L’utilisation de l’intelligence artificielle (IA) s’est considérablement répandue. L’accès à des applications d’IA comme ChatGPT, entre autres, est simple et souvent gratuit ou peu coûteux. De nombreuses organisations n’ont pas encore mis en place de politiques liées à l’IA ou ignorent généralement les risques associés à l’utilisation privée de l’IA par leurs employés à des fins professionnelles.

Le Shadow AI (IA fantôme) est un phénomène de notre époque, comparable dans une certaine mesure à la problématique du BYOD (Bring Your Own Device, ou « apportez vos appareils personnels ») en cybersécurité, qui avait déclenché un débat important sur la gouvernance il y a quelques années. Les risques sont en partie comparables, mais alors que le BYOD peut être géré techniquement dans une certaine mesure, il est beaucoup plus difficile de contrôler les menaces liées au Shadow AI. La gestion de ces menaces exige une approche ciblée.

Introduction

L’intelligence artificielle (IA) transforme les industries, libérant de nouvelles efficacités et stimulant l’innovation dans les secteurs public et privé. Cependant, parallèlement à ce potentiel transformateur se cache un risque méconnu pour lequel peu d’organisations sont préparées : le Shadow AI — l’utilisation non autorisée et non contrôlée des outils d’IA par les employés ou les départements d’une organisation. Ces outils fonctionnent souvent sans la connaissance ou l’approbation des équipes informatiques ou de conformité, contournant les cadres de gouvernance établis et exposant les organisations à des risques significatifs.

Que ce soit des employés utilisant des plateformes d’IA générative gratuites pour rédiger des rapports, analyser des données sensibles ou utiliser des outils de traduction IA, le Shadow AI introduit de sérieuses vulnérabilités. Ces risques sont particulièrement marqués dans la gouvernance publique et judiciaire, où la mauvaise gestion des données légales ou administratives sensibles peut avoir des conséquences graves. Cependant, le secteur privé n’est pas moins vulnérable, notamment en raison de ses obligations de protéger, entre autres, les informations des clients, les secrets commerciaux et la propriété intellectuelle. De plus, toutes les organisations courent le risque de violations du RGPD si des données privées sensibles sont utilisées dans ce contexte.

Prenons l’exemple d’un employé dans un cabinet d’avocats privé utilisant un outil d’IA non autorisé pour analyser des documents clients. Sans supervision adéquate, des informations sensibles pourraient être exposées à des systèmes externes ou utilisées pour entraîner des algorithmes d’IA échappant au contrôle de l’organisation. De même, dans des secteurs comme la finance, la santé ou la technologie, des outils d’IA non vérifiés pourraient divulguer des informations propriétaires, entraînant des dommages réputationnels, des responsabilités juridiques ou des désavantages compétitifs.

Les implications du Shadow AI vont bien au-delà des inefficacités opérationnelles. Elles touchent aux obligations juridiques et éthiques fondamentales, telles que le respect du Règlement Général sur la Protection des Données (RGPD), qui impose des contrôles stricts sur le traitement des données personnelles, et de la directive NIS2, qui exige des mesures de cybersécurité robustes pour gérer les risques, y compris les technologies non autorisées. Pour les organisations privées, ces risques remettent directement en cause leur capacité à maintenir la confiance des clients et à protéger leur position compétitive.

Cet article vise à alerter les dirigeants des secteurs public et privé sur l’urgence de traiter le problème du Shadow AI. Il examinera les risques posés par le Shadow AI, son classement dans les cadres réglementaires pertinents, et les mesures stratégiques et opérationnelles que les organisations peuvent mettre en œuvre pour atténuer ces risques.

Il est crucial de souligner que même les organisations ne disposant d’aucune application d’IA approuvée doivent agir dès maintenant. Les politiques de gouvernance, la formation et l’éducation sont essentielles pour bâtir une résilience contre le Shadow AI, protégeant non seulement les données organisationnelles, mais aussi la confiance du public ou des clients et l’intégrité des systèmes. Le moment est venu de sensibiliser et d’agir. Le Shadow AI peut être invisible, mais ses risques sont bien réels.

Comprendre le Shadow AI : définition, exemples et risques

Qu’est-ce que le Shadow AI ?

Le Shadow AI désigne l’utilisation non autorisée d’outils et d’applications d’intelligence artificielle au sein d’une organisation. Ces outils sont souvent déployés sans la connaissance, l’approbation ou la supervision explicite des équipes informatiques, de conformité ou de gouvernance de l’organisation. Le Shadow AI peut prendre diverses formes, allant des outils d’IA générative gratuits en ligne à des logiciels avancés d’analyse ou d’apprentissage automatique téléchargés et utilisés par des employés ou des équipes. Cela peut concerner les appareils de l’organisation ou les équipements personnels des individus concernés (d’où la référence au BYOD).

Bien que le Shadow AI soit souvent le fruit des efforts des employés pour améliorer leur efficacité ou résoudre des problèmes, sa nature non réglementée introduit des risques que les organisations ne sont pas nécessairement équipées pour gérer. Ces risques incluent des violations de la confidentialité des données, des infractions aux réglementations, des vulnérabilités de sécurité et des inefficacités opérationnelles.

Comment le Shadow AI apparaît-il ?

Le Shadow AI se développe généralement en raison des facteurs suivants :

• Facilité d’accès : De nombreux outils d’IA sont facilement accessibles en ligne et proposent des versions gratuites ou peu coûteuses.
• Autonomie des employés : Les employés peuvent se sentir autorisés à expérimenter des outils d’IA pour optimiser les flux de travail ou améliorer leur productivité sans consulter les équipes informatiques.
• Manque de sensibilisation : Les organisations sans politiques claires sur l’IA laissent les employés dans l’ignorance des risques associés aux outils non autorisés.
• Défaut de surveillance informatique : Les départements informatiques peuvent manquer de ressources pour surveiller et gérer la prolifération des applications d’IA non sanctionnées.

Exemples concrets de Shadow AI

1. IA générative pour la rédaction de documents : Un employé utilise un outil d’IA générative gratuit, comme ChatGPT, pour rédiger des contrats sensibles.
   • Risque : La plateforme d’IA pourrait conserver le texte, exposant potentiellement des données sensibles ou des propriétés intellectuelles à des tiers externes.
2. Outils de traduction IA : Un fonctionnaire utilise un outil de traduction pour convertir une communication confidentielle inter-agences dans une autre langue.
   • Risque : Les données pourraient être stockées ou exploitées par le fournisseur tiers, entraînant des fuites ou des violations de la confidentialité.
3. Apprentissage automatique pour l’analyse financière : Un analyste financier télécharge un modèle d’IA gratuit pour analyser les tendances du marché ou les données des clients.
   • Risque : Des algorithmes propriétaires ou des données financières clients pourraient être exposés, en violation des cadres réglementaires.
4. IA dans le secteur de la santé : Le personnel médical utilise une application de diagnostic basée sur l’IA non approuvée pour analyser des scanners de patients.
   • Risque : Violation du RGPD en raison du traitement non autorisé de données sensibles, avec des résultats potentiellement inexacts ou peu fiables.
5. Automatisation marketing : Une équipe marketing utilise des outils d’IA non autorisés pour analyser le comportement des clients ou envoyer des messages automatisés.
   • Risque : Non-conformité avec les réglementations sur la protection des données (par exemple, le RGPD), entraînant des amendes potentielles et des dommages à la réputation.

Risques exemplaires associés au Shadow AI

1. Risques de confidentialité et de sécurité des données : Les outils d’IA non autorisés traitent souvent des données personnelles ou organisationnelles sensibles, contournant les mesures de protection existantes.
   • Exemple : Des données clients saisies dans une plateforme d’IA pourraient être conservées par le fournisseur et utilisées pour un apprentissage, en violation du RGPD.
2. Risques de conformité réglementaire : Le Shadow AI peut entraîner des infractions aux réglementations telles que le RGPD, la directive NIS2 ou des cadres spécifiques à certains secteurs (par exemple, DORA pour la finance).
   • Exemple : L’utilisation d’outils d’IA non approuvés pour analyser des données financières sensibles pourrait entraîner des amendes pour non-conformité.
3. Risques opérationnels : Les outils de Shadow AI peuvent ne pas s’intégrer correctement aux systèmes existants, provoquant des inefficacités ou des erreurs.
   • Exemple : Un modèle d’IA non vérifié utilisé pour analyser des affaires juridiques produit des résultats inexacts, gaspillant du temps et des ressources.
4. Risques réputationnels : Les violations causées par le Shadow AI peuvent nuire à la crédibilité et à la confiance accordées à une organisation.
   • Exemple : Une fuite de données sensibles via un outil de traduction IA non autorisé pourrait saper la confiance du public dans le système judiciaire.
5. Risques de cybersécurité : Les applications de Shadow AI peuvent introduire des vulnérabilités, telles que des portes dérobées pour des cyberattaques ou des accès non autorisés.
   • Exemple : Un outil d’IA non approuvé connecté à un réseau non sécurisé crée un point d’entrée pour des attaques de ransomware.
6. Risques juridiques : Les décisions ou les résultats générés par des outils de Shadow AI peuvent manquer de validité juridique ou de responsabilité.
   • Exemple : Une décision prise à l’aide d’un logiciel d’IA non approuvé dans l’administration publique mène à un litige juridique faute de documentation ou de supervision.

Le Shadow AI en tant que risque de cybersécurité et opérationnel

Le Shadow AI ne se limite pas à une problématique de conformité réglementaire ou d’inefficacité opérationnelle ; il représente également un risque majeur en cybersécurité, capable de perturber l’intégrité organisationnelle, d’exposer des données sensibles et d’ouvrir la voie à des attaques malveillantes. Ce risque est exacerbé par les défis opérationnels qu’il introduit, sapant les cadres de gouvernance et fragmentant les flux de travail. L’importance de traiter le Shadow AI comme un risque à la fois de cybersécurité et opérationnel ne saurait être sous-estimée, en particulier compte tenu de la dépendance croissante des organisations publiques et privées aux systèmes pilotés par l’IA.

Le Shadow AI en tant que risque de cybersécurité

1. Points d’entrée non vérifiés pour les cyberattaques : Les outils de Shadow AI contournent souvent les approbations informatiques et les protocoles de sécurité organisationnels, créant des vulnérabilités dans le réseau.
   • Exemple : Un employé intègre une application d’IA non autorisée aux systèmes internes, ouvrant accidentellement une porte dérobée pour des cybercriminels.
2. Exposition et usage abusif des données : De nombreux outils d’IA nécessitent que les utilisateurs saisissent des données sensibles, qui peuvent ensuite être stockées, traitées ou conservées par des fournisseurs tiers sans mesures de sécurité adéquates.
   • Exemple : Des informations personnelles de clients ou des secrets commerciaux introduits dans une plateforme d’IA générative pourraient être conservés à des fins d’entraînement, entraînant des violations du RGPD et des fuites de données.
3. Risques de ransomware et de logiciels malveillants : Les applications d’IA non autorisées peuvent inclure du code malveillant ou servir de passerelles pour des attaques par ransomware, menaçant la continuité des activités.
   • Exemple : Un outil d’IA gratuit téléchargé par un employé contient un logiciel malveillant caché, compromettant toute l’infrastructure informatique.
4. Manque de surveillance et de réponse aux incidents : Les outils de Shadow AI fonctionnent en dehors des systèmes informatiques officiels, rendant difficile pour les organisations de détecter, atténuer ou répondre aux incidents qu’ils provoquent.
   • Exemple : Une violation causée par un système d’IA non approuvé reste non détectée jusqu’à ce que des dommages significatifs soient constatés.

Le Shadow AI en tant que risque opérationnel

1. Fragmentation des flux de travail : Les outils de Shadow AI ne s’intègrent souvent pas correctement aux systèmes existants, provoquant des inefficacités et des efforts en doublon.
   • Exemple : Un employé utilise un outil d’IA non autorisé pour l’analyse de données, ce qui entraîne des résultats incohérents et des retards dans les projets.
2. Affaiblissement de la gouvernance et de la responsabilité : L’absence de supervision des applications de Shadow AI compromet les cadres de gouvernance organisationnels et brouille les responsabilités dans la prise de décision.
   • Exemple : Les décisions prises à l’aide d’outils d’IA non autorisés ne peuvent pas être correctement auditées, exposant les organisations à des litiges juridiques.
3. Résultats inexacts ou biaisés : Les outils de Shadow AI ne sont pas soumis à des contrôles qualité organisationnels, augmentant les risques d’imprécision ou de biais dans leurs résultats.
   • Exemple : Un modèle d’IA non vérifié produit des prédictions erronées pour un programme de santé publique, entraînant une allocation sous-optimale des ressources.
4. Perturbation des opérations essentielles : La dépendance au Shadow AI pour des fonctions critiques, sans plans de secours, peut perturber les opérations si l’outil devient indisponible ou peu fiable.
   • Exemple : Une juridiction dépend d’un outil de traduction IA non approuvé pour traiter des affaires multilingues, mais l’outil tombe subitement hors service, causant des retards.

Cadres réglementaires traitant des risques de cybersécurité

Pourquoi l’article 4 de l’AI Act ne s’applique-t-il pas ?

L’AI Act, pilier de la réglementation sur l’intelligence artificielle dans l’UE, se concentre sur la gouvernance des systèmes d’IA autorisés. L’article 4 impose des évaluations de conformité et des exigences pour les systèmes d’IA déployés sur le marché, garantissant leur alignement sur des classifications de risque (par exemple, risque élevé, risque limité). Cependant, cet article concerne les développeurs et les opérateurs, et non les utilisateurs individuels des applications d’IA. Par conséquent, le Shadow AI, étant non autorisé et non approuvé par l’organisation, échappe à ce cadre réglementaire.

Les outils de Shadow AI ne font pas partie du portefeuille déclaré ou géré par une organisation et échappent ainsi aux mécanismes de gouvernance, de conformité et de transparence imposés par l’AI Act. L’accent mis par l’article 4 sur les outils réglementés le rend inadapté à traiter les risques liés à l’IA non autorisée.

Pertinence de l’article 20 de la directive NIS2

Alors que l’AI Act régit les systèmes autorisés, la directive NIS2, en particulier son article 20, offre un cadre pour traiter les risques dans le contexte de la cybersécurité. La NIS2 met l’accent sur la gestion des risques de cybersécurité et la réponse aux incidents, ce qui la rend particulièrement applicable pour détecter et gérer les technologies non autorisées comme le Shadow AI.

Les aspects clés de l’article 20 de la NIS2 incluent :

• Identification et atténuation des risques : Les organisations doivent identifier de manière proactive les risques au sein de leurs systèmes informatiques, y compris l’utilisation non autorisée d’outils comme le Shadow AI.
• Réponse et signalement des incidents : Les violations de sécurité liées aux outils de Shadow AI doivent être signalées aux autorités compétentes, garantissant transparence et responsabilité.
• Application intersectorielle : Alors que l’AI Act se concentre sur des systèmes spécifiques, la NIS2 s’applique largement à tous les risques de cybersécurité, ce qui la rend particulièrement pertinente pour gérer les applications non autorisées.

Ainsi, la directive NIS2 fournit le cadre juridique nécessaire pour aborder le Shadow AI en tant que risque de cybersécurité, lorsque des outils non autorisés introduisent des vulnérabilités susceptibles de perturber les opérations ou de compromettre des données sensibles.

Obligations en vertu du RGPD

Les applications de Shadow AI qui traitent des données personnelles peuvent également enfreindre les exigences du RGPD en matière de minimisation des données, de limitation des finalités et de traitement licite.

En considérant le Shadow AI comme un risque de cybersécurité, les organisations s’alignent sur les mandats réglementaires existants tout en abordant de manière proactive les vulnérabilités qu’il présente.

Stratégies d’atténuation des risques opérationnels

Pour minimiser les risques opérationnels liés au Shadow AI, les organisations doivent adopter des mesures proactives et intégrées dans leurs cadres de gouvernance :

1. Audits réguliers : Identifier les outils d’IA non autorisés utilisés et évaluer leur impact sur les flux de travail et la conformité.
   • Exemple : Effectuer un audit des systèmes pour détecter les connexions à des plateformes d’IA externes non approuvées.
2. Mise en place de cadres de gouvernance robustes : Établir des politiques claires interdisant l’utilisation d’outils d’IA non approuvés, accompagnées d’une sensibilisation des employés.
   • Exemple : Inclure des clauses spécifiques sur le Shadow AI dans les politiques informatiques et diffuser des communications internes sur les risques.
3. Intégration des systèmes : Encourager l’utilisation d’outils d’IA autorisés qui s’intègrent de manière transparente aux systèmes existants pour améliorer l’efficacité.
   • Exemple : Proposer une alternative validée et sécurisée à ChatGPT pour les besoins organisationnels.
4. Plans de contingence : Créer des workflows de secours pour garantir la continuité des opérations si des outils non autorisés sont découverts et supprimés.
   • Exemple : Mettre en place une procédure pour passer rapidement à des outils conformes en cas de détection de Shadow AI.

Renforcer la résilience contre le Shadow AI : gouvernance, éducation et littératie

Construire une résilience organisationnelle contre le Shadow AI nécessite d’établir des défenses solides, de mettre en œuvre des politiques pertinentes et de développer des mécanismes de contrôle adaptés. Toutefois, avec le Shadow AI, la clé réside dans une formation adéquate des parties prenantes.

L’importance de la littératie en IA

La littératie en IA est cruciale pour combattre le Shadow AI, car la technologie seule ne suffit pas à atténuer les risques liés à l’utilisation non autorisée d’applications. Sans sensibilisation, les employés peuvent involontairement introduire ou s’appuyer sur des outils d’IA non approuvés, contournant ainsi les protocoles de gouvernance. La formation en littératie aide à construire une culture organisationnelle proactive pour faire face à ces risques.

1. Identification des risques : Les employés ayant une bonne connaissance de l’IA sont plus susceptibles de reconnaître les outils non autorisés et de comprendre leur impact potentiel sur la sécurité, la confidentialité et la conformité.
2. Encouragement à la conformité : Des équipes informées sont plus enclines à suivre les politiques de gouvernance, à choisir des outils approuvés et à signaler les applications non autorisées.
3. Renforcement de la résilience : Former les équipes sur les dimensions juridiques, éthiques et opérationnelles de l’utilisation de l’IA garantit une approche plus sécurisée et conforme à la technologie.

Mesures de gouvernance et opérationnelles

Pour compléter la littératie en IA, les organisations doivent mettre en œuvre des protocoles de gouvernance et des mesures opérationnelles solides. Même les entités n’utilisant actuellement aucun outil d’IA doivent se préparer à l’éventualité que le Shadow AI apparaisse dans leurs systèmes.

• Gouvernance proactive : Rédiger des politiques claires interdisant les outils non autorisés. Intégrer la détection du Shadow AI dans les audits informatiques et les cadres de gouvernance.
• Surveillance opérationnelle : Déployer des outils pour détecter les activités liées à l’IA au sein du réseau. Établir des procédures d’escalade pour signaler et traiter les incidents.
• Alignement avec la directive NIS2 : Traiter le Shadow AI comme un risque critique nécessitant une attention immédiate conformément à l’article 20 de la directive.

Nécessité d’une action urgente – Un appel à l’action

Le Shadow AI représente une menace duale unique, combinant des vulnérabilités en cybersécurité avec des inefficacités opérationnelles. Sa nature décentralisée rend sa détection difficile, tandis que ses risques — allant des violations de données aux perturbations des flux de travail — peuvent avoir des conséquences importantes pour la gouvernance publique et les entreprises privées.

Reconnaître le Shadow AI comme une catégorie de risque à part entière souligne l’urgence d’agir en mettant en œuvre des politiques complètes, des initiatives éducatives et des mesures techniques.

Le message est clair : gérer le Shadow AI n’est pas une option — c’est une nécessité pour protéger l’intégrité organisationnelle dans l’ère de l’IA et pour rester conforme aux réglementations applicables