Par Tanguy
Duthion, CEO de Avanoo
À l’ère du
tout-numérique, les entreprises font face à une double menace qui hante leurs
départements IT et sécurité : celle du Shadow IT et celle, plus récente, du
Shadow AI.
Avec la prolifération
des services SaaS, souvent accessibles en freemium, les employés adoptent
spontanément des outils sans l’aval de l’IT, créant un écosystème parallèle.
Convertisseurs de PDF
comme iLovePDF, plateformes de partage de fichiers comme WeTransfer, ou encore
solutions no-code telles que Bubble ou Zapier : autant d’exemples qui
permettent d’aller vite… mais en échappant totalement aux contrôles de
sécurité.
Côté Shadow AI, une
nouvelle frontière s’ouvre. Des outils comme ChatGPT ou DeepSeek deviennent les
confidents involontaires des employés, qui y déposent des documents internes
pour les traduire, les résumer ou en extraire des informations. Des solutions
comme Fireflies, qui enregistre et analyse les réunions, ou des agents IA
connectés à divers services, ajoutent une couche supplémentaire à cette
dispersion non maîtrisée des données.
Un cauchemar de
gouvernance et de souveraineté
Ces pratiques ne sont
pas de simples commodités. Elles posent la question cruciale de la souveraineté
numérique. Lorsqu’un collaborateur utilise une solution SaaS ou IA hébergée en
dehors du périmètre maîtrisé de l’entreprise – et parfois hors d’Europe – il
expose malgré lui des données sensibles à des juridictions étrangères et à des
usages non désirés. Pour les DSI et RSSI, cela devient un véritable casse-tête
de gouvernance : comment garantir la confidentialité, la traçabilité et la
conformité dans un univers où chacun peut introduire ses propres outils ?
La réglementation
s’invite dans l’équation
Face à ce défi,
l’Europe a renforcé son arsenal réglementaire. Trois textes structurants
s’imposent désormais aux entreprises :
• DORA (Digital Operational Resilience Act) : il exige des
institutions financières qu’elles démontrent leur résilience opérationnelle
face aux risques numériques, y compris ceux liés aux prestataires tiers.
• NIS 2 (Network and Information Security
Directive) :
elle étend considérablement le périmètre des organisations soumises à des
obligations de cybersécurité, et impose une gestion rigoureuse des risques liés
aux fournisseurs et aux services non maîtrisés.
• AI Act : première réglementation mondiale sur
l’intelligence artificielle, elle introduit une approche par niveaux de
risques, avec des obligations strictes pour les IA utilisées en entreprise.
Ces textes ne doivent
pas être vus comme des contraintes punitives, mais comme de véritables leviers
de gouvernance. Ils incitent les entreprises à cartographier leurs usages, à
auditer leurs outils et à mieux encadrer l’innovation.
Sensibiliser plutôt que
réprimer
Le combat contre le
Shadow IT et le Shadow AI ne peut pas se réduire à des interdictions. La clé
reste humaine : sensibiliser, accompagner et responsabiliser chaque
collaborateur. Derrière chaque téléchargement d’application ou chaque prompt
saisi dans un chatbot, il y a une logique positive : gagner du temps,
simplifier son travail, innover. Plutôt que de freiner ces dynamiques, il
s’agit de les canaliser. Des solutions qui allient visibilité, contrôle et
pédagogie, permettent de transformer le chaos en opportunité maîtrisée. Mais
surtout, elles ouvrent un dialogue entre métiers et DSI, indispensable pour
aligner innovation, conformité et sécurité.
Du cauchemar au
pilotage maîtrisé
Le Shadow IT et le
Shadow AI ne disparaîtront pas. Ils sont le reflet de la créativité des
collaborateurs et de leur besoin d’efficacité. Pour les DSI et RSSI, l’enjeu
n’est pas de les éradiquer, mais de reprendre la main : par la gouvernance, par
la sensibilisation et par l’anticipation réglementaire. Le cauchemar peut
devenir une opportunité : celle de bâtir une culture numérique où chaque
employé est non seulement utilisateur, mais aussi acteur de la sécurité et de
la souveraineté de l’entreprise.