Shadow IA en entreprise : quels sont les risques et comment la combattre ? 

Le Shadow IT (ou l’informatique fantôme) désigne “tout logiciel, matériel et/ou ressource informatique utilisé(s) sur un réseau informatique d’entreprise sans l’approbation, la connaissance ou la supervision du service informatique”. 

Cette pratique fait peser des risques non négligeables sur les entreprises. Elle entraîne un manque de visibilité sur des risques cyber puisque les départements informatiques n’ont pas de vue globale sur l’ensemble du matériel utilisé, ni sur leur bonne utilisation (installation des mises à jour, mise en conformité, notification et résolution des failles critiques de sécurité, sécurisation et bonnes pratiques pour limiter les fuites de données etc.).

L’utilisation de matériel ou logiciels informatiques non autorisés par l’entreprise devient ainsi une problématique majeure à l’heure de la transformation numérique de notre société. A l’heure actuelle, ChatGPT a dépassé l’utilisation de LinkedIn en entreprise.

Un besoin crucial de formation aux outils IA

Force est de constater que, dans son entourage, la plupart des personnes qui utilisent ChatGPT dans le cadre professionnel ne sont ni autorisés ni formés à le faire. Il faut noter que 72% des Français estiment qu’ils ne possèdent pas les connaissances nécessaires pour utiliser l’IA. 

Le facteur le plus risqué lorsqu’on utilise un outil informatique non contrôlé par sa DSI, n’est donc pas fondamentalement l’autorisation ou non d’utiliser l’outil mais, en premier lieu, la bonne ou la mauvaise utilisation qui peut être faite de l’outil. 

Un collaborateur qui utilisera ChatGPT de manière non autorisée mais qui s’est formé à prompter de manière efficace, anonymisée et éthique a un profil moins risqué qu’un directeur qui utilise sciemment l’outil, mais qui prompte en anonymisant partiellement son propos et accroît ainsi le risque d’une fuite de données. 

Besoin de solutions pratiques pour sensibiliser et éviter les fuites de données

Le Shadow IA représente désormais le risque majeur de Shadow IT compte tenu de son intégration dans une multitude d’autres solutions informatiques.

Il y a plusieurs manières de lutter contre le Shadow IA : 

• l’interdire totalement,
• sensibiliser et former les collaborateurs aux risques de l’utilisation de l’IA dans le cadre de travail,
• anticiper l’inclusion de l’IA dans l’environnement de travail du collaborateur.

L’interdiction totale de l’utilisation de l’IA par vos collaborateurs suppose de mettre en place des moyens techniques qui permettent de réduire les possibilités d’utilisation de vos données par les collaborateurs.

Sensibiliser les collaborateurs aux risques de l’utilisation IA est le premier réflexe à avoir lorsqu’on a identifié une pratique de shadow IT impliquant ce type de logiciel. A défaut de mettre en place de solutions techniques visant à rendre impossible l’utilisation de l’IA avec les données de l’entreprise, il faut sensibiliser et former ses collaborateurs à l’utilisation éthique de l’IA et les enjeux de son utilisation encadrée dans le cadre professionnel. 

Enfin, il est possible d’anticiper l’inclusion de l’IA dans votre entreprise en mettant en place une charte d’utilisation éthique de l’IA à laquelle les collaborateurs doivent adhérer et qui fait partie de la stratégie générale de management de risques cyber au sein de l’entreprise.

Avant d’opter pour une solution de gestion des risques liés au Shadow IA, il faut identifier pourquoi les collaborateurs utilisent l’IA dans le cadre de leurs missions professionnelles.

Une IA d’entreprise pour lutter contre les cyber risques du Shadow IA

La méthode la plus efficace pour lutter contre l’IA reste… l’IA ! 

Une des méthodes pour limiter l’IA Shadow en entreprise est encore de rendre disponible à ses collaborateurs un outil d’IA spécifique à l’entreprise pour les détourner d’une utilisation non autorisée au profit d’une autorisation contrôlée.

L’utilisation de l’IA par les collaborateurs traduit bien souvent un manque d’adaptabilité de l’entreprise au nouvel environnement numérique dans lequel nous évoluons. Les outils d’IA revalorisent le travail des collaborateurs. Ils ont la capacité d’être plus efficaces, c’est une opportunité pour développer et attribuer des tâches à plus haute valeur ajoutée à vos collaborateurs. 

Cette inclusion de l’IA ne permet pas d’exclure totalement le risque lié au Shadow IA, toutefois, elle permet à l’entreprise d’avoir le contrôle sur un outil similaire inclus dans l’environnement de travail. Cette démarche permet ainsi de répondre aux besoins de vos collaborateurs pour éviter qu’ils favorisent une autre solution externe.