Depuis plusieurs années, les entreprises tentent de reprendre la main sur les usages numériques internes. Elles ont appris à gérer le Shadow IT, ces applications installées ou achetées sans validation, qui créaient un parc logiciel incontrôlable. Mais un phénomène beaucoup plus profond s’installe aujourd’hui : le Shadow AI. Une utilisation massive, non supervisée et souvent invisible de l’intelligence artificielle par les employés, par les logiciels déjà présents dans l’entreprise et désormais par des agents autonomes capables d’agir sans contrôle humain.
Ce basculement n’est pas anecdotique. Il redéfinit totalement la façon dont les entreprises doivent penser la sécurité, la conformité et la gouvernance de leurs systèmes d’information.
Une nouvelle réalité : l’IA agissante, pas seulement l’IA parlante
Le premier niveau du Shadow AI est déjà bien installé. Il concerne les collaborateurs qui utilisent ChatGPT, Claude, Gemini, Perplexity ou des outils d’enregistrement et de transcription comme Fireflies pour gagner du temps. Ce sont des mails copiés dans un chatbot externe, des notes de réunion envoyées dans un service cloud, des données sensibles soumises à un assistant sans vérification.
Un deuxième niveau, plus discret, s’est infiltré dans le quotidien des entreprises : l’IA intégrée dans les logiciels qu’elles utilisent déjà. CRM, outils de support, plateformes RH ou solutions collaboratives embarquent désormais des fonctions génératives activées par défaut. Dans beaucoup de cas, personne ne sait quelles données sont envoyées, comment elles sont traitées ni où elles sont stockées.
Mais la rupture véritable, celle qui bouleverse l’équilibre des risques, vient d’un troisième niveau : l’IA agentique. Un agent n’est plus un simple outil conversationnel. C’est une entité capable d’enchaîner plusieurs actions, de se connecter à des systèmes internes grâce à des protocoles comme MCP, d’exécuter des workflows complets, de lire et modifier des données, et parfois de prendre des décisions opérationnelles. Le tout dans un environnement où l’entreprise n’a souvent ni visibilité ni contrôle.
Pourquoi les agents autonomes changent totalement la donne
L’IA agentique introduit une idée nouvelle : une machine qui ne se contente plus de répondre, mais qui agit.
Ces agents peuvent, par exemple :
• lire une boîte mail et classer les messages
• exporter des rapports internes
• modifier des fiches dans un CRM
• initier des conversations avec des clients
• déclencher des opérations automatiques dans des outils internes
Un salarié motivé peut créer en quelques heures un agent qui manipule des données sensibles et interagit avec les systèmes de l’entreprise. Sans supervision, sans gouvernance, sans audit.
Pour les directions informatiques, c’est un cauchemar silencieux. Car ces agents introduisent des risques nouveaux, plus difficiles à détecter que ceux du Shadow IT traditionnel.
Les risques : concrets, immédiats et souvent invisibles
1. Perte de contrôle des accès
Les agents obtiennent parfois des permissions trop larges. S’il n’y a pas de vérification en temps réel, ils peuvent exécuter des actions non autorisées, accéder à des données confidentielles ou lancer des workflows coûteux.
2. Absence de visibilité sur les actions
La majorité des entreprises ne peut pas répondre à une question simple :
Qui a fait quoi, quand, comment et avec quelles données ?
Sans observabilité unifiée, impossible de détecter une fuite, une boucle infinie ou une extraction massive non désirée.
3. Multiplication des points d’entrée
Chaque serveur ou connecteur qui permet à un agent d’agir devient un point de vulnérabilité. Si l’un d’eux est compromis ou mal configuré, toute une chaîne de systèmes peut être exposée.
4. Risques opérationnels sérieux
Un agent peut :
• supprimer accidentellement des données
• envoyer des messages incorrects à des clients
• saturer un outil interne
• modifier des informations critiques
• déclencher des actions en boucle
Ces erreurs peuvent être rapides, répétitives et difficiles à stopper en l’absence de mécanismes de blocage.
5. Non-conformité réglementaire
La plupart des agents n’intègrent pas nativement :
• l’anonymisation
• les règles RGPD
• le filtrage des données personnelles
• la journalisation pour audit
Une manipulation inappropriée de données personnelles peut entraîner des sanctions lourdes. Et sans logs fiables, impossible de prouver la conformité ou de reconstituer un incident.
La nécessité d’une gouvernance technique nouvelle génération
Pour répondre à cette nouvelle classe de risques, les entreprises commencent à mettre en place une couche de contrôle entre les agents et les systèmes internes. Une sorte de poste-frontière numérique qui :
• inspecte chaque action et vérifie qu’elle est autorisée
• bloque automatiquement toute opération hors périmètre
• unifie la visibilité sur l’ensemble des agents et des serveurs
• détecte les comportements anormaux
• impose des modèles sécurisés pour développer des agents internes
• journalise toutes les opérations pour audit
• applique des règles éthiques et réglementaires toutes intégrées
Certaines organisations vont plus loin en ajoutant des sandbox pour tester les actions sensibles, ou des doubles validations pour les opérations critiques.
Nous changeons de monde : l’IA n’assiste plus, elle agit
Le Shadow AI n’est pas un phénomène marginal. Il est structurel. Les collaborateurs l’utilisent spontanément, les logiciels l’intègrent silencieusement, et les agents autonomes étendent chaque semaine leurs capacités d’action. L’enjeu n’est plus de savoir si les entreprises doivent adopter l’intelligence artificielle. Elles le font déjà, parfois malgré elles. L’enjeu est de garder le contrôle. Car dans ce nouveau monde, le danger ne vient pas de l’IA elle-même. Le danger vient de ce qu’elle peut faire quand personne ne la surveille.
Tanguy Duthion CEO Avanoo
