Le shadow AI n’est plus un phénomène marginal. Ce que l’on désignait il y a encore deux ans comme l’usage clandestin de ChatGPT par quelques salariés isolés est devenu, début 2026, un sujet de gouvernance à part entière pour les directions des grandes organisations. La variété des formes qu’il prend aujourd’hui, du recours personnel à des interfaces grand public jusqu’à l’intégration non contrôlée de serveurs MCP dans les workflows d’entreprise, rend la riposte d’autant plus complexe qu’elle ne peut être purement technique.
Le cas Samsung, qui avait défrayé la chronique en 2023 après qu’un salarié eut transmis des éléments de stratégie à ChatGPT, reste la référence collective. Il illustre ce que redoutent les DSI : non pas la malveillance, mais l’imprudence à grande échelle. Car si le blocage d’URL au niveau du pare-feu fut la première réponse instinctive, les CDO et directeurs innovation de grandes entreprises comme LCL ou Orange Business le reconnaissent volontiers : tant que les collaborateurs disposent de leur propre téléphone, aucune barrière technique n’est absolue. La vraie réponse passe par la sensibilisation, par la fourniture d’alternatives efficaces, et par la construction d’un climat de confiance dans lequel l’aveu d’usage ne soit pas perçu comme une faute.
L’émergence du protocole MCP, standardisé par Anthropic fin 2024, a considérablement élargi le périmètre du problème. Chaque modèle déployé en entreprise introduit désormais deux ou trois composants supplémentaires, souvent issus de packages externes difficiles à auditer. Les risques d’injection de prompt, d’empoisonnement de la mémoire des modèles ou d’usurpation de serveurs ne sont plus théoriques. La surface d’attaque s’est diversifiée au point que de nouvelles catégories de solutions émergent, prolongeant des disciplines établies comme le CASB, la gestion du SaaS ou la surveillance de l’exécution locale des LLM.
C’est dans ce contexte que la réponse organisationnelle devient aussi importante que la réponse technique. Stéphane Roder, CEO du cabinet de conseil en stratégie Data & IA AI Builders, insiste sur la nécessité d’associer formation et certification : « Il faut un niveau minimum, sinon ce sera du temps passé à vérifier par après. » Un diagnostic qui rejoint celui du Cigref : cartographier les usages, les comprendre, les orienter, plutôt que les réprimer. Le BYOK, les clauses contractuelles avec les fournisseurs, les certifications internes constituent autant de leviers complémentaires pour trouver ce que certains appellent une « décentralisation gouvernée ».
Ce que ce phénomène révèle, et comment AI Builders accompagne ses clients
Ce constat est au cœur de notre démarche de Schéma Directeur Data & IA, mission de conseil de 6 à 14 semaines qui permet aux organisations de cartographier l’ensemble de leurs gisements de valeur IA, d’évaluer et prioriser les cas d’usage, et de dimensionner précisément les ressources humaines, techniques et financières nécessaires. Face à un phénomène comme le shadow AI, qui prospère précisément là où la gouvernance est absente ou floue, la feuille de route que produit cette mission remplit un rôle stratégique : elle transforme un territoire opaque en périmètre maîtrisé, avec des cas d’usage validés, des responsabilités attribuées et un budget opposable en COMEX.
Pour les DG, CDO et Directions de la Transformation qui souhaitent reprendre la main sur leurs usages IA réels, l’approche peut combiner trois angles selon la maturité de l’organisation : une vision Top Down pour poser le cap stratégique, une approche Bottom Up ancrée dans les réalités terrain, et une lecture par les processus pour identifier les points de friction et d’opportunité. Le résultat est une feuille de route IA budgétisée, jalonnée et actionnable en COMEX, produite avec un gain de un à deux mois par rapport à une approche séquentielle classique.
Le shadow AI n’est pas un problème de comportement individuel. C’est le symptôme d’un vide de gouvernance que les organisations les plus avancées ont désormais choisi de combler par la méthode, la formation et une vision IA structurée à l’échelle de l’entreprise.
Retrouvez l’article entier rédigé par La rédaction dans le Silicon :
https://www.silicon.fr/data-ia-1372/shadow-ai-cyber-226131
