Qu’est-ce que le Shadow AI ?

Un exemple typique de « shadow AI » consiste en l' utilisation non autorisée d'applications d'IA générative  comme ChatGPT d'OpenAI pour automatiser des tâches du type édition de texte et analyse de données. Les employés se tournent souvent vers ces outils pour améliorer la productivité et accélérer les processus. Cependant, comme les équipes informatiques ne sont pas au courant de l'utilisation de ces applications, les employés peuvent involontairement exposer l'organisation à des risques importants en matière de sécurité des données, de conformité et de réputation de l'entreprise.

Pour les DSI et les RSSI, la mise en place d'une stratégie IA solide intégrant la gouvernance de l'IA et des initiatives de  sécurité est essentielle pour une gestion efficace des risques liés à l'IA. En adoptant des politiques d'IA qui soulignent l'importance de la conformité et de la cybersécurité, les dirigeants peuvent gérer les risques liés à l'IA fantôme tout en tirant parti des avantages des technologies d'IA.

Pour comprendre les implications du Shadow AI, il convient de le distinguer du Shadow IT.

Le shadow IT désigne le déploiement de logiciels, matériels ou ressources informatiques sur un réseau d’entreprise sans l’approbation, la connaissance ou la supervision du service informatique ou du DSI. Les employés peuvent se tourner vers une technologie d’IA non autorisée lorsqu’ils considèrent que les solutions existantes sont insuffisantes ou pensent que les options approuvées sont trop lentes. Parmi les exemples courants, citons l’utilisation de services personnels de stockage cloud ou d’outils de gestion de projets non approuvés.

L' informatique fantôme englobe tout usage non autorisé, tandis que le shadow AI se restreint aux outils, plateformes et cas d'utilisation liés à l'intelligence artificielle. Par exemple, un employé peut utiliser un grand modèle de langage (LLM) pour générer rapidement un rapport sans se rendre compte des risques de sécurité. La différence fondamentale repose sur la nature des outils utilisés : l' IA fantôme fait référence à l' utilisation non autorisée de l' intelligence artificielle, ce qui introduit des enjeux particuliers liés à la gestion des données, aux sorties des modèles et à la prise de décision.

De 2023 à 2024, à mesure que les entreprises adoptaient les technologies d’IA, l’utilisation d’applications d’IA générative par les employés est passée de 74 % à 96 %.¹ Dans le même temps se déployait l’IA fantôme. Aujourd’hui, plus d’un tiers des employés (38 %) reconnaissent qu’ils partagent des informations professionnelles sensibles avec des outils d’IA sans l’autorisation de leur employeur.²

Le Shadow AI expose les entreprises à plusieurs risques : fuite de données, amendes pour non-conformité ou encore atteinte à la réputation.

L’un des principaux risques associés à l’ IA fantôme est le risque de violation de données. Faute de surveillance de l'utilisation de l'IA, les employés peuvent exposer par inadvertance des informations sensibles, ce qui pose des risques pour la confidentialité des données. Un sondage récent mené auprès des RSSI révèle que 1 entreprise sur 5 au Royaume-Uni a été confrontée à une fuite de données en raison de l'utilisation de l'IA générative par ses employés.³ Le risque accru de fuite de données pourrait expliquer pourquoi trois quarts des répondants ont également affirmé que les menaces internes, c'est-à-dire les employés, représentaient un risque plus élevé pour l'organisation que les menaces externes.⁴

Dans de nombreux secteurs, la conformité réglementaire n’est pas négociable. L’utilisation de l’IA fantôme peut entraîner des problèmes de conformité, notamment en matière de protection des données et de la vie privée. Les organisations peuvent être tenues de respecter des réglementations telles que le Règlement général sur la protection des données (RGPD). Les sanctions financières pour non-respect du RGPD peuvent atteindre des sommes considérables : les infractions majeures (comme le traitement de données à des fins illicites) peuvent coûter aux entreprises plus de 20 000 000 EUR ou 4 % du chiffre d’affaires mondial de l’organisation réalisé l’année précédente, selon le montant le plus élevé. 

Le fait de s'appuyer sur des modèles IA non autorisés peut compromettre la qualité de la prise de décision. Faute d'une gouvernance appropriée, les résultats générés par ces modèles risquent de ne pas être conformes aux objectifs ou aux normes éthiques de l'organisation. Les données biaisées, le sur-apprentissage et la dérive du modèle sont quelques exemples de risques liés à l'IA qui peuvent mener à des choix stratégiques erronés et porter atteinte à la réputation d'une entreprise. 

L’utilisation non autorisée de l’IA peut également aller à l’encontre des normes de qualité d’une entreprise et saper la confiance des consommateurs. Songez aux répercussions lorsque Sports Illustrated a été mis en cause pour avoir publié des articles de faux journalistes générés par l’IA ou lorsque Uber Eats a été accusé d’avoir utilisé des images d’aliments générées par l’IA.

Malgré les risques, le Shadow AI devient de plus en plus courant pour plusieurs raisons. Les entreprises se tournent vers la transformation numérique et, par extension, vers l’intégration des technologies d’IA pour réinventer leurs workflows et leur prise de décision. 

La prolifération d'outils d'IA faciles à utiliser permet aux employés d'accéder aisément à des solutions d'IA de pointe pour améliorer leurs capacités. De nombreuses applications IA sont accessibles sous forme de SaaS (Software as a Service), permettant aux utilisateurs d'adopter rapidement ces outils sans nécessairement faire appel aux équipes informatiques ou de sécurité. Grâce à la démocratisation de l’IA, les employés découvrent de nouveaux moyens de :

• Améliorer la productivité : les employés utilisent souvent des outils d’IA fantôme pour augmenter leur productivité et contourner les inefficacités opérationnelles. En utilisant des applications d’IA générative, les individus peuvent automatiser les tâches répétitives, générer du contenu rapidement et rationaliser des processus qui prendraient autrement beaucoup plus de temps.
• Accélérer l’innovation : l’IA fantôme peut favoriser une culture de l’innovation, permettant aux équipes d’expérimenter de nouveaux outils d’IA sans attendre l’approbation officielle. Cette agilité peut conduire à des solutions créatives et à des workflows améliorés, donnant aux organisations un avantage concurrentiel sur des marchés en évolution rapide.
• Rationaliser les solutions : Souvent, l'IA fantôme permet aux équipes d'adresse les défis en temps réel. Les employés peuvent trouver rapidement des solutions ad hoc à l'aide des outils d'IA disponibles, plutôt que de s'appuyer sur les méthodes traditionnelles, plus lentes. Cette réactivité peut améliorer le service client et l'efficacité opérationnelle.

L'IA fantôme se manifeste de différentes manières dans les organisations, souvent motivées par le besoin d'efficacité et d'innovation. Les exemples courants d' IA fantôme incluent les chatbots alimentés par l'IA, les modèles ML pour l'analyse de données, les outils d'automatisation marketing et les outils de visualisation de données.

En service client, les équipes peuvent recourir à des chatbots IA non autorisés pour générer des réponses aux demandes. Par exemple, un représentant du service client peut chercher à répondre à la question d'un client en demandant des réponses à un chatbot, plutôt que de consulter les ressources approuvées par l'entreprise. Cela peut conduire à des messages incohérents ou erronés, une potentielle mauvaise communication avec les clients et des risques de sécurité si la question du représentant contient des données sensibles de l'entreprise.

Les employés peuvent utiliser des modèles de machine learning externes pour analyser les données de l’entreprise et détecter des schémas. Bien que ces outils puissent fournir des informations précieuses, l’utilisation non autorisée des services d’IA peut créer des failles de sécurité. Par exemple, un analyste peut utiliser un modèle prédictif pour mieux comprendre le comportement des clients à partir d’un jeu de données propriétaire, exposant sans le savoir des informations sensibles au cours du processus.

Les équipes marketing peuvent essayer d'optimiser leurs campagnes en utilisant des outils d'IA fantôme, qui peuvent automatiser les efforts de marketing par e-mail ou analyser les données d'engagement sur les réseaux sociaux. L’utilisation de ces outils peut conduire à de meilleurs résultats marketing. Toutefois, l’absence de gouvernance pourrait entraîner un non-respect des normes de protection des données, en particulier si les données clients sont mal gérées.

De nombreuses organisations utilisent des outils de visualisation des données alimentés par l’IA pour créer rapidement des cartes thermiques, des graphiques linéaires, des diagrammes en barres, etc. Ces outils peuvent permettre de renforcer le business intelligence en présentant les relations et les informations complexes des données de manière facilement compréhensible. Néanmoins, l'introduction de données d'entreprise sans l'approbation du service informatique peut conduire à des inexactitudes dans les rapports et à des problèmes potentiels de sécurité des données.

Pour gérer les risques liés au Shadow AI, les entreprises ont le choix parmi plusieurs approches qui favorisent une utilisation responsable de l’IA sans négliger le besoin de flexibilité et d’innovation :

Un dialogue ouvert entre les services informatiques, les équipes de sécurité et les unités commerciales peut faciliter une meilleure compréhension des capacités et des limites de l'IA. Une culture de collaboration peut aider les organisations à identifier les outils d’IA utiles tout en assurant la conformité aux protocoles de protection des données.

Les cadres de gouvernance peuvent prendre en compte la nature rapide de l'adoption de l'IA tout en maintenant les mesures de sécurité. Ces cadres peuvent inclure des directives claires sur les types de systèmes d'IA autorisés, sur la manière de traiter les informations sensibles et sur la formation nécessaire des employés en matière d'éthique et de conformité en matière d'IA.

Les garde-fous qui entourent l’utilisation de l’IA peuvent fournir un filet de sécurité, contribuant à garantir que les employés n’utilisent que des outils approuvés dans le cadre de paramètres définis. Ces garde-fous peuvent inclure des règles concernant l’utilisation l’IA externe, des environnements de bac à sable pour tester les applications d’IA ou des pare-feux qui bloquent les plateformes externes non autorisées.

Il n’est peut-être pas possible d’éliminer toutes les instances d’IA fantôme. Par conséquent, les organisations peuvent mettre en œuvre des outils de surveillance du réseau pour suivre l’utilisation des applications et établir des contrôles d’accès afin de limiter les logiciels non approuvés. Des audits réguliers et une surveillance active des canaux de communication peuvent également contribuer à identifier si et comment des applications non autorisées sont utilisées.

En constante évolution, le paysage du Shadow AI pose de nouveaux défis aux entreprises. Les entreprises peuvent mettre en place des publications régulières, comme les newsletters ou les bulletins trimestriels, afin de sensibiliser leurs salariés au Shadow AI et aux risques associés.

En renforçant la sensibilisation aux implications de l'utilisation d'outils d'IA non autorisés, les organisations peuvent encourager une culture d'utilisation responsable de l'IA. Cette compréhension pourrait amener les employés à rechercher des alternatives validées ou à consulter le service informatique avant de déployer de nouvelles applications.