FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • Shadow AI, l’angle mort qui fragilise la gouvernance cyber des PME et ETI

    Shadow AI, l’angle mort qui fragilise la gouvernance cyber des PME et ETI

    devensys cybersecurity
    23.02.26
    Gestion des risques Transformation numérique
    07
    MIN
    Shadow AI, l’angle mort qui fragilise la gouvernance cyber des PME et ETI
    Shadow AI, l’angle mort qui fragilise la gouvernance cyber des PME et ETI
    Shadow AI, l’angle mort qui fragilise la gouvernance cyber des PME et ETI
    Image Quand le cyber devient systémique : le rôle clé des assureurs pour passer d’une logique de réaction à une logique d’anticipation.
    Cybersécurité
    25.03.26 Cybersécurité
    Prochain article
    Quand le cyber devient systémique : le rôle clé des assureurs pour passer d’une logique de réaction à une logique d’anticipation.
    Lire
    06
    MIN
    Image Google alerte sur DarkSword, un kit d’exploit pour iPhone
    Gestion des risques
    23.03.26 Gestion des risques
    Prochain article
    Google alerte sur DarkSword, un kit d’exploit pour iPhone
    Lire
    01
    MIN
    Image Retour d’expérience : comment Colas surveille son exposition en ligne dans le monde entier
    Cybersécurité
    18.03.26 Cybersécurité
    Prochain article
    Retour d’expérience : comment Colas surveille son exposition en ligne dans le monde entier
    Lire
    06
    MIN
    Image L’Anssi publie son Panorama de la cybermenace 2025
    Gestion des risques
    13.03.26 Gestion des risques
    Prochain article
    L’Anssi publie son Panorama de la cybermenace 2025
    Lire
    01
    MIN
    Sans aval IT ni cadre défini, des usages numériques critiques s’implantent dans l’organisation. Loin d’être marginal, ce phénomène prend une ampleur inédite et remet en cause la visibilité, la maîtrise des risques et la capacité à prouver la conformité NIS2.

    Quand les usages utilisateurs passent du Shadow IT au Shadow AI

    Le Shadow IT est un phénomène bien connu des RSSI. Les métiers ou les utilisateurs contournent parfois l’IT pour répondre à un besoin opérationnel. Un service RH qui achète un SaaS de gestion des candidatures avec la carte de l’entreprise sans validation interne : classique. La motivation est rarement malveillante : il s’agit presque toujours d’aller plus vite, d’être plus efficace ou d’utiliser un outil déjà maîtrisé.

    Le Shadow AI reprend exactement ce mécanisme, mais avec une accélération brutale. D’abord parce que l’adoption est instantanée. En effet, cinq minutes suffisent pour ouvrir un compte sur un service d’IA générative et l’utiliser. Ensuite parce que la population concernée explose, ce n’est plus un département, c’est potentiellement tout le monde. Enfin, parce que le risque n’est pas seulement applicatif, il devient informationnel.

    Une donnée sensible dans un prompt n’est pas un “petit écart”. C’est une perte de contrôle : qui la stocke, où, combien de temps, selon quelles conditions ? Autre bascule, l’IA n’est pas seulement un outil de production, c’est un outil d’arbitrage. Si l’entreprise réinjecte des sorties de modèles dans ses décisions (même indirectement), elle s’expose à un risque de qualité des données : éléments externes non vérifiés, biais, hallucinations. En bref, cette décision “accélérée” peut aussi être une décision fausse, et donc coûteuse.

    Le problème n°1 : l’absence de visibilité

    Sur le Shadow AI, Jean-Philippe Lesage est lucide. De nombreuses d’organisations restent “largement aveugles”. Pas parce qu’elles ne veulent pas voir, mais parce que l’IA générative se glisse partout : navigateur, mobile, comptes personnels, intégrations natives dans des applications SaaS existantes, fonctionnalités ajoutées sans que l’IT n’ait le temps d’en mesurer l’impact.

    Or, en cybersécurité, ce qu’on ne voit pas ne se gouverne pas. La première étape n’est donc pas de “réglementer l’usage” sur PowerPoint, mais de savoir ce qui est réellement utilisé, par qui, avec quelles données, et via quels flux. Plusieurs éditeurs de sécurité ont d’ailleurs étendu la découverte “Shadow IT” aux usages d’applications d’IA, justement pour donner ce premier niveau de cartographie (Microsoft met notamment en avant la découverte des applications SaaS, incluant des apps d’IA et des serveurs MCP, via Defender for Cloud Apps). 

    MCP ou l’“USB-C” de l’IA… et multiplicateur de surface d’attaque

    Dans l’échange, le Model Context Protocol (MCP) cristallise la bascule. Initialement introduit par Anthropic, MCP vise à standardiser la façon dont des modèles/assistants et des agents interagissent avec des outils, des APIs et des sources de données. Plutôt que de construire des connecteurs “N vers M”, on branche un protocole commun, côté client et côté serveur. 

    L’image qui revient souvent – et que reprend Jean-Philippe Lesage – est parlante, le MCP peut être perçu comme l“USB-C” de l’IA. On connecte, et ça fonctionne.

    Mais ce “plug and play” a un revers mécanique. Chaque connecteur est une nouvelle surface d’attaque. Plus exactement, MCP peut industrialiser l’intégration et industrialiser les erreurs. Les risques montent encore alors que l’écosystème mûrit vite et que l’on assiste à l’apparition de serveurs MCP non fiables (rogue), de faux services se présentant comme légitimes et des chaînages possibles entre outils. Début 2026, des médias ont rapporté des vulnérabilités sur un serveur Git MCP d’Anthropic, illustrant la réalité du sujet. Des composants “utiles” deviennent dangereux quand ils sont combinés ou mal configurés. 

    De l’IA générative à l’IA agentique, un saut qui fait mal

    Un prompt correspond à une action initiée par un humain. L’IA agentique introduit une rupture majeure, celle de l’autonomie. On délègue à un agent des accès et des capacités d’action sur des systèmes. Et là, le risque change encore de vitesse.

    Si les droits sont trop permissifs, l’agent les exploitera. Si l’agent est compromis, la propagation peut être fulgurante, sans intervention humaine. Exfiltration, actions non prévues, enchaînements d’opérations, etc,. L’agentique peut transformer une mauvaise configuration en incident majeur. La “mode” de l’agentique, combinée au low-code qui facilite la création d’agents, rend l’entrée dans ce monde beaucoup trop facile pour être laissée en roue libre.

    Avec NIS2, l’ombre devient un risque de conformité

    NIS2 ne “bloquera” pas un utilisateur qui colle un document dans un chatbot. En revanche, elle change la tolérance au flou. La directive élargit le périmètre des entités concernées et renforce les exigences de gestion des risques, de gouvernance, et de maîtrise de la sécurité des systèmes et réseaux. 

    Dans ce cadre, une organisation qui ne sait pas cartographier ses usages d’IA et ses flux de données se met en difficulté sur un point simple : démontrer la maîtrise. Le Shadow AI devient alors un risque en soi, non seulement opérationnel, mais aussi d’audit et de responsabilité.

    Reprendre le contrôle passe par la cartographie, la réduction des droits et des alternatives

    Sur le terrain, Jean-Philippe Lesage décrit une séquence pragmatique, applicable même aux PME/ETI :

    Visibilité et cartographie


    Identifier les usages, les applications, les connecteurs, les flux. Sans cette étape, tout le reste est théorique.

    Compréhension des cas d’usage

    Pourquoi les équipes utilisent-elles ces outils ? Quel besoin n’est pas couvert ? À ce stade, l’objectif n’est pas de “taper”, mais de comprendre ce qui fait levier sur la productivité.

    Sécurisation des accès et permissions

    Réduire au strict nécessaire : moindre privilège, segmentation, contrôle des droits. L’agentique rend cette étape non négociable.

    Gouvernance de la donnée


    Sans classification, règles DLP, et politiques claires sur ce qui peut sortir ou non, l’entreprise pilote à l’aveugle. Techniquement, beaucoup de briques existent ; organisationnellement, c’est un projet d’entreprise.

    Offrir des solutions “sanctionnées”


    Il s’agit d’un point clé. En effet, si l’entreprise ne propose pas d’alternative utilisable, l’effet Shadow est mécanique. La sécurité doit trouver le bon curseur pour ne pas tuer la productivité.

    Sensibilisation continue, pas annuelle

    Affiches, micro-contenus, mises en situation, rappels réguliers : la pédagogie qui fonctionne est celle qui revient, varie et colle aux usages. Et elle doit viser aussi les populations à “fort pouvoir de nuisance” (VIP), où l’impact d’un incident est disproportionné.

    Pourquoi les PME et ETI doivent sortir de la cybersécurité fragmentée ?

    Pour les dirigeants de PME/ETI, la tentation est grande de traiter le sujet IA comme un “nouveau risque” à ajouter à la pile. C’est précisément là que se situe l’erreur. À force d’ajouter des outils non corrélés, des alertes mal orchestrées et des décisions prises sans vision globale, les organisations créent de la fatigue opérationnelle… et des angles morts de sécurité.

    La priorité pour 2026 consiste à rétablir une cohérence globale. Cela implique  une visibilité unifiée des usages et des flux, des permissions serrées, une gouvernance de la donnée, et des procédures d’amélioration continue. Pas forcément plus d’outils, mais des outils qui se parlent, et des usages qui s’assument.

    À propos de devensys :
    Division cybersécurité du groupe inherent, devensys accompagne les organisations dans la sécurisation de leurs systèmes d’information grâce à des services d’intégration, d’audit techniques (pentests), de conseil, de formation et de services managés (SOC, VOC, CERT), en synergie avec adista, opérateur cloud et connectivité du groupe, pour offrir des solutions globales et souveraines.

    Jean-Philippe Lesage
    23.02.26
    Continuer ma lecture
    1
    06.06.22 Cybercriminalité
    Le malware espion pour smartphone Flubot démantelé
    Lire
    01
    MIN
    2
    30.10.25 Souveraineté numérique
    Souveraine Tech : refaire nation à l’heure des fractures technologiques
    Lire
    08
    MIN
    3
    26.05.23 Secops
    Sekoia.io lève 35 millions d’euros
    Lire
    02
    MIN
    4
    16.08.23 Cyber stabilité
    Des cybercriminels nord-coréens ont espionné un fabricant de missiles russe
    Lire
    02
    MIN
    Image Quand le cyber devient systémique : le rôle clé des assureurs pour passer d’une logique de réaction à une logique d’anticipation.
    Cybersécurité
    25.03.26 Cybersécurité
    Prochain article
    Quand le cyber devient systémique : le rôle clé des assureurs pour passer d’une logique de réaction à une logique d’anticipation.
    Lire
    06
    MIN
    Image Google alerte sur DarkSword, un kit d’exploit pour iPhone
    Gestion des risques
    23.03.26 Gestion des risques
    Prochain article
    Google alerte sur DarkSword, un kit d’exploit pour iPhone
    Lire
    01
    MIN
    Image Retour d’expérience : comment Colas surveille son exposition en ligne dans le monde entier
    Cybersécurité
    18.03.26 Cybersécurité
    Prochain article
    Retour d’expérience : comment Colas surveille son exposition en ligne dans le monde entier
    Lire
    06
    MIN
    Image L’Anssi publie son Panorama de la cybermenace 2025
    Gestion des risques
    13.03.26 Gestion des risques
    Prochain article
    L’Anssi publie son Panorama de la cybermenace 2025
    Lire
    01
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.