IA

Trois approches du « Shadow AI » sur le lieu de travail du point de vue de la cybersécurité

La plupart des employés utilisent déjà des abonnements LLM personnels pour leurs tâches professionnelles. Comment trouver le juste équilibre entre rester compétitif et prévenir les fuites de données ?

Stan Kaminsky
12 Sep 2025

Un récent rapport du MIT, The GenAI Divide: State of AI in Business 2025, a jeté un froid sur les actions du secteur technologique. Si le rapport fournit des observations intéressantes sur les aspects économiques et organisationnels de la mise en œuvre de l’IA dans les entreprises, il contient également des informations précieuses pour les équipes chargées de la cybersécurité. Les auteurs ne se sont pas intéressés aux questions de sécurité : les mots « sécurité », « cybersécurité » ou « sûreté » n’apparaissent même pas dans le rapport. Cependant, les conclusions du document peuvent et doivent être prises en compte lors de l’élaboration de nouvelles stratégies de sécurité en matière d’IA au sein des entreprises.

La principale observation est que, alors que seulement 40 % des organisations sondées ont souscrit un abonnement LLM, 90 % des employés utilisent régulièrement des outils personnels optimisés par l’IA pour leurs tâches professionnelles. Et cette « économie du Shadow AI », terme utilisé dans le rapport, serait plus efficace que l’économie officielle. À peine 5 % des entreprises voient un avantage économique dans la mise en œuvre de l’IA, alors que les employés parviennent à augmenter leur productivité personnelle.

Adopter une stratégie descendante pour déployer l’IA se solde fréquemment par un échec. Les auteurs recommandent donc « d’étudier l’utilisation des outils parallèles et d’analyser quels outils personnels apportent de la valeur avant d’acheter des alternatives d’entreprise ». Comment ce conseil s’aligne-t-il avec les règles de cybersécurité ?

Interdiction totale du Shadow AI

Une stratégie privilégiée par de nombreux RSSI consiste à tester et à mettre en œuvre, ou mieux encore, à créer soi-même, des outils d’IA, puis à interdire purement et simplement tous les autres. Cette approche peut être économiquement inefficace et risquer de faire prendre du retard à l’entreprise par rapport à ses concurrents. Elle est également difficile à appliquer, car assurer la mise en conformité peut s’avérer à la fois complexe et coûteux. Néanmoins, pour certains secteurs d’activité hautement réglementés ou pour les unités commerciales qui traitent des données extrêmement confidentielles, une stratégie restrictive pourrait être la seule option possible. Pour ce faire, voici les méthodes possibles :

Bloquez l’accès à tous les outils d’IA populaires au niveau du réseau à l’aide d’un outil de filtrage réseau.
Configurez un système DLP pour surveiller et bloquer le transfert de données vers des applications et services d’IA. Il s’agit notamment d’empêcher le copier-coller de grands blocs de texte via le presse-papiers.
Utilisez une stratégie de liste blanche des applications sur les appareils de l’entreprise afin d’empêcher les employés d’exécuter des applications tierces qui pourraient être utilisées pour accéder directement à l’IA ou contourner d’autres mesures de sécurité.
Interdisez l’utilisation d’appareils personnels pour les tâches professionnelles.
Utilisez des outils supplémentaires, comme l’analyse vidéo, pour détecter et limiter la possibilité pour les employés de prendre des photos de leur écran d’ordinateur avec leur smartphone personnel.
Mettez en place une stratégie à l’échelle de l’entreprise qui interdit l’utilisation de tout outil d’IA, à l’exception de ceux figurant sur une liste approuvée par la direction et déployés par les équipes de sécurité de l’entreprise. Cette stratégie doit être formellement documentée et les employés doivent recevoir une formation appropriée.

Utilisation sans restriction de l’IA

Si l’entreprise considère que les risques liés à l’utilisation d’outils d’IA sont insignifiants, ou si certains de ses services ne traitent pas de données personnelles ou autres données confidentielles, l’utilisation de l’IA par ces équipes peut être pratiquement illimitée. En établissant une courte liste de mesures d’hygiène et de restrictions, l’entreprise peut observer les habitudes d’utilisation du modèle LLM, identifier les services populaires et utiliser ces données pour planifier ses actions futures et affiner ses mesures de sécurité. Même avec cette approche démocratique, il faut encore faire ce qui suit :

Formez les employés aux principes fondamentaux d’une utilisation responsable de l’IA à l’aide d’un module sur la cybersécurité. Une bonne base de départ : nos recommandations, ou l'ajout d'une formation spécialisée sur la plateforme de sensibilisation à la sécurité de l'entreprise.
Mettez en place une journalisation détaillée du trafic des applications afin d'analyser le rythme d'utilisation de l'IA et les types de services utilisés.
Assurez-vous que tous les employés ont installé un agent EPP/EDR sur leurs appareils de travail et un [Premium placeholder] une solution de sécurité robuste sur leurs gadgets personnels [/placeholder]. ("L'application ChatGPT" a été l'appât de prédilection des escrocs pour diffuser des programmes malveillants destinés au vol d'informations en 2024-2025.)
Réalisez régulièrement des sondages afin de déterminer la fréquence d'utilisation de l'IA et les tâches pour lesquelles elle est utilisée. En fonction des données télémétriques et des sondages, évaluez l'effet et les risques liés à son utilisation afin d'ajuster vos stratégies.

Restrictions équilibrées sur l'utilisation de l'IA

En ce qui concerne l'utilisation de l'IA à l'échelle de l'entreprise, aucune des deux extrémités (interdiction totale ou liberté totale) ne semble appropriée. Une stratégie permettant différents niveaux d'accès à l'IA en fonction du type de données utilisées serait plus polyvalente. La mise en œuvre complète d'une telle stratégie nécessite ce qui suit :

Un proxy IA spécialisé qui nettoie les requêtes à la volée en supprimant certains types de données sensibles particulières (comme les noms ou les identifiants clients) et utilise un contrôle d'accès basé sur les rôles pour bloquer les cas d'utilisation inappropriés.
Un portail informatique en libre-service permettant aux employés de déclarer leur utilisation d'outils d'IA, qu'il s'agisse de modèles et de services de base ou d'applications spécialisées et d'extensions de navigateur.
Une solution (NGFW, CASB, DLP ou autre) permettant une surveillance et un contrôle détaillés de l'utilisation de l'IA au niveau des requêtes spécifiques de chaque service.
Uniquement pour les entreprises qui développent des logiciels : pipelines CI/CD modifiés et outils SAST/DAST permettant d'identifier automatiquement le code généré par l'IA et de le signaler pour des étapes de vérification supplémentaires.
Comme dans le scénario sans restriction, formation régulière des employés, sondages et sécurité robuste pour les appareils professionnels et personnels.

Avec les exigences énumérées, il faut élaborer une stratégie qui couvre différents services et divers types d'informations. On peut imaginer un projet de ce type :

Type de données	IA accessible au public (à partir d'appareils et de comptes personnels)	Service d'IA externe (via un proxy d'IA d'entreprise)	Outils d'IA de confiance sur site ou dans le cloud
Données publiques (comme le contenu publicitaire)	Autorisé (à déclarer via le portail d'entreprise)	Autorisé (enregistré)	Autorisé (enregistré)
Données internes générales (comme le contenu des emails)	Déconseillé mais pas bloqué. Déclaration obligatoire	Autorisé (enregistré)	Autorisé (enregistré)
Données confidentielles (comme le code source de l'application, les communications légales ou RH)	Bloqué par les DLP/CASB/NGFW	Autorisé dans des cas particuliers approuvés par le responsable (les données personnelles doivent être supprimées ; le code requiert des vérifications automatiques et manuelles)	Autorisé (enregistré, avec suppression des données personnelles si nécessaire)
Données réglementées (financières, médicales,…) à fort impact	Interdit	Interdit	Autorisé avec l'approbation du RSSI, sous réserve des exigences réglementaires en matière de stockage
Données hautement critiques et classifiées	Interdit	Interdit	Interdit (exceptions possibles uniquement avec l'approbation du conseil d'administration)

Pour mettre en œuvre cette stratégie, une approche organisationnelle à plusieurs niveaux est nécessaire, en plus des outils techniques. Avant tout, les employés doivent être formés aux risques associés à l'IA, qu'il s'agisse de fuites de données, d'hallucinations ou d'injections de suggestions. Cette formation devrait être obligatoire pour l'ensemble du personnel de l'organisation.

Après la formation initiale, il est essentiel d'élaborer des stratégies plus détaillées et d'offrir une formation avancée aux chefs de service. Cela leur permettra de prendre des décisions éclairées concernant l'acceptation ou le refus des demandes d'utilisation de données spécifiques avec des outils d'IA publics.

Les stratégies, critères et mesures initiaux ne sont qu'un début. Ces points doivent être régulièrement mis à jour. Pour cela, il faut analyser les données, affiner les cas d'utilisation concrets de l'IA et surveiller les outils populaires. Un portail en libre-service est nécessaire pour offrir un environnement convivial où les employés peuvent expliquer quels outils d'IA ils utilisent et à quelles fins. Ces précieux retours d'information enrichissent vos analyses, vous aident à établir un dossier commercial en faveur de l'adoption de l'IA et fournissent un modèle basé sur les rôles pour appliquer les stratégies de sécurité appropriées.

Enfin, un système à plusieurs niveaux pour répondre aux violations est indispensable. Actions possibles :

Un avertissement automatique et une microformation obligatoire sur l'infraction commise.
Un entretien privé entre l'employé, son chef de service et un responsable de la sécurité de l'information.
Une interdiction temporaire des outils utilisant l'IA.
Des mesures disciplinaires strictes prises par les RH.

Une approche globale de la sécurité de l'IA

Les stratégies abordées ici couvrent un éventail relativement restreint de risques liés à l'utilisation de solutions SaaS pour l'IA générative. Pour créer une stratégie complète qui couvre l'ensemble des risques pertinents, consultez nos directives pour une mise en œuvre sécurisée des systèmes d'IA, élaborées par Kaspersky en collaboration avec d'autres experts de confiance.

Comment éviter de devenir une mule financière

Cet article explique ce qui peut se passer si quelqu’un vous transfère des fonds et que vous retirez ensuite l’équivalent en espèces de votre compte pour le lui remettre, ou si vous utilisez votre propre carte pour payer un achat qu’il effectue.

Protection des enfants

Trois approches du « Shadow AI » sur le lieu de travail du point de vue de la cybersécurité

Interdiction totale du Shadow AI

Utilisation sans restriction de l’IA

Restrictions équilibrées sur l'utilisation de l'IA

Une approche globale de la sécurité de l'IA

Kaspersky plaide pour une utilisation éthique de l’IA en cybersécurité

Comment aborder l’intelligence artificielle

Comment éviter de devenir une mule financière

Conseils

Pourquoi les courtiers en données établissent-ils des dossiers sur vous, et comment les en empêcher ?

Une escroquerie à votre porte

Sans reproche : comment la sécurité psychologique contribue à améliorer la cybersécurité

Configuration de la sécurité et de la confidentialité dans l’écosystème Garmin

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky