IA qui ont été entraînés avec certaines données.
Du point de vue de la sécurité des données et de la conformité, quel est le problème lorsque des collaborateurs utilisent la Shadow AI avec des données commerciales?
Souvent, les services informatiques n’ont alors aucune vue d’ensemble ou aucun contrôle sur les données traitées par ces outils d’IA. Cela peut conduire au stockage de données confidentielles sur des plateformes non sécurisées, à l’utilisation de ces données pour l’entraînement des modèles ou à l’accès de personnes non autorisées aux données. Qui plus est, l’utilisation de la Shadow AI peut enfreindre les dispositions légales et contractuelles en matière de conformité qui régissent le traitement et le stockage sécurisés des données.
Si des entreprises constatent un incident de sécurité en lien avec la Shadow AI, comment peuvent-elles réagir?
Si des entreprises constatent un incident de sécurité en rapport avec la Shadow AI, elles doivent immédiatement prendre des mesures pour enquêter sur l’incident et en limiter les conséquences, comme pour tout incident. Cela pourrait inclure une analyse criminalistique de l’incident et la réalisation d’une évaluation des risques, par exemple en collaboration avec le SOC ou le CSIRT(ouvre une nouvelle fenêtre). L’analyse pourrait inclure de nouveaux éléments, par exemple si les données saisies ont été utilisées pour l’entraînement de l’IA et si les données peuvent être supprimées. Des mesures préventives devraient ensuite être prises afin d’éviter que de tels incidents ne se reproduisent à l’avenir.
Les collaborateurs utilisent la Shadow AI parce que les outils d’IA qu’ils souhaitent utiliser ne sont pas disponibles par les voies officielles. Comment les entreprises peuvent-elles mieux répondre aux besoins de leurs collaborateurs lors de l’utilisation de GenAI?
Les entreprises peuvent développer des processus formels pour examiner et approuver de nouvelles applications et de nouveaux outils d’IA, et pour proposer des formations et un soutien aux collaborateurs afin qu’ils puissent utiliser les outils d’IA en toute sécurité. Au lieu d’imposer une interdiction totale, qui s’avère souvent inefficace, les organisations devraient élaborer un plan stratégique pour l’utilisation sûre de ces applications. Un tel plan pourrait par exemple inclure la mise à disposition d’un modèle GPT privé interne à l’entreprise pour les collaborateurs au lieu d’utiliser des modèles publics.
L’expérience montre qu’un échange ouvert entre les collaborateurs, les services informatiques et les équipes de sécurité s’avère efficace pour déterminer quels outils d’IA sont utiles et bénéfiques pour l’entreprise et pour définir ensuite des mesures de protection contre les risques. Si une entreprise comprend les besoins de ses collaborateurs et de son activité, elle peut proposer des outils d’IA pertinents dans un cadre réglementé.
«Les collaborateurs veulent utiliser des outils d’IA, que leur employeur les mette ou non à disposition. Cette Shadow AI comporte des risques, mais offre aussi des opportunités.»
Beni Eugster, Cloud Operation and Security Officer chez Swisscom
Quelles mesures techniques et organisationnelles les entreprises peuvent-elles prendre pour limiter le recours à la Shadow AI?
Des mesures techniques peuvent être mises en place comme solution pour identifier ou bloquer les outils d’IA non autorisés. Il existe par exemple des solutions comme les navigateurs sécurisés et les proxys réseau, ainsi que des solutions avec des propriétés SASE ou CASB. De tels outils s’occupent traditionnellement de thèmes tels que la Data Loss Prevention (DLP) et pourraient donc contribuer à garantir une utilisation sûre de l’IA. À cela s’ajoute une nouvelle génération d’outils qui se concentrent sur la Shadow AI et qui favorisent une utilisation sûre de ces outils.
Les mesures organisationnelles peuvent comprendre des directives et des procédures qui rendent obligatoires l’accord du service informatique pour utiliser de nouveaux outils d’IA et qui proposent des formations sur les risques liés au recours à la Shadow AI.
Comment la cybersécurité peut-elle suivre le rythme fulgurant des progrès dans le domaine de l’IA?
Les entreprises devraient investir le plus rapidement possible dans les nouvelles technologies de sécurité, organiser des formations à la sécurité de manière continue et mettre en place des directives et des procédures strictes pour une utilisation sûre de l’IA. Elles peuvent également embaucher ou former des experts en cybersécurité spécialisés dans les risques de sécurité liés à l’IA.
Je pense que nous avons encore beaucoup à faire. Et comme les technologies évoluent si rapidement, il est important de s’y intéresser de bonne heure et de se familiariser avec elles, par exemple dans le cadre de petits tests. Sur la base de ces tests, une entreprise pourra prendre de meilleures décisions pour une utilisation généralisée.
Beni Eugster
Beni Eugster est Cloud Operation and Security Officer au Swisscom Outpost dans la Silicon Valley. Il travaille sur le sujet de plus en plus critique de la sécurité de l’IA (AI Security) et teste de nouvelles solutions comme les outils de test d’intrusion automatique et les mécanismes de protection (guardrails) pour les modèles d’IA.