Shadow IT et shadow AI : quelle est la différence ?

Imaginez qu’une personne du service client de votre entreprise charge des données sensibles sur un outil d’IA afin de rédiger des e-mails plus rapidement. Lorsqu’un employé utilise un outil d’IA sans l’accord du service informatique, on parle de shadow AI, un phénomène de plus en plus courant. Selon le rapport Work Trend Index 2024 de Microsoft, parmi les employés qui utilisent l’IA au travail, 78 % déclarent utiliser des outils qui n’ont pas été officiellement approuvés par leur entreprise. Alors que les équipes de sécurité ont mis au point des stratégies pour lutter contre le shadow IT traditionnel, le shadow AI introduit de nouveaux risques qui nécessitent une approche plus moderne. La principale différence entre les deux est que, dans le cas du shadow AI, les données sensibles sont non seulement transférées et stockées, mais aussi activement traitées et parfois conservées.

Poursuivez la lecture pour en savoir plus sur ces concepts et sur la manière de détecter et de gérer efficacement le shadow AI.

Qu’est-ce que le shadow IT ?

Le shadow IT désigne tout logiciel ou service cloud que les employés utilisent à l’insu ou sans l’accord du service informatique. Cela peut concerner l’utilisation de comptes de messagerie personnels pour partager des fichiers professionnels, l’installation d’extensions de navigateur non autorisées ou la connexion d’appareils personnels au réseau de l’entreprise. Étant donné que ces actions contournent les processus d’approbation officiels, elles ne sont pas vérifiées par les équipes de sécurité avant leur utilisation. Bien que le shadow IT soit principalement motivé par la productivité plutôt que par une intention malveillante, il peut entraîner divers risques de sécurité :

• Visibilité limitée : lorsque les équipes informatiques ignorent l’existence d’applications non autorisées, elles ne peuvent pas en surveiller l’utilisation ni protéger les données de l’entreprise. Toute faille de sécurité dans ces applications peut devenir un point d’entrée caché dans un réseau.
• Violations de la conformité : les logiciels non autorisés répondent rarement aux critères de traitement des données imposés par les réglementations telles que le RGPD ou la loi HIPAA. Si les données ne sont pas traitées correctement, les entreprises s’exposent à de lourdes sanctions et amendes.
• Une surface d’attaque élargie : chaque application non approuvée constitue un vecteur d’attaque potentiel pour les cybercriminels. À mesure que le shadow IT prend de l’ampleur, en particulier dans les environnements cloud, il devient plus difficile de sécuriser le périmètre de l’entreprise.

Qu’est-ce que le shadow AI ?

Le shadow AI désigne l’utilisation d’outils ou d’applications d’IA à l’insu ou sans l’accord du service informatique. Parmi les exemples courants, on peut citer les employés utilisant l’IA générative pour rédiger des communications internes contenant des données confidentielles, ou les développeurs exécutant du code via des outils d’IA à l’aide de comptes personnels. Ce qui rend le shadow AI particulièrement problématique, c’est que les employés ne contournent pas toujours les mesures de sécurité de manière intentionnelle. De nombreuses applications modernes intègrent des fonctionnalités d’IA par défaut, si bien que les employés peuvent ne pas se rendre compte qu’ils utilisent de l’IA.

Le shadow AI introduit des risques qui dépassent ce à quoi de nombreuses entreprises sont préparées :

• Fuites de données intraçables : lorsque les employés utilisent des outils d’IA via des comptes personnels, les entreprises n’ont généralement pas accès aux journaux d’interaction, même sur les plateformes proposant la journalisation dans le cadre de formules professionnelles. Il n’existe aucune piste d’audit permettant de savoir quelles données ont été saisies, comment elles ont été traitées ou si elles ont été conservées.
• Implications en matière de sécurité des identités : le shadow AI introduit de nouveaux risques de sécurité que les modèles traditionnels ne sont pas conçus pour gérer, principalement en raison de l’essor des agents d’IA autonomes. Lorsque les employés créent des comptes sur des plateformes d’IA externes, les entreprises perdent le contrôle sur la manière dont ces identités accèdent aux données sensibles.

Principales différences entre shadow IT et shadow AI

Le shadow IT et le shadow AI trouvent tous deux leur origine dans la volonté des employés d’adopter des outils pour gagner en productivité, mais ils diffèrent dans la manière dont les risques sont introduits.

Traitement et partage des données

Dans le cas du shadow IT, les données suivent généralement un processus structuré, tel que le chargement de fichiers ou le partage de documents. Ces actions génèrent des schémas prévisibles que les outils de sécurité sont en mesure de détecter. Le shadow AI, en revanche, fonctionne à partir d’entrées conversationnelles non structurées. Les employés saisissent des données sensibles dans des invites qui sont traités en temps réel et transmis via le protocole HTTPS standard, de sorte qu’il est difficile de distinguer ce trafic d’une activité normale.

Visibilité et auditabilité

Les activités de shadow IT génèrent généralement des pistes d’audit via l’utilisation d’applications, les transferts de fichiers ou la surveillance du réseau, ce qui permet aux équipes de sécurité d’enquêter sur les incidents. En revanche, il est souvent difficile d’avoir une visibilité centralisée sur le shadow AI, car de nombreuses plateformes d’IA ne fournissent pas de journaux d’interaction détaillés aux entreprises. Lorsque les employés utilisent des outils d’IA externes, en particulier via des comptes personnels, les entreprises n’ont souvent qu’un accès limité, voire inexistant, aux données d’interaction, et peinent à déterminer comment les informations sont utilisées ou stockées.

Risques liés à la conservation des données

Le shadow IT introduit des risques liés au stockage non autorisé de certaines données, les données sensibles pouvant se retrouver en dehors des systèmes approuvés, à des emplacements identifiables. Le shadow AI introduit un autre type de risque. Sur les plateformes d’IA grand public, les données saisies dans les invites peuvent être utilisées par défaut pour entraîner de futurs modèles d’IA, bien que la plupart des plateformes destinées aux entreprises désactivent cette fonctionnalité. Le risque est maximal lorsque les employés utilisent des comptes personnels sur des outils grand public, contournant ainsi les mesures de protection des données offertes par les licences d’entreprise.

Comment détecter et gérer le shadow AI

Étant donné que le shadow AI expose des données sensibles de manière difficile à détecter, les entreprises doivent adopter une approche proactive pour en assurer la gestion. Les outils traditionnels utilisés pour gérer le shadow IT ne traitent pas les mêmes risques que ceux liés au fait que les employés saisissent des données sensibles sur des plateformes d’IA ou accordent à l’IA l’accès à des systèmes internes. Ainsi, de nombreuses entreprises s’empressent d’interdire purement et simplement les outils d’IA. Mais cette approche se retourne souvent contre elles, car elle pousse les employés à se tourner vers des outils non approuvés sans que l’entreprise n’en ait connaissance. Les entreprises doivent se concentrer sur la gouvernance en prenant les mesures suivantes :

• Élaborer une politique d’utilisation acceptable de l’IA : établissez des directives claires définissant les outils d’IA approuvés, les données pouvant être partagées et les conséquences d’une utilisation abusive.
• Constituer un catalogue interne d’applications d’IA : fournissez aux employés une liste d’outils d’IA validés qu’ils peuvent utiliser afin qu’ils ne se tournent pas vers des alternatives non approuvées et potentiellement risquées.
• Déployer des solutions d’IA d’entreprise : les solutions d’IA d’entreprise offrent un meilleur contrôle sur le traitement et le stockage des données par rapport aux outils d’IA grand public.
• Réaliser régulièrement des audits de conformité en matière d’IA : surveillez quels outils d’IA sont utilisés et identifiez les risques de sécurité émergents.
• Former les employés à l’utilisation de l’IA : une formation continue permet de sensibiliser le personnel à des aspects que la simple lecture d’une politique ne suffit pas à faire comprendre. Les programmes de formation actifs permettent aux employés de comprendre comment utiliser l’IA en toute sécurité.

Maîtriser le shadow AI

Le shadow AI se propage rapidement, opère par des canaux difficiles à surveiller et introduit des risques que les outils de sécurité traditionnels ne sont pas conçus pour détecter. Pour le gérer efficacement, il convient de disposer d’une visibilité sur chaque identité (humaine ou machine) qui interagit avec les systèmes d’IA et les données auxquelles ils accèdent. À mesure que les agents d’IA s’intègrent aux workflows des entreprises, les identités machine sur lesquelles ils s’appuient (à savoir les clés API, les jetons de compte de service et les secrets d’infrastructure) doivent faire l’objet d’une gouvernance identique à celle des comptes d’utilisateurs humains. Un agent d’IA doté d’autorisations excessives et dépourvu de piste d’audit représente le plus haut degré de risque en matière de shadow AI.

Une solution de gestion des accès privilégiés (PAM) de type zero-trust telle que Keeper^® donne aux entreprises une visibilité et un contrôle centralisés sur les utilisateurs, les systèmes et les identités. Que les risques proviennent d’applications non autorisées ou d’une utilisation non approuvée de l’IA, Keeper garantit que tous les accès sont étroitement surveillés et sécurisés.

Commencez votre essai gratuit de KeeperPAM dès maintenant pour gérer toutes les identités de votre environnement comme il se doit.