À mesure que les outils d'IA deviennent plus accessibles, les employés les adoptent sans approbation formelle des équipes informatiques et de sécurité. Bien que ces outils puissent améliorer la productivité, automatiser des tâches ou combler des lacunes dans les flux de travail existants, ils opèrent également en dehors de la visibilité des équipes de sécurité, contournant les contrôles et créant de nouveaux angles morts dans ce que l'on appelle l'IA fantôme. Bien que similaire au phénomène de l'IT fantôme, l'IA fantôme va au-delà des logiciels non approuvés en impliquant des systèmes qui traitent, génèrent et potentiellement conservent des données sensibles. Il en résulte une catégorie de risques que la plupart des organisations ne sont pas encore équipées pour gérer : exposition incontrôlée des données, surfaces d'attaque étendues et sécurité des identités affaiblie. ## Pourquoi l'IA fantôme se propage-t-elle si rapidement ? L'IA fantôme se propage rapidement au sein des organisations car elle est facile à adopter et instantanément utile, tout en étant largement non réglementée. Contrairement aux logiciels d'entreprise traditionnels, la plupart des outils d'IA nécessitent peu ou pas de configuration, permettant aux employés de commencer à les utiliser immédiatement. Selon une enquête **Salesforce** de 2024, 55 % des employés ont déclaré utiliser des outils d'IA qui n'avaient pas été approuvés par leur organisation. Étant donné que de nombreuses organisations manquent de politiques claires sur l'utilisation de l'IA, les employés doivent décider seuls quels outils utiliser et comment les utiliser, souvent sans comprendre les implications en matière de sécurité. Les employés peuvent utiliser des outils d'IA générative comme **ChatGPT** ou **Claude** dans leurs flux de travail quotidiens, et bien que cela puisse améliorer la productivité, cela peut entraîner le partage de données sensibles en externe sans supervision. Que le fournisseur d'IA utilise ou non ces données pour l'entraînement de modèles dépend de la plateforme et du type de compte, mais dans les deux cas, les données ont quitté la frontière de sécurité de l'organisation. Au niveau départemental, l'IA fantôme peut apparaître lorsque des équipes intègrent des API d'IA ou des modèles tiers dans des applications sans examen de sécurité formel. Ces intégrations peuvent exposer des données internes et introduire de nouveaux vecteurs d'attaque que les équipes de sécurité ne peuvent ni voir ni contrôler. Plutôt que d'essayer d'éliminer complètement l'IA fantôme, les organisations doivent gérer activement les risques qu'elle crée. ## Comment l'IA fantôme pose un problème de sécurité L'IA fantôme est souvent présentée comme un problème de gouvernance, mais c'est avant tout un problème de sécurité. Contrairement à l'IT fantôme traditionnelle, où les employés adoptent des logiciels non approuvés, l'IA fantôme implique des systèmes qui traitent et stockent activement des données au-delà de la portée des équipes de sécurité, transformant l'utilisation non autorisée de l'IA en un risque plus large d'exposition des données et d'utilisation abusive des accès. ### L'IA fantôme peut entraîner des fuites de données intraçables Les employés peuvent partager des données clients, des informations financières ou des documents commerciaux internes avec des outils d'IA pour accomplir des tâches plus efficacement. Les développeurs qui déboguent du code peuvent involontairement coller des scripts contenant des clés API codées en dur, des identifiants de base de données ou des jetons d'accès, exposant ainsi des identifiants sensibles sans s'en rendre compte. Une fois que les données atteignent une plateforme d'IA tierce, les organisations perdent la visibilité sur la manière dont elles sont stockées ou utilisées. Par conséquent, les données peuvent quitter une organisation sans piste d'audit, rendant difficile, voire impossible, de retracer ou de contenir une violation. Conformément au **RGPD** et au **HIPAA**, ce type de transfert de données incontrôlé peut constituer une violation signalable. ### L'IA fantôme étend rapidement la surface d'attaque Chaque outil d'IA crée un nouveau vecteur d'attaque potentiel pour les cybercriminels. Lorsque des outils non approuvés sont adoptés sans supervision, ils peuvent inclure des API ou des plugins non vérifiés qui sont peu sûrs ou malveillants. Les employés accédant à des plateformes d'IA via des comptes ou des appareils personnels placent cette activité entièrement en dehors des contrôles de sécurité de l'organisation, et la surveillance réseau traditionnelle ne peut pas la voir. À mesure que les organisations commencent à déployer des agents d'IA qui fonctionnent de manière autonome dans les flux de travail, le risque devient encore plus grave. Ces systèmes interagissent avec plusieurs applications et plateformes, créant des chemins complexes et largement cachés que les cybercriminels peuvent exploiter. ### L'IA fantôme contourne les contrôles de sécurité traditionnels Les contrôles de sécurité traditionnels n'ont pas été conçus pour gérer l'utilisation actuelle de l'IA. La plupart des plateformes d'IA fonctionnent sur HTTPS, ce qui signifie que les règles de pare-feu standard et la surveillance réseau ne peuvent pas inspecter le contenu de ces interactions sans inspection SSL en place – un contrôle que de nombreuses organisations n'ont pas déployé. Les interfaces d'IA conversationnelles ne se comportent pas non plus comme des applications traditionnelles, ce qui rend plus difficile pour les outils de sécurité de surveiller ou d'enregistrer l'activité. Pour cette raison, les données peuvent être partagées avec des systèmes d'IA externes sans déclencher d'alertes. ### L'IA fantôme a un impact sur la sécurité des identités L'IA fantôme introduit de sérieux défis en matière de gestion des identités et des accès (**IAM**). Par exemple, les employés peuvent créer plusieurs comptes sur différentes plateformes d'IA, ce qui entraîne des identités fragmentées et non gérées. Les développeurs peuvent même connecter des outils d'IA à des systèmes à l'aide de comptes de service, créant ainsi des [Identités Non Humaines](https://www.keepersecurity.com/blog/2026/03/23/how-to-manage-identity-sprawl-in-the-age-of-ai-agents-and-nhis/) (NHI) sans supervision adéquate. Si les organisations manquent de gouvernance centralisée, ces identités peuvent être mal surveillées et difficiles à gérer tout au long de leur cycle de vie, augmentant le risque d'accès non autorisé et d'exposition à long terme. ## Comment les organisations peuvent réduire le risque d'IA fantôme Alors que l'IA s'intègre de plus en plus dans les flux de travail quotidiens, les organisations doivent viser à réduire les risques tout en permettant une utilisation sûre et productive. Cela nécessite que les équipes de sécurité passent du blocage total des outils d'IA à la gestion de la manière dont ils sont utilisés sur le lieu de travail, en mettant l'accent sur la visibilité et le comportement des utilisateurs. Les organisations peuvent réduire le risque d'IA fantôme en suivant ces étapes : * **Établir des politiques claires d'utilisation de l'IA :** Définir quels outils d'IA sont autorisés et quelles données peuvent être partagées. Les politiques de sécurité doivent être faciles à suivre et intuitives, car des règles trop restrictives ne feront que pousser les employés à utiliser des outils non approuvés. * **Fournir des alternatives d'IA approuvées :** Lorsque les employés n'ont pas accès à des outils utiles, ils sont plus susceptibles de trouver les leurs. Offrir des solutions d'IA approuvées et sécurisées qui répondent aux normes organisationnelles réduit le besoin d'IA fantôme. * **Améliorer la visibilité sur les modèles d'utilisation de l'IA :** Bien qu'une visibilité complète ne soit pas toujours possible, les organisations devraient surveiller le trafic réseau, les accès privilégiés et l'activité des API pour mieux comprendre comment les employés utilisent l'IA. * **Éduquer les employés sur les risques de sécurité liés à l'IA :** De nombreux employés se concentrent uniquement sur les avantages en matière de productivité des outils d'IA plutôt que sur les risques de sécurité. La formation à l'utilisation sécurisée de l'IA et à la manipulation des données peut réduire considérablement l'exposition involontaire. ## Avantages d'une gestion efficace de l'IA fantôme Les organisations qui gèrent proactivement l'IA fantôme gagneront un meilleur contrôle sur la manière dont l'IA est utilisée dans leurs environnements. Une gestion efficace de l'IA fantôme offre plusieurs avantages, notamment : * Visibilité complète sur les outils d'IA en cours d'utilisation et les données auxquelles ils accèdent * Réduction de l'exposition réglementaire en vertu de cadres tels que le RGPD, le HIPAA et l'**EU AI Act** * Adoption plus rapide et plus sûre de l'IA avec des outils vérifiés et des directives approfondies * Adoption plus élevée des outils d'IA approuvés, réduisant la dépendance à l'égard d'alternatives peu sûres ## La sécurité doit tenir compte de l'IA fantôme L'adoption de l'IA se normalise sur le lieu de travail, et les employés continueront à rechercher des outils qui les aident à travailler plus rapidement. Compte tenu de la facilité d'accès aux outils d'IA et de la lenteur avec laquelle les politiques d'utilisation suivent l'adoption, un certain degré d'IA fantôme dans toute grande organisation est inévitable. Au lieu d'essayer de bloquer complètement les outils d'IA, les organisations devraient se concentrer sur la facilitation de leur utilisation sécurisée en améliorant la visibilité sur l'activité de l'IA et en garantissant que les identités humaines et machine sont correctement gouvernées. [**Keeper®**](https://www.keepersecurity.com/privileged-access-management/) soutient directement cette approche, aidant les organisations à contrôler les accès privilégiés aux systèmes avec lesquels les outils d'IA interagissent, à appliquer le principe du moindre privilège pour toutes les identités, y compris les utilisateurs humains et les agents d'IA, et à maintenir une piste d'audit complète de l'activité sur les infrastructures critiques. À mesure que les agents d'IA deviennent plus répandus dans les flux de travail d'entreprise, la gouvernance des identités et des chemins d'accès dont ils dépendent devient aussi importante que la gouvernance des outils eux-mêmes. *Remarque : Cet article a été rédigé avec soin et contribué à notre public par Ashley D’Andrea, rédactrice de contenu chez **Keeper Security**.*