À l’ère du tout-numérique, les entreprises font face à une double menace qui hante leurs départements IT et sécurité : celle du Shadow IT et celle, plus récente, du Shadow AI.Avec la prolifération des services SaaS, souvent accessibles en freemium, les employés adoptent spontanément des outils sans l’aval de l’IT, créant un écosystème parallèle. Convertisseurs de PDF comme iLovePDF, plateformes de partage de fichiers comme WeTransfer, ou encore solutions no-code telles que Bubble ou Zapier : autant d’exemples qui permettent d’aller vite… mais en échappant totalement aux contrôles de sécurité.
Côté Shadow AI, une nouvelle frontière s’ouvre. Des outils comme ChatGPT ou DeepSeek deviennent les confidents involontaires des employés, qui y déposent des documents internes pour les traduire, les résumer ou en extraire des informations. Des solutions comme Fireflies, qui enregistre et analyse les réunions, ou des agents IA connectés à divers services, ajoutent une couche supplémentaire à cette dispersion non maîtrisée des données.
Un cauchemar de gouvernance et de souveraineté
Ces pratiques ne sont pas de simples commodités. Elles posent la question cruciale de la souveraineté numérique. Lorsqu’un collaborateur utilise une solution SaaS ou IA hébergée en dehors du périmètre maîtrisé de l’entreprise – et parfois hors d’Europe – il expose malgré lui des données sensibles à des juridictions étrangères et à des usages non désirés. Pour les DSI et RSSI, cela devient un véritable casse-tête de gouvernance : comment garantir la confidentialité, la traçabilité et la conformité dans un univers où chacun peut introduire ses propres outils ?
La réglementation s’invite dans l’équation
Face à ce défi, l’Europe a renforcé son arsenal réglementaire. Trois textes structurants s’imposent désormais aux entreprises :
- DORA (Digital Operational Resilience Act) : il exige des institutions financières qu’elles démontrent leur résilience opérationnelle face aux risques numériques, y compris ceux liés aux prestataires tiers.
- NIS 2 (Network and Information Security Directive) : elle étend considérablement le périmètre des organisations soumises à des obligations de cybersécurité, et impose une gestion rigoureuse des risques liés aux fournisseurs et aux services non maîtrisés.
- AI Act : première réglementation mondiale sur l’intelligence artificielle, elle introduit une approche par niveaux de risques, avec des obligations strictes pour les IA utilisées en entreprise.
Ces textes ne doivent pas être vus comme des contraintes punitives, mais comme de véritables leviers de gouvernance. Ils incitent les entreprises à cartographier leurs usages, à auditer leurs outils et à mieux encadrer l’innovation.
Sensibiliser plutôt que réprimer
Le combat contre le Shadow IT et le Shadow AI ne peut pas se réduire à des interdictions. La clé reste humaine : sensibiliser, accompagner et responsabiliser chaque collaborateur. Derrière chaque téléchargement d’application ou chaque prompt saisi dans un chatbot, il y a une logique positive : gagner du temps, simplifier son travail, innover. Plutôt que de freiner ces dynamiques, il s’agit de les canaliser. Des solutions qui allient visibilité, contrôle et pédagogie, permettent de transformer le chaos en opportunité maîtrisée. Mais surtout, elles ouvrent un dialogue entre métiers et DSI, indispensable pour aligner innovation, conformité et sécurité.
Du cauchemar au pilotage maîtrisé
Le Shadow IT et le Shadow AI ne disparaîtront pas. Ils sont le reflet de la créativité des collaborateurs et de leur besoin d’efficacité. Pour les DSI et RSSI, l’enjeu n’est pas de les éradiquer, mais de reprendre la main : par la gouvernance, par la sensibilisation et par l’anticipation réglementaire. Le cauchemar peut devenir une opportunité : celle de bâtir une culture numérique où chaque employé est non seulement utilisateur, mais aussi acteur de la sécurité et de la souveraineté de l’entreprise.
Par Tanguy DUTHION, CEO de Avanoo
