BLOG

IA fantôme : Le risque de sécurité discret qui menace votre entreprise

Rachael Shah Miniature
Rachel Shah
Publié le 16 juillet 2025

L’intelligence artificielle est installée pour durer—on ne peut plus revenir avant les années 2010. Les progrès en productivité, innovation et impact économique restent profondément révolutionnaires.

Ces avantages extraordinaires s’accompagnent cependant de risques sérieux pour les organisations qui adoptent l’IA. Le plus urgent concerne l’IA fantôme : l’utilisation croissante d’outils d’IA par les employés, à l’insu et sans accord des responsables informatiques. Cette pratique devient rapidement une menace majeure pour la sécurité et la conformité, bien qu’elle soit encore récente et en pleine évolution.

Shadow AI constitue une extension rapide de Shadow IT, ce défi ancien où vous déployez des logiciels, services cloud ou systèmes non autorisés au sein de votre entreprise. Si Shadow IT met déjà à rude épreuve votre gouvernance et votre sécurité, Shadow AI complexifie dangereusement encore la situation.

Quelques exemples de Shadow AI :

  • Un ingénieur logiciel utilise son compte personnel ChatGPT, Gemini ou Copilot pour générer du code standard, traduire des langages, refactoriser du code existant ou écrire des cas de test, collant involontairement du code propriétaire dans un modèle public. Ce code risque d’être stocké, enregistré ou exposé. De plus, la sortie générée par l’IA peut contenir une logique non sécurisée, des API fictives ou un code qui enfreint les conditions de licence.
  • Un spécialiste en communication charge un mémo stratégique confidentiel dans un outil d’IA pour en résumer ou rédiger un message destiné au client. Vous laissez ce contenu propriétaire sur des serveurs tiers, hors du contrôle informatique.
  • Un commercial installe une extension Chrome qui génère automatiquement des e-mails de prospection par IA, connectée à ses systèmes de messagerie et de CRM. Quels sont les risques ? Fuite possible de données, non-respect des politiques internes et manquement aux règles comme le RGPD ou la California Consumer Privacy Act.

Ces exemples ne sont qu’un commencement. Chaque jour, de nombreux autres scénarios d’IA fantôme se développent dans tous les secteurs. Le problème est si étendu que Gartner® anticipe qu’« en 2027, 75 % des employés acquerront, modifieront ou créeront des technologies sans que le service informatique ne le sache, contre 41 % en 2022. Ainsi, les modèles opérationnels centralisés et descendus en cybersécurité ne tiendront pas. Vous devez plutôt restructurer la cybersécurité en une fonction centralisée et allégée, qui soutient un réseau large et fédéré d’experts et d’équipes fusion répartis dans l’ensemble de l’entreprise. Vous pourrez ainsi étendre la cybersécurité jusqu’aux limites de votre entreprise, au plus près des lieux où les décisions technologiques et d’évaluation des risques s’élaborent et s’exécutent. » 1

Injection de prompt et fuite de données : préoccupations majeures

Nous calculons encore les pertes financières exactes causées par Shadow AI, mais le risque de dommages est évident et s'amplifie. Si vous n'agissez pas aujourd'hui, vous vous exposez à des incidents graves, à des contraintes réglementaires et à la perte de la confiance de vos clients.

Parmi les vulnérabilités les plus préoccupantes, on retrouve l’injection de requêtes : un attaquant malveillant altère les entrées de l’IA pour contourner les restrictions, divulguer des données sensibles ou forcer des actions non prévues. Les modèles d’IA font généralement confiance aux données reçues, ce qui les expose à ce type d’attaque. Une injection de requêtes réussie peut amener l’IA à révéler des informations internes, perturber des processus automatisés ou compromettre les systèmes de prise de décision.

Une autre inquiétude majeure porte sur la fuite de données, notamment les informations personnelles identifiables (PII), les informations de santé protégées (PHI), les coordonnées bancaires et dossiers financiers, le code source et la propriété intellectuelle exclusive, les identifiants et clés d’accès, ou les dossiers clients.

Le problème s’aggrave avec le risque de non-respect des réglementations. Vous risquez de violer facilement des normes comme le RGPD, HIPAA, PCI DSS ou la loi Sarbanes-Oxley en cas d’utilisation non autorisée de l’IA, ce qui vous expose à des sanctions et à un préjudice réputationnel.

Certaines entreprises répondent par des interdictions — est-ce vraiment efficace ?

Face à ces risques, certaines organisations ont interdit à leurs employés d’utiliser des outils d’IA générative non approuvés. Samsung a été l’un des premiers, dès 2023, à bannir ChatGPT et les chatbots similaires basés sur l’IA, invoquant des risques liés aux fuites de données personnelles sensibles internes. Depuis, plusieurs banques et entreprises ont pris des mesures ou adressé des avertissements comparables.

Pourtant, la majorité des experts du secteur recommande d'éviter les interdictions générales.

Pourquoi privilégier la gouvernance plutôt que les interdictions

Malgré les risques légitimes, les analystes du secteur vous conseillent d'adopter des politiques préventives et des cadres de gouvernance plutôt que de prononcer des interdictions totales.

Les interdictions génèrent souvent l’effet inverse. Elles sont difficiles à faire respecter, freinent l’innovation et le moral, et poussent l’usage de l’IA à se cacher davantage, ce qui complique sa détection et son contrôle.

Comme l’a souligné un leader informatique lors d’une discussion dans la communauté Gartner Peer sur l’interdiction des outils d’IA : « Les interdictions ne marchent pas. Sans même de politiques, cela freine l’innovation et véhicule un mauvais message à vos équipes et au monde entier sur notre organisation. »

Que faire à la place

Voici quelques actions concrètes de gouvernance que vous pouvez mettre en œuvre immédiatement :

  1. Mettez en place une politique claire sur l'utilisation de l'IA
    Déterminez quels outils sont autorisés, comment gérer les données, quels cas d’usage sont permis et où se situent les limites. Indiquez clairement ce qui est autorisé et pourquoi.
  2. Maintenez une liste vérifiée d’outils d’IA
    Évaluez les outils selon leur respect de la confidentialité des données, la sécurité et la conformité réglementaire. Incitez vos collaborateurs à privilégier ces outils plutôt que des plateformes non vérifiées. Par exemple, utilisez des versions entreprises d’outils comme ChatGPT, équipées de journaux et de protections contre la perte de données, et intégrez des assistants IA internes à vos plateformes.
  3. Formez vos employés et sensibilisez-les
    Aidez votre équipe à saisir les risques, qu’il s’agisse de fuites de données, de contenus erronés ou de manquements à la conformité. La majorité des usages abusifs sont involontaires.
  4. Surveillez, puis adaptez
    Utilisez une surveillance conforme à l’éthique et à la loi pour détecter tout accès non autorisé. Privilégiez la sensibilisation plutôt que la sanction. Faites évoluer vos politiques au fur et à mesure des progrès de l’IA.

Bientôt disponible : La technologie F5 pour vous aider à maîtriser l’IA fantôme

La technologie vous offre-t-elle une solution évolutive ? Absolument.

F5 annonce aujourd’hui une détection et une prévention des fuites de données pour sécuriser les charges de travail en IA, et lancera dans les prochains mois de nouvelles fonctionnalités puissantes pour aider les organisations à réduire efficacement les risques liés à l’IA fantôme, notamment l’utilisation non autorisée d’outils d’IA via des canaux chiffrés (le standard pour la plupart des API IA et plateformes SaaS).

Restez informé des prochaines annonces. En attendant, découvrez toutes les dernières actualités F5 AI sur notre page Accelerate AI.

GARTNER est une marque déposée et une marque de service de Gartner, Inc. et/ou de ses filiales aux États-Unis et dans le monde entier et est utilisée ici avec autorisation. Tous droits réservés.

1Gartner, Maverick Research : Les RSSI doivent évoluer ou risquent de devenir obsolètes, 19 juin 2025