Dans la première partie, nous avons montré que la shadow AI est déjà largement installée dans les organisations, souvent sans cadre ni visibilité pour la DSI, et qu’elle expose directement les entreprises à des risques de fuite de données sensibles.
Mais face à ce phénomène, les réponses les plus intuitives, comme l’interdiction pure et simple de ces outils, se révèlent inefficaces.
« La question n’est donc plus de savoir s’il faut autoriser ou non l’IA, mais comment en reprendre le contrôle.»
C’est là tout l’enjeu des DSI aujourd’hui : transformer l’utilisation de l’IA en un levier de performance maîtrisé et sécurisé.
Un problème de gouvernance des données
Le problème est avant tout un problème de gouvernance des données. Dès qu’une information interne est transmise à une IA publique, plusieurs questions critiques apparaissent :
- Où les données sont-elles stockées ?
- Dans quelle juridiction sont-elles traitées ?
- Qui peut y accéder et combien de temps sont-elles conservées ?
Dans la plupart des organisations, la DSI ne dispose pas de ces réponses. Ces pratiques entrent en tension avec les obligations du RGPD, qui impose une maîtrise des flux de données personnelles et une transparence sur les traitements. Avec l’entrée en vigueur progressive du AI Act, la pression réglementaire va encore s’accentuer.
Interdire l’IA ne fonctionne pas
Face à ces risques, certaines entreprises ont tenté une réponse radicale : interdire les outils d’IA générative. C’est une erreur. Dans la pratique, ces interdictions ne fonctionnent pas : les collaborateurs contournent les restrictions en utilisant leur smartphone, leurs comptes personnels ou des outils non filtrés par l’infrastructure de l’entreprise. Les retours terrain montrent que ces blocages ont simplement déplacé les usages hors du périmètre visible de la DSI, rendant la shadow AI encore plus difficile à contrôler.
Le rôle stratégique de la DSI : industrialiser l’IA
La seule réponse crédible consiste à donner aux DSI les moyens de reprendre la main. Les entreprises les plus avancées ont compris que l’enjeu n’était pas de bloquer l’IA, mais de l’industrialiser.
Elles déploient désormais des plateformes d’IA gouvernées, comme SafeBrain, capables de contrôler les accès aux modèles, filtrer les données sensibles, journaliser les interactions et tracer les usages.
Ces plateformes permettent d’intégrer l’IA directement dans le système d’information en la connectant aux bases documentaires internes, aux applications métiers et aux référentiels de données tout en encadrant et en sécurisant l’utilisation de l’IA grâce à :
- Un hébergement souverain des données
- Un contrôle et filtrage des informations envoyées aux modèles
- L’orchestration de plusieurs LLMs selon les usages
«Dans ce modèle, la DSI ne se contente plus de sécuriser l’infrastructure : elle devient l’architecte de l’IA dans l’entreprise.»
Le déploiement de ces environnements, associé à des programmes de conduite du changement, permet également d’élargir l’usage de l’IA à l’ensemble des collaborateurs… et pas seulement à ceux qui se seraient offert un abonnement personnel à Claude Code !
Dans plusieurs organisations, nous constatons d’ailleurs qu’entre 20 et 30 % des collaborateurs n’ont toujours pas adopté l’IA, souvent par manque de confiance vis-à-vis de la gestion des données.
La shadow AI est un signal fort sur lequel capitaliser
Au fond, la shadow AI n’est pas seulement un risque : elle est aussi un révélateur. Elle montre que les collaborateurs ont déjà identifié le potentiel de productivité de l’IA générative. La shadow AI est déjà dans les organisations. La question n’est plus de l’empêcher, mais de la transformer en un avantage compétitif sécurisé, piloté par la DSI et mis au service de la performance des métiers. C’est précisément l’objectif de plateformes comme SafeBrain : garder la maîtrise de leurs données les plus sensibles, sans renoncer à la puissance de l’IA générative.
Nicolas Jacquey, Chief Revenue Officer chez SafeBrain
