Cet épisode spécial PME du podcast P-Secure réunit trois invités : Dominique Derrier, Nicolas Milot et Cyndie Fletz. L’ambiance est décontractée, avec quelques taquineries adressées à Dominique, qui avait raté le rendez-vous précédent. L’épisode fait suite à une discussion sur le Shadow IT en général, et se concentre cette fois-ci exclusivement sur le Shadow AI — un sujet qui suscite un intérêt croissant, autant chez les utilisateurs que chez les équipes de sécurité informatique.

D’emblée, les trois participants rappellent qu’ils ne se présentent pas comme des experts absolus : le domaine est si récent et évolue si vite que les opinions exprimées reflètent l’expérience du moment. Ce qui est vrai aujourd’hui pourrait être caduc dans un an.

Pour rappeler les bases, le Shadow IT désigne l’ensemble des outils et logiciels installés ou utilisés par les employés sans que le département informatique en ait connaissance ou contrôle. Le Shadow AI en est la déclinaison moderne : il s’agit de l’utilisation non encadrée d’outils d’intelligence artificielle — comme ChatGPT, Claude (Anthropic), Microsoft Copilot ou d’autres — dans le cadre professionnel, que ce soit via des abonnements personnels, des accès navigateur ou des outils non approuvés par l’entreprise.

L’un des points centraux de la discussion est que le Shadow AI ne peut pas être simplement interdit. Les participants font une analogie parlante : tenter de bloquer l’usage de l’IA dans une entreprise, c’est comme penser qu’un adolescent va vous obéir dès que vous avez le dos tourné. Les employés qui souhaitent utiliser ces outils trouveront toujours un moyen de le faire — via leur téléphone personnel, leur propre abonnement cloud ou leur ordinateur à domicile.

La réalité, c’est que l’IA apporte une réelle valeur ajoutée : productivité accrue, autonomie renforcée, gain de temps sur des tâches répétitives. Nier cela ou l’interdire en bloc, c’est passer à côté d’une opportunité et pousser les employés vers des comportements encore moins contrôlés.

Si les bénéfices sont réels, les risques le sont tout autant. Les intervenants en dressent une liste :

Une question intéressante est soulevée : qui est responsable du Shadow AI dans une entreprise ? La réponse est claire : ce ne peut pas être uniquement le département IT. Celui-ci peut mettre en place des garde-fous techniques, mais les décisions stratégiques — quels outils autoriser, dans quel cadre, avec quelles politiques — doivent venir d’un niveau hiérarchique plus élevé, impliquant la direction et les ressources humaines.

L’IT est un exécutant de mesures de sécurité, pas le seul décideur d’une politique d’usage de l’IA.

Les trois invités convergent vers plusieurs recommandations concrètes :

Dialoguez avec vos employés avant d’écrire des politiques. Comprenez pourquoi ils utilisent ou voudraient utiliser l’IA, ce qu’ils espèrent en tirer, et intégrez-les dans la réflexion.

Fournissez les outils vous-mêmes. Comme pour les gestionnaires de mots de passe, si vous souhaitez que les employés utilisent des outils sécurisés, donnez-leur accès à des licences approuvées. Sinon, ils se débrouilleront avec des alternatives gratuites ou personnelles.

Ne montez pas votre propre LLM. Pour une PME, construire son propre modèle de langage local serait extrêmement coûteux et peu pertinent. Mieux vaut s’appuyer sur des fournisseurs existants, en choisissant ceux dont les pratiques éthiques et de sécurité sont les plus solides.

Adaptez la politique au profil de risque. Une entreprise avec des développeurs techniques aura besoin d’une politique plus stricte qu’une PME de services dont les employés n’utilisent que le volet conversationnel de l’IA. Idem pour les secteurs réglementés comme le droit, où l’IA est utile pour la recherche générale mais ne doit jamais recevoir de données personnelles de clients.

Éduquez et sensibilisez. Rappelez aux employés que l’IA n’est pas magique : elle se trompe, elle ne remplace pas l’expertise humaine, et elle doit être supervisée. L’image du stagiaire est utilisée : capable de beaucoup de choses, mais qui a besoin d’être bien briefé, encadré et vérifié.

L’épisode se termine sur un message d’équilibre : ni interdire, ni laisser faire sans garde-fous. L’IA est là, elle est utile, et les employés l’utiliseront de toute façon. Le rôle des entreprises — et notamment des PME — est d’en faire un usage contrôlé, éduqué et raisonné, en transmettant aux employés les bons réflexes pour minimiser les risques. Un peu comme avec des adolescents : on ne peut pas tout contrôler, mais on peut inculquer des comportements responsables.