Le double visage du Shadow IA : entre pratique risquée et opportunités pour les entreprises

Qu’est-ce que le Shadow IA ? En quoi est-ce une pratique qui fait courir de graves risques pour votre entreprise, et quelles sont les recommandations à suivre ? Décryptage avec l’expert IA Thomas Gouritin.

Alexandra Patard
Photo de l'expert :
Publié le
shadow-ia-bonnes-pratiques-entreprise-risques-eviter
Comment éviter le Shadow IA en entreprise ? © Mer_Studio - stock.adobe.com
Sommaire

Alors que l’utilisation des outils d’IA générative se démocratise de plus en plus, son usage en entreprise se confirme également, d’après les résultats de la 2e édition de notre enquête BDM sur l’IA. En 2025, le recours à l’IA générative dans le cadre du travail est ainsi encouragé pour 48 % de nos répondants (sur 1 034 professionnels du digital), contre 30 % il y a un an. Pourtant, un phénomène tend à se développer : le Shadow IA. Pour en savoir plus, mieux comprendre les risques qu’il engendre et les bonnes pratiques à diffuser en interne, nous avons interrogé Thomas Gouritin, expert IA chez Smart Tribune, concepteur de chatbot et conférencier.

Picture of Thomas Gouritin

Thomas Gouritin, Expert IA chez Smart Tribune

Je travaille sur les sujets de chatbot conversationnel depuis une dizaine d’années, bien avant ChatGPT. De l’éditorial à la tech, je pratique ces sujets au quotidien. J’ai rejoint Smart Tribune, où j’accompagne les grandes entreprises sur l’IA et la gestion de connaissances métiers, notamment sur les enjeux de confiance.

Le Shadow IA : une double définition, qui cache de belles opportunités pour les entreprises

Pour notre expert, c’est généralement l’aspect négatif du Shadow IA qui est le plus souvent mis en avant, à savoir « l’utilisation d’outils IA grand public par les professionnels dans leur métier au quotidien, pour leur apporter une aide dans l’exécution de leurs tâches, mais de façon pas toujours sécurisée pour l’entreprise, et sans qu’elle soit au courant de cet usage ». C’est ce dernier point qui pose effectivement problème, même si plusieurs raisons peuvent expliquer ce type de pratique en interne.

Je pense que la raison principale, c’est celle qui fait le succès de ChatGPT depuis le début, c’est-à-dire une interface très naturelle, très simple à utiliser, et qui ne nécessite pas de savoir coder. C’est vraiment cette facilité d’usage et ce mirage que tout est à portée d’une phrase (ou d’un prompt), alors que ce n’est pas forcément le cas.

Il y a aussi beaucoup de métiers qui demandent de réaliser des tâches qui sont chronophages et qui ne nous enthousiasment pas. Les collaborateurs vont alors chercher des raccourcis pour les produire plus rapidement, et y passer le moins de temps possible.

Les grandes entreprises ont plutôt pris le sujet au sérieux, avec la mise en place de programmes pour assurer une bonne utilisation de l’IA générative en fonction des besoins métiers, d’après ce qu’a pu constater Thomas Gouritin sur le terrain. L’expert recommande aux entreprises d’avoir « une vraie acculturation à l’IA », et non pas « de la coercition déguisée ». Il précise : « il ne s’agit pas seulement de poser des interdits sur certains outils, mais plutôt d’accompagner les collaborateurs dans cette voie ». Dans tous les cas, il faut partir du principe que ces derniers vont forcément utiliser l’IA générative si cela leur fait gagner du temps, assure l’expert.

Il faut leur donner les moyens de comprendre comment cela fonctionne et ce que l’on peut en faire, plutôt que de leur interdire de façon un peu bête et méchante, puisque de toute façon on sait très bien que ce sont des outils qui vont être utilisés parce qu’ils rendent plein de services. Tout l’enjeu consiste à mettre le curseur au bon endroit pour saisir les opportunités tout en faisant bien attention à l’usage que l’on en fait.

Les risques liés au Shadow IA, par manque d’encadrement des entreprises

S’il peut être tentant d’utiliser ChatGPT, Claude, Gemini ou encore Perplexity pour réaliser ces tâches chronophages, sans valeur ajoutée, la manière dont les professionnels en font usage peut faire courir des risques assez graves à leur entreprise. S’il ne s’agit pas de céder ici à la panique générale, Thomas Gouritin nous rappelle les principales menaces pesant sur la sécurité des systèmes informatiques et la confidentialité des données.

Les risques du Shadow IA liés à la cybersécurité

Lorsque des données sont transmises à ces outils via l’interface conversationnelle, il est difficile de savoir précisément où elles sont envoyées et comment elles vont être utilisées. « On a pu lire dans les médias de nombreux cas où de la donnée propriétaire, confidentielle, a été réutilisée pour entraîner les modèles de langage qui alimentent les outils d’IA générative. »

Autre danger à ne pas sous-estimer : des outils, qui pourraient être utiles et intéressants pour améliorer la productivité des professionnels, peuvent être de très bons chevaux de Troie conçus pour être malveillants.

Aujourd’hui, construire une interface qui ressemble à ChatGPT pour aller récolter de la donnée, c’est assez simple en termes de code. Avec l’IA, c’est devenu plus facile de concevoir des interfaces qui inspirent confiance et qu’on a tous l’habitude d’utiliser.

Les risques du Shadow IA liés à la confidentialité des données

L’expert IA pointe ici du doigt les outils d’IA agentique, qui tendent de plus en plus à se développer sur le marché. Il nous décrit la situation : « la promesse de certains outils est de proposer des templates d’agent préfabriqué, pour qu’il réalise à votre place des tâches complexes en plusieurs étapes. L’un de ces templates va permettre à l’outil d’aller examiner le dernier document intitulé « strategie doc.pdf », qui se trouve dans votre Google Drive, pour lui demander de résumer son contenu en 10 bullet points, et de partager ensuite le résultat dans votre Slack. Je ne suis pas certain que votre Comex apprécie cette idée ».

Un autre exemple partagé par l’expert : « au sein d’une entreprise informatique, des développeurs débuggaient leur code directement dans ChatGPT, en renseignant du code propriétaire qui portait sur des projets réalisés pour des clients. »

Ces outils ont beaucoup de potentiel, mais leur fonctionnement soulève de gros problèmes en termes de confidentialité des données, prévient Thomas Gouritin.

Les risques du Shadow IA liés aux hallucinations des outils

Si vous demandez à ChatGPT la définition d’une hallucination, dans le contexte d’un outil d’IA générative, il vous répondra : « [cela] désigne une réponse produite par le modèle qui est fausse, inventée ou déconnectée des données réelles, tout en étant formulée de manière crédible. L’IA « hallucine » lorsqu’elle génère des informations incorrectes ou non vérifiables, tout en les présentant comme factuelles ou plausibles. »

De nombreux professionnels ont pu expérimenter ce genre d’hallucination, en lui demandant un calcul dont le résultat sera erroné ou d’extraire des données d’un document PDF avec une réponse qui ne correspondra pas à la bonne colonne du document (non confidentiel) en question, par exemple. Un autre cas relayé dans les médias a interpellé Thomas Gouritin à ce sujet : « des avocats, en pleine audience aux États-Unis, se sont fait retoquer par des juges parce qu’ils avaient invoqué des jurisprudences générées par ChatGPT, alors qu’elles n’existaient même pas ».

Vous imaginez ce genre de situation en entreprise ?

Les bonnes pratiques nécessaires en entreprise pour lutter contre le Shadow IA

1. Utiliser des outils d’IA générative validés par le service informatique

S’il apparaît évident de ne pas copier-coller des données sensibles et confidentielles dans un chatbot IA, la première recommandation consiste à utiliser des solutions propriétaires, développées en interne ou par un éditeur de confiance, validées au préalable par le service informatique de votre structure. Ceci dans le but de garantir la confidentialité des données partagées avec l’outil d’IA générative que vous utilisez, mais aussi pour vous assurer de la qualité des réponses générées.

J’ai rejoint Smart Tribune il y a un an avec la conviction profonde que, pour pouvoir utiliser l’IA générative à son maximum, il faut avoir une source de vérité et une base de connaissances qui soient maîtrisées en termes d’accès, de sécurité et de qualité des données.

2. Identifier et diffuser des bonnes pratiques en interne

Vous avez des bonnes pratiques utilisées en interne par vos collaborateurs ? C’est une véritable mine d’or, mais qui n’est pas suffisamment exploitée par les entreprises, selon l’expert. Son conseil : « cette connaissance, il faut l’identifier et ensuite la diffuser au bon endroit, aux bonnes personnes et dans un cadre sécurisé, pour éviter les hallucinations et les erreurs ».

En effectuant ce travail de « sourcing » des cas d’usage en vigueur, quelle que soit la taille de votre entreprise, vous pourrez ainsi vous projeter sur des bonnes pratiques souvent simples à mettre en place, pour avoir plus de sens et d’impact, et ainsi répondre concrètement aux besoins de vos collaborateurs qui pouvaient utiliser les outils d’IA générative seuls dans leur coin.

3. Concevoir une charte IA en collaboration avec les employés

Quid de la charte sur l’intelligence artificielle, qui afflue de plus en plus au sein des entreprises ? Si cette dernière est devenue un passage obligé pour de nombreuses entités, pour Thomas Gouritin, c’est la manière de la concevoir qui pourrait nettement être améliorée.

J’aime beaucoup organiser et animer des workshops « dont vous êtes le héros », où les collaborateurs vont vraiment aller tester pour de vrai. Ce qui est le plus intéressant, c’est de les challenger et de faire exprès de les faire aller trop loin en les mettant en compétition et en leur demandant d’aller encore plus vite, pour qu’ils ne se rendent plus compte des limites qu’ils pourraient être amenés à franchir, en ne vérifiant pas leurs sources par exemple…

Cet exercice, qui s’appuie sur l’action et le fait qu’ils vont commettre des erreurs, permet de pouvoir échanger de manière plus concrète avec eux sur ce qu’il s’est passé, sur les limites qu’il est possible de franchir ou non, et surtout de leur expliquer pourquoi.

L’objectif : rédiger cette charte IA en collaboration étroite avec les membres de vos équipes, pour que les bonnes pratiques infusent réellement dans leur esprit, « et que ce ne soit pas juste un document qu’ils vont vite signer pour s’en débarrasser parce que cela ne signifierait pas grand-chose pour eux. »

Il s’agit de placer les collaborateurs au cœur des pratiques pour montrer que ce qu’ils font au quotidien peut être un exemple à partager avec leurs collègues, et même au-delà de leur propre service.

À travers la mise en place de workshops ou l’organisation de modules en interne, vous pourrez ainsi faire remonter plus facilement les bons cas d’usage, en restant au plus proche du terrain, et ainsi les diffuser à l’ensemble de votre entreprise.

C’est tout l’enjeu « positif » du Shadow IA, avec les très belles opportunités que ces outils peuvent offrir dans le cadre professionnel, à condition que leur usage soit bien sûr connu, encadré et accompagné, conclut Thomas Gouritin.

À lire également
Sujets liés :
Publier un commentaire
Ajouter un commentaire

Votre adresse email ne sera pas publiée.

Les meilleurs outils pour les professionnels du web

Protect by Mailinblack

Anti-spam
Une solution pour protéger votre messagerie des cyberattaques

Surfshark VPN

VPN
Une solution VPN complète et sécurisée

Surfshark Antivirus

Antivirus
Une solution antivirus qui protège des menaces identifiées ou émergentes
BDM / Articles / Tech / Le double visage du Shadow IA : entre pratique risquée et opportunités pour les entreprises

Sur le même thème

IA

Gemini CLI intègre désormais des extensions Figma, Stripe, Shopify…
IA

IA générative : 97 % des entreprises peinent à prouver sa valeur business
IA

Deep Research : BDM a comparé ChatGPT, Gemini, Claude, Perplexity, Copilot, DeepSeek et Le Chat
IA

Zendesk muscle sa plateforme Resolution avec une nouvelle vague d’outils IA
IA

GPT-4o mini : 5 choses à savoir sur le nouveau modèle d’IA de ChatGPT
IA

Midjourney : 10 astuces pour maîtriser le générateur d’images par IA