Il y a quelques années, on parlait beaucoup de Shadow IT. Des outils installés en douce, des solutions “pratiques”, parfois brillantes, souvent hors radar… et qui finissaient par créer de vrais risques.
Aujourd’hui, le sujet revient. Mais avec un cran au-dessus. Parce que l’outil n’est plus seulement un logiciel : c’est un assistant qui écrit, résume, conseille, code, reformule… et qui, parfois, apprend ce qu’on lui confie. C’est ce que j’appelle la Shadow IA : une IA utilisée au quotidien, avec de bonnes intentions, mais sans cadre, sans traçabilité, sans filet.
Soyons honnêtes : je comprends parfaitement pourquoi elle s’installe. Les équipes veulent aller vite. Elles veulent gagner du temps, clarifier un mail, accélérer une note, préparer un support, défricher une idée. C’est humain, et c’est même souvent un signe de dynamisme. Le problème commence quand le geste devient automatique : copier-coller un extrait de contrat “juste pour résumer”, coller un incident “juste pour comprendre”, envoyer un bout de code “juste pour corriger”. En quelques secondes, ce qui était un petit service rendu peut devenir une fuite de données, un écart de conformité, ou une exposition inutile.
Le risque n’est pas théorique. Il est discret, diffus, presque invisible. Et c’est justement ce qui le rend dangereux : il se loge dans les usages, pas dans les intentions. Une extension navigateur non validée, un compte personnel, un modèle dont on ignore où passent les données, une absence de DLP, un manque de règles simples… et l’entreprise se retrouve à payer, plus tard, le prix d’un confort immédiat.
Pour autant, je suis convaincu qu’on se trompe de combat si l’on cherche à “interdire l’IA”. L’interdiction crée du contournement. Et le contournement crée de la Shadow IA. La bonne réponse, c’est celle qu’on connaît déjà dans l’IT : mettre de la méthode là où il y a de l’énergie. Autrement dit : reconnaître l’usage, l’accompagner, l’industrialiser. Offrir un chemin sûr plutôt que laisser chacun bricoler dans son coin.
Cela passe par un cadre très concret : des outils autorisés, des règles simples sur la donnée, de la formation courte mais efficace, une gouvernance claire, et surtout de la transparence. Et puis, à un moment, une question qui revient de plus en plus vite sur la table : celle de la souveraineté. Où sont traitées les données ? Sous quelle juridiction ? Avec quelles garanties ? Avec quelles traces ? Ce n’est pas une posture. C’est une exigence opérationnelle, et parfois même contractuelle.
Chez Tenexa, c’est exactement le sens de nos travaux : avancer vers une IA utilisable en entreprise sans perdre le contrôle. Avec une approche “hyper souveraine”, une trajectoire cloud Horizon en cours vers SecNumCloud (jalon J0), des collaborations comme celle menée avec Delos, et Tenex-IA pour mettre l’IA au service des équipes tout en gardant la maîtrise des flux, des accès et des données. Pas comme un argument commercial : comme une réponse d’ingénieur à un sujet de dirigeant.
Par Stéphane CLEMENT Président TENEXA – Infodis & Prolival
