L’IA fantôme transforme-t-elle discrètement la posture de sécurité de votre environnement de travail ?

Mon, 15 Dec 2025 14:00:01 Z

Les outils d’IA ont connu une progression fulgurante sur le lieu de travail. Ce qui relevait autrefois de fonctions technologiques très spécialisées est désormais courant : le rapport Technology at Work 2025 d’Ivanti a révélé que 42 % des employés de bureau déclarent utiliser des outils d’IA générative, comme ChatGPT, au travail, soit 16 points de plus que l’année précédente.

Le revers de la médaille ? Ces gains de productivité se font en dehors des circuits officiels. Parmi les personnes ayant déclaré utiliser des outils d’IA générative, 46 % indiquent qu’une partie, voire la totalité, des outils qu’elles utilisent ne sont pas fournis par leur employeur. Et un salarié sur trois garde secrets vis-à-vis de son employeur les outils de productivité reposant sur l’IA qu’il utilise.

Les outils d’IA générative peuvent démultiplier la productivité. Mais ils représentent aussi un risque pour la sécurité des données, en particulier lorsqu’ils sont utilisés sans supervision de l’employeur.

Qu’est-ce que l’IA fantôme ?

L’utilisation non autorisée de l’IA n’est qu’une autre forme de shadow IT, c’est-à-dire l’utilisation de technologies sans l’approbation de l’IT.

Les risques introduits par l’IA fantôme sont similaires à ceux du shadow IT, avec toutefois une préoccupation supplémentaire : le volume considérable de données propriétaires dont l’IA générative a besoin pour être efficace. Les outils d’IA générative gratuits, ainsi que certains outils payants, peuvent utiliser les données d’une organisation ou les recherches de ses employés pour entraîner leur modèle, ce qui accroît le risque de fuite de données et de non-conformité.

La révélation récente selon laquelle les conversations ChatGPT partagées étaient explorables par les moteurs de recherche (même si OpenAI a rapidement fait marche arrière) devrait servir de signal d’alarme : sans contrôles appropriés, des tiers peuvent utiliser vos données d’une manière que vous n’approuvez pas. Certains outils gratuits, dont ChatGPT, peuvent être configurés pour respecter les politiques de sécurité, mais cela devient tout simplement impossible lorsque les employés les utilisent de façon dissimulée.

Les outils gratuits comme ChatGPT ne sont pas le seul risque d’IA fantôme. Une source inattendue se trouve en réalité dans les logiciels existants. Avec la course à l’ajout de fonctionnalités d’IA, des outils qui avaient peut-être été approuvés par l’IT auparavant peuvent désormais présenter de nouveaux risques. Et si les équipes de sécurité de l’information n’identifient pas et n’évaluent pas ces nouvelles fonctionnalités, celles-ci contournent de fait les processus de gestion des risques tiers.

Pourquoi une approche de l’IA axée en priorité sur les risques est essentielle

Qu’il s’agisse d’IA générative ou d’autres outils, le shadow IT résulte de l’absence d’un moyen défini et raisonnable de tester des outils ou de mener le travail à bien. Étant donné que l’IA n’est pas près de disparaître, les entreprises doivent aborder son adoption de manière proactive, car interdire les outils ne signifie pas que les employés ne tenteront pas de les utiliser pour gagner en productivité et faciliter leur travail.

Je consacre la majeure partie de mon temps à l’évaluation des risques, y compris ceux que posent les outils d’IA. Souvent, nous devons évaluer le risque au regard d’une opportunité d’améliorer l’activité : dans ce cas, les gains de productivité des employés et les effets indirects, comme la satisfaction des collaborateurs ou le fait de disposer de temps pour travailler sur des projets plus stratégiques.

En résumé, nous devons nous poser la question suivante : existe-t-il un moyen d’introduire les outils demandés par les employés et d’en tirer les bénéfices, tout en maintenant le risque à un niveau acceptable ?

C’est là qu’une approche axée en priorité sur les risques entre en jeu. Une approche de l’adoption de l’IA axée en priorité sur les risques se concentre sur les données qui doivent être intégrées à l’IA et sur la manière dont le tiers les traite. Cette approche est similaire à la gestion des risques fournisseurs : elle permet aux organisations d’utiliser des pratiques et processus établis, tout en les adaptant aux questions propres à l’IA.

Les principales questions à se poser sont les suivantes :

Nos données seront-elles utilisées pour entraîner le modèle d’IA ?
Pendant combien de temps nos données sont-elles conservées ?
Quelles protections existent pour réduire le risque d’exposition de nos données ?
Qui détient les droits sur la propriété intellectuelle générée à l’aide de l’IA ?

Limiter la prolifération des outils d’IA est un élément essentiel de ce travail. À mesure que davantage de fournisseurs proposent des outils d’IA spécialisés, et que vous intégrez plus de fournisseurs tout en donnant à leurs outils d’IA l’accès à vos données, votre risque augmente. Cela vaut également pour les outils existants qui introduisent soudainement l’IA sans modification de coût ni de contrat, ce qui complique la tenue d’un inventaire précis des outils d’IA.

Adopter un cadre de gouvernance de l’IA chez Ivanti

Chez Ivanti, nous luttons contre l’IA fantôme grâce à une approche axée en priorité sur les risques qui repose de bout en bout sur l’engagement des collaborateurs.

Faire sortir l’utilisation de l’IA de l’ombre

Même si nous n’encouragerions jamais l’IA fantôme, les employés qui y ont recours disposent de connaissances précieuses à partager sur la manière d’intégrer l’IA aux workflows. Ainsi, plutôt que d’interdire toute utilisation de l’IA, nous devons nous assurer que les employés disposent d’un parcours clair pour demander des outils d’IA à utiliser au travail et qu’il existe régulièrement des occasions de dialogue ouvert.

Favoriser un dialogue ouvert met les employés à l’aise pour discuter des outils qui les aident à réussir et signifie, au bout du compte, qu’ils les utiliseront, ou utiliseront des outils équivalents, en toute sécurité. Cela permet aux employés de devenir des partenaires actifs dans l’élaboration d’une gouvernance appropriée, plutôt que de chercher à contourner les restrictions.

Une approche mesurée de la mise en œuvre et de l’adoption de l’IA

Une fois qu’un outil est approuvé, il est important de veiller à sa bonne mise en œuvre et de comprendre à quelles données vous lui avez donné accès. C’est particulièrement important au regard des risques de gouvernance des données et de sécurité que les outils d’IA générative font peser sur les organisations. En examinant l’IA sous l’angle de la gouvernance des données, il est possible de traiter de nombreux aspects du risque lié à l’IA.

Chez Ivanti, nous adoptons une approche mesurée : nous dédions une équipe à la réalisation de tests contrôlés d’outils d’IA générative avec d’autres équipes. Nous mettons ensuite en place des boucles de retour d’information, et l’adoption se déploie progressivement afin d’éviter toute perturbation.

Mettre en place une boucle de retour d’information pour les outils d’IA

Nous devons nous poser régulièrement les questions suivantes :

Comment les employés d’Ivanti utilisent-ils l’IA ?
L’apprécient-ils ?
Quels retours ont-ils à partager ?
Comment pouvons-nous améliorer l’outil ?

Cette conversation continue garantit que nous utilisons l’IA de manière responsable tout en répondant aux besoins de productivité des employés.

Il ne s’agit pas de suivre la tendance de l’IA à tout prix. Il s’agit de savoir si cela en vaut la peine, pour l’entreprise comme pour les personnes qui l’utilisent. L’IA fantôme stimule la productivité d’une seule personne. Mais si l’on prend cette productivité et qu’on l’étend, on obtient une amélioration significative pour l’ensemble de l’entreprise.

Lutter de manière proactive contre l’IA fantôme

Le fil conducteur est le suivant : même si l’IA, et en particulier l’IA fantôme, présente de nouveaux risques préoccupants, elle est là pour durer. Les employés qui utilisent l’IA en dehors des canaux officiels ne sont pas mal intentionnés ; ils cherchent plutôt à apporter de la valeur à l’entreprise, même s’ils ne s’y prennent pas de la bonne manière.

Une approche proactive de l’adoption de l’IA axée en priorité sur les risques reconnaît cette réalité. Au lieu d’interdictions réactives qui ne font qu’encourager les contournements, nous devons impliquer les employés afin de comprendre les problèmes qu’ils cherchent à résoudre avec l’IA, pour pouvoir leur proposer des options sûres qui répondent à nos exigences en matière de sécurité et de confidentialité des données.

Ivanti Blog: Publié par