En entreprise, l’intelligence artificielle s’impose à grande vitesse, mais pas toujours dans un cadre maîtrisé. Le phénomène du Shadow AI – l’utilisation d’outils d’IA non validés par l’organisation – gagne du terrain et inquiète. Selon l’édition 2025 du rapport « Cost of a Data Breach », cette pratique accroît sensiblement le coût des violations de données en France. Analyse.
Par Shadow AI, on entend l’usage par les salariés d’outils d’intelligence artificielle (chatbots, générateurs de code ou de contenus, solutions cloud externes) sans validation de la DSI ni intégration dans les processus de sécurité. Autrement dit, une IA qui opère en marge des politiques officielles. Problème : cette pratique expose les entreprises à des risques de fuite de données sensibles ou de non-conformité réglementaire.
En France, le rapport 2025, que vient de publier IBM, montre que le Shadow AI alourdit en moyenne de 321 900 € le coût d’une violation de données. À l’échelle nationale, le coût moyen d’un incident de sécurité s’élève désormais à 3,59 millions d’euros, malgré une légère baisse par rapport à 2024.
Les entreprises françaises face à l’IA
65 % des organisations (entreprises, institutions) étudiées déploient aujourd’hui l’IA et l’automatisation pour renforcer leur cybersécurité. Celles qui en tirent parti de manière structurée s’en sortent bien mieux : elles détectent et contiennent un incident 88 jours plus rapidement et réduisent le coût global de plus d’1,39 million d’euros. Ça, c’est pour la « bonne » nouvelle.
Mais l’étude révèle aussi un retard inquiétant : 53 % des entreprises n’ont pas encore mis en place de politiques de gouvernance pour encadrer l’usage de l’IA. Là où elles existent, elles reposent surtout sur des processus d’approbation stricts et quelques outils de gouvernance. Autant dire que l’écosystème reste fragile.
Face au Shadow AI, la transparence et l’auditabilité deviennent des atouts majeurs. Les solutions ouvertes – qu’il s’agisse de modèles de langage auto-hébergés, de frameworks MLOps ou d’outils de gouvernance – permettent aux entreprises d’intégrer l’IA dans leurs propres infrastructures, de maîtriser leurs données et d’assurer la traçabilité.
Une gouvernance indispensable
En moyenne, il faut encore 213 jours pour identifier une violation et 71 jours pour la contenir. Le Shadow AI ne fait qu’allonger ce cycle de vie, en multipliant les angles morts dans les systèmes d’information. L’étude d’IBM rappelle que seule une gouvernance claire – combinée à l’automatisation, aux contrôles d’accès et aux audits réguliers – permettra de contenir le risque.
