Shadow IT
Outils, services et — désormais — agents IA utilisés dans une organisation sans validation ni supervision de la DSI. Une organisation sur cinq a subi une violation liée au Shadow AI.
Le Shadow IT (« informatique fantôme ») désigne l'ensemble des outils, services et applications numériques utilisés au sein d'une organisation sans validation ni supervision de la DSI. Sa déclinaison la plus récente et la plus préoccupante est le Shadow AI : l'usage d'outils et d'agents d'intelligence artificielle non encadrés, qui combine exfiltration de données sensibles et action autonome non recensée. En 2025, une organisation sur cinq a subi une violation de données liée au Shadow AI, avec un surcoût moyen de 670 000 dollars par incident.
Du Shadow IT au Shadow AI : un changement de nature
Le Shadow IT classique est un problème de données : un employé stocke des fichiers sur un cloud personnel, une équipe souscrit un SaaS sans passer par l'IT. Le risque est l'exfiltration et la perte de contrôle. Le Shadow AI ajoute une dimension nouvelle : l'action. Un agent IA ne se contente pas de stocker ou de lire — il agit, écrit, envoie, décide. Quand ces agents prolifèrent sans inventaire, l'organisation perd la trace non seulement de ses données, mais de ce que des machines font en son nom.
Les chiffres traduisent l'ampleur du risque : 71,7 % des outils d'IA utilisés en entreprise présentent un risque élevé ou critique, et 34,8 % des données saisies dans ces outils sont sensibles — en hausse d'année en année.
Pourquoi l'interdiction échoue
La réaction réflexe — interdire — est contre-productive. L'IA générative est accessible en un clic, gratuite et immédiatement utile, là où les processus internes de validation sont lents. Interdire ne supprime pas l'usage : il le rend invisible, donc plus dangereux. Le Shadow AI prospère précisément dans l'écart entre l'utilité perçue par les employés et la lenteur des circuits officiels.
Recenser, encadrer, superviser
La gouvernance efficace du Shadow AI repose sur trois leviers :
- Recenser — établir un inventaire vivant des outils et agents IA réellement utilisés. Des standards émergent, comme les registres d'agents (la Linux Foundation pousse un annuaire fondé sur le DNS). On ne gouverne pas ce qu'on ne recense pas.
- Encadrer — offrir des alternatives validées, sécurisées et plus pratiques que les outils sauvages, avec des règles claires sur les données autorisées.
- Superviser — tracer les accès, cadrer finement les permissions (clés à périmètre limité), et garder un humain dans la boucle sur les actions sensibles.
Le Shadow AI n'est pas un problème de discipline des employés, mais un signal de gouvernance : il révèle l'écart entre les usages réels de l'IA et la capacité de l'organisation à les encadrer.
Questions fréquentes
Quelle différence entre Shadow IT et Shadow AI ?
Le Shadow IT désigne l'usage d'outils ou de services numériques (applications SaaS, stockage cloud, comptes personnels) sans validation de la DSI. Le Shadow AI en est la déclinaison spécifique à l'intelligence artificielle : un employé qui colle des données clients dans un chatbot grand public, une équipe qui branche un agent sur une base sans encadrement. Le Shadow AI est plus risqué car il combine deux dangers : l'exfiltration de données sensibles vers des services tiers et l'action autonome d'agents qui agissent sans inventaire ni supervision.
Pourquoi le Shadow AI explose-t-il dans les organisations ?
Parce que l'IA générative est devenue accessible en un clic, gratuite et immédiatement utile, alors que les processus internes de validation sont lents. L'écart entre l'utilité perçue et l'effort d'adoption pousse les employés à contourner la DSI. Résultat : les organisations perdent la trace de leurs propres agents — un assistant branché ici, un agent de contenu déployé là, un workflow connecté à une base sans que personne ne tienne le registre de ce qui tourne, avec quels accès, sur quelles données. On ne gouverne pas ce qu'on ne recense pas.
Faut-il interdire ou encadrer le Shadow AI ?
Interdire est inefficace et contre-productif : l'usage continue, mais caché, donc plus dangereux. L'approche qui fonctionne combine trois leviers. Recenser : établir un inventaire vivant des outils et agents IA réellement utilisés (registres d'agents, découverte automatisée). Encadrer : offrir des alternatives validées et sécurisées plus pratiques que les outils sauvages, avec des règles claires sur les données autorisées. Superviser : tracer les accès, cadrer les permissions, garder un humain dans la boucle sur les actions sensibles. Encadrer la pratique vaut mieux que la nier.