Cyber sécurité 
Bien que Jira soit le système de référence de nombreuses équipes DevOps et TI, l’extraction de secrets ou l’approbation de requêtes pour des informations privilégiées sont
Les employés adoptent des outils d’intelligence artificielle (IA) pour améliorer leur productivité, mais ils tiennent rarement compte des implications en matière de sécurité. Lorsqu’un employé colle des données client sensibles dans un outil d’IA non approuvé, ces dernières sont traitées par un modèle tiers qui échappe au contrôle de l’entreprise, ne laissant souvent aucune piste d’audit à examiner par les équipes de sécurité.
Selon l’édition 2024 du baromètre Work Trend Index de Microsoft, 78 % des employés ont déclaré utiliser leurs propres outils d’IA au travail. Cette utilisation non approuvée souligne à quel point le shadow AI, ou l’IA fantôme, s’est généralisé. La sécurité des identités offre les bases nécessaires pour relever ce défi en aidant les entreprises à savoir qui accède aux outils d’IA et dans quelles conditions, donnant ainsi aux équipes de sécurité le contrôle dont elles ont besoin pour encadrer l’utilisation de l’IA.
Poursuivez la lecture afin de mieux comprendre ce qu’est le shadow AI, pourquoi il constitue un risque majeur pour la sécurité des identités et comment l’encadrer.
Différence entre shadow IT et shadow AI
Le shadow AI amplifie les risques existants liés au shadow IT tout en introduisant des menaces plus modernes et complexes. Le shadow IT désigne l’utilisation non autorisée de logiciels ou de systèmes au sein d’une entreprise. Par exemple, un employé peut utiliser son compte de messagerie personnel pour partager des fichiers professionnels, créant ainsi des lacunes en matière de contrôle d’accès et de visibilité. Le shadow AI va encore plus loin, car les outils d’IA ne se contentent pas de stocker des données : ils les traitent activement et peuvent les conserver. Cela engendre un nouveau niveau d’exposition, où des informations sensibles peuvent être profondément intégrées dans des modèles externes échappant au contrôle de l’entreprise. Deux facteurs rendent l’IA particulièrement difficile à encadrer :
- Utilisation de comptes ou d’appareils personnels : lorsque les employés accèdent à des outils d’IA en dehors des environnements fournis par l’entreprise via leurs comptes et appareils personnels, leurs activités sont dissociées de leur identité professionnelle, ce qui compromet la transparence et la traçabilité.
- Outils d’IA basés sur navigateur : les outils d’IA basés sur navigateur ne nécessitent aucune installation, ce qui les rend plus difficiles à détecter dans les environnements qui s’appuient uniquement sur des contrôles au niveau des terminaux.
L’exposition des données à une telle échelle, combinée à des outils capables de contourner les méthodes de détection traditionnelles, fait du shadow AI un problème de sécurité particulièrement complexe.
Pourquoi le shadow AI est un problème de sécurité des identités
Lorsque les employés utilisent des outils d’IA non approuvés, les équipes de sécurité n’ont aucune visibilité sur les données partagées, les personnes ayant accédé à l’outil ou l’utilisation que fait l’outil de ces données. Ce manque de visibilité sur les identités est la principale raison pour laquelle le shadow AI est si difficile à détecter, et encore plus à gérer. Les solutions traditionnelles de gestion des identités et des accès (IAM) ont été conçues pour des utilisateurs humains au comportement prévisible et aux rôles définis, mais les entreprises modernes doivent adapter leurs stratégies de sécurité pour prendre en compte les identités non humaines, notamment les agents d’IA et les comptes de service. Ces identités machine peuvent accéder aux systèmes et exécuter des tâches de manière autonome sur plusieurs systèmes critiques, et leur popularité ne cesse de croître au sein des entreprises. En effet, selon les hauts dirigeants interrogés dans le cadre de l’enquête mondiale L’état de l’IA en 2025 de McKinsey, 62 % ont déclaré que leur entreprise avait au moins commencé à utiliser des agents d’IA à titre expérimental. Contrairement aux utilisateurs humains, les agents d’IA peuvent fonctionner en continu, évoluer rapidement et interagir simultanément sur de nombreux systèmes. Sans contrôles de sécurité des identités capables d’encadrer à la fois les identités humaines et celles des machines, les entreprises perdent le contrôle sur la manière dont leurs données sont consultées et utilisées.
Principaux risques liés au shadow AI en matière d’identité
Une sécurité des identités insuffisante rend non seulement le shadow AI plus difficile à détecter, mais aggrave également les dommages qu’il peut causer.
Accès non surveillé aux données
Les employés qui partagent des données sensibles avec des outils d’IA non approuvés exposent ces données à des risques que les systèmes de surveillance traditionnels ne sont pas en mesure de détecter. Les outils de prévention des pertes de données peuvent uniquement surveiller les canaux sur lesquels ils ont une visibilité ; le shadow AI opère en dehors de ces limites. Si un employé utilise un outil d’IA non approuvé via un compte personnel non surveillé, les entreprises n’ont aucun moyen de surveiller, d’enregistrer ou de consigner cette activité. Si des données ou des identifiants privilégiés sont exposés, les cybercriminels peuvent accéder à des systèmes critiques sans laisser de trace.
Prolifération des identités machine
Contrairement aux employés humains qui suivent des processus formels d’intégration et de départ, la gestion du cycle de vie des agents d’IA et des comptes de service est souvent peu structurée. En conséquence, un nombre croissant d’identités machine opèrent dans plusieurs environnements avec des autorisations excessives et une supervision limitée, ce qui conduit à leur prolifération des identités machine. Sans visibilité sur ces identités, les entreprises ne peuvent pas vérifier quels systèmes sont consultés ni si ceux-ci ont été compromis.
Lacunes en matière de conformité et d’audit
Les cadres réglementaires tels que le RGPD, la loi HIPAA et la norme PCI DSS exigent des entreprises qu’elles suivent la manière dont les données sensibles sont consultées et traitées, que ce soit par des humains ou des machines. Si la sécurité des identités couvre uniquement les utilisateurs humains, les entreprises ne peuvent pas produire de pistes d’audit complètes rendant compte de l’activité relative à l’IA, ce qui les expose à des sanctions réglementaires et à des constatations d’audit de plus en plus difficiles à résoudre a posteriori.
Comment encadrer le shadow AI centrée sur les identités
La gestion du shadow AI ne doit pas consister à bloquer tous les outils d’IA pour les membres de votre entreprise ; il faut commencer par obtenir une visibilité complète sur les personnes qui accèdent aux systèmes et données critiques. Voici quelques étapes clés que vos équipes informatiques et de sécurité devraient suivre pour adopter une approche centrée sur l’identité dans la gouvernance du shadow AI :
- Établir une visibilité sur toutes les identités : utilisez une solution IAM robuste pour identifier qui accède aux outils d’IA approuvés et non approuvés. Sans cela, les équipes de sécurité peuvent réagir face au shadow AI seulement après que les données ont été exposées. Les entreprises doivent disposer de la visibilité nécessaire pour encadrer à la fois les identités humaines et celles des machines, afin de déterminer quels outils autoriser et où les politiques d’accès doivent être affinées.
- Étendre la gouvernance aux identités non humaines : alliez l’IAM et l’administration et la gouvernance des identités afin de gérer les accès tant pour les identités humaines que pour celles des machines. Les agents d’IA et les comptes de service doivent être soumis aux mêmes contrôles d’accès, aux mêmes politiques de moindre privilège et aux mêmes procédures de désactivation que les utilisateurs humains.
- Appliquer une sécurité zero-trust : chaque demande d’accès doit toujours être vérifiée, qu’elle provienne d’une identité humaine ou machine. Exigez l’authentification multifacteur (MFA), utilisez l’authentification unique (SSO) et appliquez le principe du moindre privilège afin de limiter toutes les identités au strict nécessaire pour une tâche spécifique.
- Surveiller et enregistrer les sessions privilégiées en temps réel : associez toutes les activités relatives à l’IA à des identités autorisées et enregistrez les sessions impliquant l’accès à des systèmes critiques. Des outils tels que KeeperAI analysent les sessions au fur et à mesure qu’elles se déroulent. Ils signalent automatiquement les comportements suspects par rapport aux seuils de risque définis par l’administrateur, fournissant ainsi aux équipes de sécurité des pistes d’audit détaillées et la possibilité d’intervenir avant qu’une menace ne s’aggrave.
- Mettre en œuvre la détection et la réponse aux menaces liées aux identités (ITDR) : l’ITDR surveille en permanence les anomalies comportementales chez les identités humaines et machine, détectant les activités suspectes telles que les tentatives d’élévation de privilèges et l’utilisation abusive des identifiants avant qu’elles ne débouchent sur des incidents plus graves. En étendant la détection des menaces au-delà des contrôles de périmètre jusqu’à la couche des identités, l’ITDR comble directement les angles morts créés par le shadow AI.
Sécurisez les identités humaines et machine avec Keeper®
Le shadow AI est appelé à se développer parallèlement à l’adoption croissante de l’IA. C’est pourquoi les entreprises ont besoin d’une plateforme de sécurité des identités qui offre visibilité, contrôle et gouvernance sur toutes les identités, tant humaines que machine.
Keeper sécurise les accès privilégiés pour les utilisateurs humains et les identités machine, applique des politiques de moindre privilège et assure une surveillance en temps réel des sessions sur les systèmes critiques. Il gère les secrets d’infrastructure et les clés API sur lesquels s’appuient les agents d’IA, garantissant que les identités non humaines opèrent dans des limites définies et que les identifiants sont renouvelés automatiquement. KeeperAI renforce cette visibilité en analysant les sessions privilégiées en temps réel et en signalant les activités à haut risque dès qu’elles se produisent. Reposant sur une architecture zero-trust et zero-knowledge, Keeper fournit les pistes d’audit et les contrôles d’accès dont les entreprises ont besoin pour encadrer l’utilisation de l’IA sans entraver la productivité qu’elle permet.
Essayez gratuitement Keeper dès maintenant pour bénéficier d’une visibilité et d’un contrôle complets sur toutes les identités de votre environnement.
