Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Comment encadrer le Shadow AI sans freiner l’innovation

Comment encadrer le Shadow AI sans freiner l’innovation

par Patrick Spencer updated juin 5, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 6 minutes

Le dépôt du formulaire 8-K est important car il redéfinit l’évaluation des risques. Les règles de divulgation de la cybersécurité de la SEC imposent aux sociétés cotées de signaler tout incident de cybersécurité jugé « significatif » dans les quatre jours ouvrés suivant la détermination de cette matérialité — et « significatif » signifie que tout investisseur raisonnable jugerait l’incident important. Un seul collaborateur utilisant un service d’IA grand public pour traiter des données confidentielles de l’entreprise peut franchir ce seuil, même sans intervention d’un attaquant externe.

La plupart des équipes en charge de cybersécurité ne sont pas en mesure de détecter ce type de situation. Les outils DLP traditionnels surveillent les canaux connus : messagerie électronique, transferts de fichiers, ports USB. Les interactions avec les services d’IA se font via des sessions navigateur, des appels API intégrés dans des outils de productivité ou des composants internes à des logiciels d’entreprise déjà validés par l’organisation. Une visibilité au niveau du contenu permet aux équipes de cybersécurité de détecter le transfert de données sensibles vers une destination non approuvée, quel que soit le canal utilisé.

L’exposition réglementaire ne se limite pas à la SEC. Le RGPD impose aux organisations de tenir un registre des activités de traitement des données et de veiller à ce que les données personnelles ne soient pas transmises à des destinataires non autorisés. Un collaborateur qui télécharge des informations personnelles identifiables (PII) de clients vers un service d’IA non approuvé expose l’entreprise à une violation du RGPD — ce n’est pas une hypothèse théorique — et la défense fondée sur les « mesures techniques et organisationnelles appropriées » ne tiendra pas si l’organisation n’a aucun contrôle au niveau du contenu. L’application des réglementations en matière de protection des données personnelles ne s’interrompt pas pour suivre le rythme de l’innovation.

5 points clés à retenir

1. Le premier dépôt SEC 8-K lié à l’utilisation non autorisée de l’IA par un collaborateur a déjà eu lieu.

Un seul collaborateur qui fait transiter des données sensibles via un service d’IA non approuvé peut déclencher un incident de cybersécurité significatif que l’entreprise devra déclarer. L’exposition ne dépend pas du volume d’utilisation de l’IA — elle dépend de la sensibilité des données concernées. Les outils DLP traditionnels qui surveillent la messagerie, les transferts de fichiers et les ports USB ne sont pas conçus pour détecter ce risque. La gouvernance doit s’exercer au niveau du contenu.

2. L’IA fantôme est souvent invisible car elle est intégrée dans des applications déjà utilisées.

Les composants d’IA présents dans des outils existants, des SDK et des bibliothèques tierces sont plus difficiles à détecter que les services d’IA autonomes — les contrôles d’accès classiques et les journaux VPN ne suffisent pas. Lorsqu’une organisation valide une suite de productivité, elle peut approuver par la même occasion des composants d’IA intégrés qui traitent du contenu d’une manière jamais revue. Le problème d’inventaire de l’IA va bien au-delà des seuls outils autonomes auxquels les collaborateurs accèdent.

3. « Autorisé, non autorisé ou inconnu » — c’est dans la colonne « inconnu » que se concentre le risque.

Les outils qui n’ont pas été évalués, approuvés ou refusés sont ceux qui concentrent le risque réel. On ne peut pas gérer un risque qui n’a pas été catégorisé. La plupart des organisations ont d’importantes zones d’ombre — des outils ni autorisés, ni interdits, simplement inconnus. La première étape de tout programme de gouvernance de l’IA consiste à faire passer ces outils inconnus dans l’une des deux autres catégories grâce à une démarche systématique de découverte et de classification.

4. Les restrictions sans alternatives ne réduisent pas l’IA fantôme, elles la déplacent.

Ce n’est pas une supposition — c’est ce qui s’est produit avec le shadow IT, et la logique reste la même. Les collaborateurs qui ne trouvent pas de solution légitime pour accéder à des outils d’IA chercheront par eux-mêmes. Les organisations qui proposent des outils approuvés réellement utiles et maintiennent un processus clair pour en ajouter de nouveaux constatent systématiquement moins d’utilisation non autorisée que celles qui misent uniquement sur l’interdiction.

5. La fuite de données — et non l’hallucination — est le principal risque pour l’entreprise lié à l’IA fantôme.

Dès lors que du contenu sensible quitte le contrôle de l’organisation pour atteindre un service d’IA non approuvé, le préjudice est déjà là, quel que soit le résultat produit par l’IA. Les journaux d’audit retraçant chaque mouvement de données sont indispensables — ils constituent la chronologie de l’incident dont les régulateurs et les juristes auront besoin, ainsi que la base de preuve permettant à l’organisation de prouver qu’elle maîtrise la situation.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Le cadre de gouvernance : visibilité, accessibilité, application

Le cadre proposé par Alan Snyder, CEO de NowSecure, repose sur trois piliers essentiels : une équipe AI ops qui définit les outils et usages autorisés, un système de suivi de la gouvernance qui classe les usages réels de l’IA, et une liste d’outils pré-approuvés qui offre un chemin légitime aux collaborateurs. Les organisations sous-investissent systématiquement dans ces trois domaines — en particulier dans le système de suivi et la liste pré-approuvée, qui sont pourtant les deux leviers les plus efficaces pour changer les comportements.

Le système de suivi est le point faible de la plupart des programmes de gouvernance. Les organisations rédigent des règles d’utilisation de l’IA sans se doter de mécanisme pour vérifier leur application. Une règle sans système de suivi reste un document. Ce que propose la passerelle de données IA de Kiteworks, c’est un mécanisme qui classe les usages de l’IA en temps réel, identifie les destinations non approuvées avant que les données ne les atteignent, et génère les journaux d’audit dont les équipes conformité et sécurité ont besoin pour prouver qu’elles maîtrisent la situation.

La liste pré-approuvée répond à l’enjeu comportemental que les contrôles techniques ne peuvent pas totalement résoudre. Les collaborateurs ne cesseront pas de vouloir utiliser des outils d’IA. Si l’organisation ne publie pas une liste d’options validées avec un processus efficace pour en ajouter de nouvelles, les collaborateurs prendront leurs propres décisions. L’IA évolue plus vite que les processus d’achat n’ont jamais évolué — ce qui fait de la liste pré-approuvée un instrument de gouvernance plus urgent que ce que la plupart des organisations imaginent.

Ce que signifie vraiment la visibilité sur l’IA dans les applications

Le point de Snyder sur l’IA intégrée dans les applications, SDK, composants tiers et agents mérite plus d’attention. Lorsqu’une organisation valide une suite de productivité, elle peut approuver des composants d’IA intégrés qui traitent du contenu sans que personne ne les ait évalués. Quand un développeur ajoute une bibliothèque tierce, celle-ci peut inclure des fonctions d’IA qui font appel à des services externes. Le problème d’inventaire de l’IA va bien au-delà des seuls outils autonomes auxquels les collaborateurs accèdent.

Le serveur Secure MCP de Kiteworks répond directement à cette problématique. Le Model Context Protocol définit la façon dont les agents IA interagissent avec les outils et les sources de données. Un serveur MCP gouverné offre à l’organisation un point d’intégration unique et contrôlé pour l’accès des agents IA aux données, au lieu de laisser chaque agent ou application établir ses propres connexions. Les organisations peuvent imposer une règle selon laquelle tout accès aux données par l’IA passe par une couche gouvernée, sans avoir à auditer chaque composant IA dans chaque application individuellement.

La gouvernance des données IA à ce niveau ne vise pas à bloquer l’IA. Il s’agit de garantir que le contenu sensible — données clients, propriété intellectuelle, informations réglementées — n’atteint que des systèmes d’IA autorisés à les traiter, dans des conditions définies et documentées par l’organisation, avec un enregistrement de chaque interaction pour le journal d’audit que les régulateurs demanderont tôt ou tard.

Le niveau du contenu : là où la gouvernance doit s’exercer

Le problème est clair : du contenu sensible échappe au contrôle de l’organisation et entre dans un système non validé, dans des conditions non revues, sans aucune trace de ce qui s’est passé. L’architecture zéro trust agit au niveau réseau, mais les contrôles réseau deviennent inefficaces quand le transfert passe par une application déjà validée par l’organisation. La gouvernance doit donc s’exercer au niveau du contenu.

Le Réseau de données privé de Kiteworks classe, trace et applique les règles à chaque fichier et objet de données avant qu’il n’atteigne une quelconque destination — y compris un service d’IA. Le partage sécurisé de fichiers, la messagerie électronique, le MFT, le SFTP, les formulaires web et les intégrations IA passent tous par le même moteur de règles et le même journal d’audit consolidé — un chemin gouverné, une base de preuves unique.

Faire du chemin gouverné le chemin le plus simple

La gouvernance de l’IA n’est pas d’abord un problème d’ingénierie de sécurité. C’est un enjeu d’organisation, avec une couche d’application technique. Les organisations qui réussissent rendent les outils approuvés réellement utiles, maintiennent un processus clair pour demander de nouveaux outils et appliquent les règles au niveau du contenu plutôt que de s’en remettre à la conformité individuelle.

La formation à la sensibilisation à la sécurité est importante, mais elle ne suffit pas. Même informés des risques, les collaborateurs utiliseront des outils non approuvés si les alternatives validées sont lentes, limitées ou difficiles d’accès. Expliquer la raison d’être des règles, tout en donnant accès à des outils adaptés, produit de meilleurs résultats que la formation seule. Les organisations qui investissent dans les règles et la formation sans bâtir l’infrastructure d’outils approuvés ne résolvent que la moitié du problème.

Pour en savoir plus sur la gouvernance de l’IA fantôme et la protection des données sensibles de votre organisation, réservez votre démo sans attendre !

Foire aux questions

L’IA fantôme désigne les outils et services d’IA utilisés par les collaborateurs sans validation ou supervision de l’organisation. Le principal risque est la fuite de données : des informations sensibles transférées vers des services d’IA non autorisés, sans aucune trace de ce qui s’est passé. Contrairement au shadow IT classique, l’IA fantôme peut être intégrée dans des applications déjà validées par l’organisation — ce qui la rend plus difficile à détecter. Des cadres de gouvernance de l’IA et des contrôles DLP opérant au niveau du contenu sont nécessaires pour y répondre.

La SEC impose aux sociétés cotées de signaler tout incident de cybersécurité significatif dans un délai de quatre jours ouvrés. Le premier dépôt 8-K lié à l’utilisation non autorisée de l’IA par un collaborateur a montré que faire transiter des données sensibles via un service d’IA non approuvé suffit à franchir le seuil de matérialité — sans aucun attaquant externe. Un seul collaborateur utilisant un service d’IA grand public pour traiter des données confidentielles peut suffire. L’application des règles au niveau du contenu et les journaux d’audit retraçant chaque mouvement de données fournissent la chronologie de l’incident dont les régulateurs et les juristes auront besoin.

Il s’agit de classer les usages de l’IA dans l’organisation en trois catégories : outils formellement autorisés, outils identifiés et interdits, et outils utilisés mais non évalués. C’est la catégorie « inconnue » qui concentre le risque. La première étape de la gouvernance de l’IA consiste à faire passer ces outils inconnus dans la colonne « autorisé » ou « non autorisé » grâce à une démarche systématique de découverte. La passerelle de données IA fournit cette couche de classification — elle identifie quelles données sont transférées, où elles vont, et si la destination a été autorisée.

Elle répond à la cause comportementale : les collaborateurs ont besoin de fonctions d’IA, et en l’absence d’option validée, ils chercheront par eux-mêmes. Une liste publiée d’outils approuvés, assortie d’un processus pour en demander de nouveaux, offre un chemin qui ne nécessite pas de contourner les contrôles de sécurité. Cette liste doit être gérée par une équipe AI ops qui évalue les nouveaux outils selon les critères de classification des données et de gestion des risques tiers avant de les valider.

Le serveur Secure MCP crée une couche d’intégration gouvernée pour l’accès des agents IA aux données — les applications individuelles ne peuvent pas établir leurs propres connexions indépendantes. Tout accès aux données par l’IA passe par un point contrôlé où les règles sont appliquées et les interactions enregistrées. La passerelle de données IA étend ce contrôle aux données entrantes, garantissant que le contenu sensible n’atteint que les composants d’IA autorisés à le traiter, sans exiger un audit complet de chaque composant IA dans chaque application.

Ressources complémentaires

  • Article de blog
    Stratégies Zero-Trust pour une protection abordable de la vie privée face à l’IA
  • Article de blog
    Comment 77 % des organisations échouent à sécuriser les données face à l’IA
  • eBook
    L’écart de gouvernance de l’IA : pourquoi 91 % des petites entreprises jouent à la roulette russe avec la sécurité des données en 2025
  • Article de blog
    Il n’existe pas de « –dangerously-skip-permissions » pour vos données
  • Article de blog
    Les régulateurs ne se contentent plus de demander si vous avez une politique IA. Ils veulent des preuves de son efficacité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks