La informatique fantômeou l’utilisation de la technologie et des outils sans l’approbation du département de TI, a été au cours des années un défi pour les équipes de cybersécurité. Cependant, l’expansion rapide et l’accessibilité de l’intelligence artificielle ont élevé le problème de la sécurité des entreprises à un nouveau niveau. La dénomination IA de l’ombre Il est considéré comme l’un des principaux points ciegos pour les responsables technologiques et de sécurité.
« Même si l’IA a été utilisée pendant des années dans certains domaines concrets de certains entrepreneurs, le point d’innovation est arrivé en 2023 avec l’énorme succès des outils d’IA génératifs comme ChatGPT, qui a permis à 100 millions d’utilisateurs en seulement deux mois », apunta Josep Albors, directeur de l’investigation et de la conception d’ESET España. » Alors que les employés adoptent ces technologies pour améliorer leur productivité, beaucoup d’organisations ne doivent pas s’appuyer aujourd’hui sur des stratégies claires pour leur utilisation. Par conséquent, en 2026, il est fondamental que les entreprises établissent des cadres de contrôle et de gouvernance qui permettent d’améliorer le potentiel de l’IA sans compromettre la sécurité ni le cumplimiento normativo”.
Cette opération entre l’adoption et le contrôle a poussé l’utilisation d’outils non autorisés. Selon Microsoft, 78 % des utilisateurs d’IA utilisent des solutions appropriées dans le travail, et 60 % des responsables de TI estiment que la haute direction n’a pas un plan défini pour implanter officiellement cette technologie. La facilité d’accès aux plateformes telles que ChatGPT, Gemini ou Claude des appareils personnels ou des entreprises de télétravail a accéléré l’adoption dans la marge des équipes chargées de votre contrôle.
Un problème que va plus loin les chatbots
La IA de l’ombre il n’y a pas de limite aux applications indépendantes. Vous pouvez également introduire des extensions de navigateur ou des fonctions activées sans contrôle dans un logiciel d’entreprise légitime. C’est là l’apparition de l’IA agent, basée sur des agents autonomes capables d’exécuter des tâches sans surveillance constante. Sans contrôles adéquats, ces systèmes peuvent accéder aux données sensibles ou réaliser des actions non autorisées avant d’être détectées.
L’utilisation non autorisée des modèles publics de l’IA entraîne un haut risque d’exposition d’informations confidentielles ou réglementées, comme la propriété intellectuelle, le code, les actes de réunion ou les données personnelles. Cette information est stockée chez des serviteurs tiers, à l’extérieur de la juridiction de l’entreprise, qui pose de sérieux problèmes de conformité normative (RGPD, CCPA) et augmente le risque d’accès aux obligations ou violations, comme le suggère le fournisseur chinois DeepSeek.
De plus, certains outils peuvent contenir des vulnérabilités ou des versions malveillantes conçues pour voler des informations. L’utilisation de IA pour la programmation sans une révision adéquate peut également introduire des erreurs explotables dans les produits finaux, alors que les modèles enregistrés avec les données de ses travaux peuvent se placer dans les décisions erronées des entreprises.
Dans le cas de l’IA génétique, les risques incluent la génération d’un contenu erroné, le code défectueux ou l’exécution d’actions non autorisées. Les données utilisées par ces agents peuvent également devenir des objectifs attrayants pour les attaquants.
Cela risque d’avoir un impact réel. IBM estime que 20 % des organisations ont subi une année passée une rupture liée à IA de l’ombreet que sa présence peut augmenter le coût moyen d’une rupture à plus de 500 millions d’euros, en plus de causer des dommages à la réputation et aux sanctions réglementaires.
Comment faire face au retour de l’IA de l’ombre
Pour aborder ces questions, ESET, société leader en cybersécurité, recommande aux organisations :
- Reconnaître l’usage réel de l’IA au sein de l’entreprise, en analysant les outils utilisés, avec cette finalité et dans ces domaines, au lieu d’interdictions de forme indiscriminée.
- Définir des politiques d’utilisation réalistes et acceptables, alignées sur le niveau de risque de chaque organisation et les responsabilités en matière d’évaluations de sécurité et de conformité normative des fournisseurs d’IA.
- Offrir des alternatives officielles lorsqu’il s’agit de restreindre l’utilisation d’outils déterminés, ainsi que d’établir des processus agiles pour que les employés puissent solliciter de nouvelles solutions de forme contrôlée.
- Former et informer les employés des risques réels associés à l’utilisation non supervisée des outils de IA, en particulier en ce qui concerne la protection des données et la sécurité des informations.
- Renforcez la surveillance du rouge et les capacités de sécurité, avec pour objectif d’améliorer la visibilité sur l’utilisation de IA et de réduire le risque de fuites de données ou d’accès non autorisés.
