Le Shadow AI désigne l'utilisation non autorisée ou non encadrée d'outils d'intelligence artificielle au sein d'une organisation. À l'image du Shadow IT, le Shadow AI apparaît lorsque vos collaborateurs adoptent des services d'IA, tels que ChatGPT, Claude, Midjourney ou des assistants de codage, sans passer par les processus d'approbation, de revue de sécurité ou de gouvernance appropriés. Selon une étude Gartner de 2025, 68 % des employés utilisent régulièrement des outils d'IA dont leurs équipes informatiques ignorent l'existence, ce qui fait du Shadow AI l'un des risques de sécurité d'entreprise à la croissance la plus rapide.
Le Shadow AI présente des risques majeurs, notamment la fuite de données (informations sensibles saisies dans les requêtes d'IA), les violations de conformité (données réglementées traitées par des services non approuvés), les vulnérabilités de sécurité (outils d'IA non évalués aux contrôles de sécurité faibles) et la perte de propriété intellectuelle (informations propriétaires utilisées pour entraîner des modèles d'IA externes). Une étude Cisco Data Privacy Benchmark de 2024 a révélé que 48 % des employés avaient saisi des informations non publiques de leur entreprise dans des outils d'IA externes.
Les organisations luttent contre le Shadow AI grâce à des outils de découverte qui surveillent le trafic réseau et l'activité du navigateur pour repérer l'usage de services d'IA, à des politiques d'utilisation acceptable qui définissent les outils approuvés, à la formation des employés aux pratiques d'IA sûres et à des cadres de gouvernance qui concilient innovation et sécurité. L'approche la plus efficace combine surveillance en temps réel, application des politiques et accompagnement des employés.
L'impact financier du Shadow AI est considérable. Le rapport IBM Cost of a Data Breach 2024 a constaté que les organisations dotées de politiques de gouvernance de l'IA insuffisantes font face à un coût moyen de violation de 4,88 millions de dollars. Les sanctions réglementaires aggravent ce risque : les violations du RGPD liées au traitement de données par l'IA peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, tandis que l'EU AI Act introduit des sanctions allant jusqu'à 35 millions d'euros pour les infractions liées à l'IA à haut risque.
Les méthodes de détection du Shadow AI incluent l'analyse du trafic réseau pour identifier les appels aux API d'IA, la surveillance des extensions de navigateur pour capter l'usage des outils d'IA web, les outils de gestion de la posture de sécurité SaaS (SSPM) qui analysent les autorisations OAuth, et l'analyse du comportement des utilisateurs (UBA) qui signale les schémas de données inhabituels compatibles avec l'usage d'outils d'IA.