Lorsqu'un employé installe un assistant d'écriture IA, connecte un copilote de codage à son IDE, ou commence à résumer des réunions avec un nouvel outil de navigateur, il fait exactement ce qu'un employé productif devrait faire : trouver des moyens plus rapides de travailler. Dans la plupart des organisations aujourd'hui, les employés utilisent trois à cinq outils d'IA chaque jour. La plupart n'ont jamais été examinés par l'informatique. Une part importante se connecte aux données de l'entreprise via des jetons OAuth ou des sessions de navigateur, leur donnant accès à des lecteurs partagés, des e-mails et des documents internes que l'employé n'avait jamais l'intention d'exposer spécifiquement. Les équipes de sécurité n'ont souvent aucune visibilité sur tout cela. C'est le fossé de l'IA fantôme, et il s'élargit rapidement. La plupart des outils de sécurité ont été conçus pour surveiller le trafic e-mail et réseau transitant par le réseau de l'entreprise. Un outil d'IA basé sur un navigateur qui se connecte aux données de l'entreprise via une approbation de connexion rapide contourne entièrement ces contrôles, car il ne transite pas du tout par le réseau de l'entreprise. Selon les recherches d'**Adaptive Security**, 80 % des employés utilisent actuellement des applications d'IA générative non approuvées au travail, et seulement 12 % des entreprises disposent d'une politique formelle de gouvernance de l'IA. Il en résulte une déconnexion croissante entre la façon dont les employés travaillent et ce que les équipes de sécurité peuvent voir. Un programme qui canalise l'adoption de l'IA vers un chemin sûr, visible et approuvé donne aux équipes de sécurité la visibilité dont elles ont besoin et aux employés les outils qu'ils désirent. Les cinq étapes ci-dessous montrent exactement comment en construire un. ## Étape 1 : Dresser un tableau complet de ce qui fonctionne Un programme de sécurité ne peut gérer que ce qu'il peut voir. La première étape consiste à découvrir quels outils d'IA sont utilisés dans l'organisation, et la plupart des équipes de sécurité trouveront la réponse surprenante. Trois domaines représentent la majorité de l'activité de l'IA fantôme. * **Connexions OAuth.** La plupart des outils d'IA demandent l'accès à **Google Workspace** ou **Microsoft 365** via OAuth, ce qui leur accorde des autorisations de lecture ou d'écriture sur les données de l'entreprise. Un audit trimestriel des applications tierces connectées, trié par portée des autorisations, révèle généralement des dizaines d'outils que l'équipe de sécurité n'a jamais examinés. * **Extensions de navigateur.** De nombreux outils d'IA s'exécutent en tant qu'extensions de navigateur et ne touchent jamais le système d'exploitation, de sorte que les outils de gestion des points de terminaison traditionnels les manquent entièrement. Une solution de gestion de navigateur ou un agent léger installé sur les appareils des employés peut scanner et identifier les extensions actives dans l'organisation. * **Fonctionnalités d'IA intégrées dans des outils déjà approuvés.** **Microsoft Copilot**, **Google Gemini**, et **Salesforce Einstein** sont des exemples de capacités d'IA qui peuvent avoir été introduites après l'examen initial du fournisseur, souvent sans évaluation de sécurité distincte. Une simple enquête auprès des employés vaut également la peine d'être menée. Une enquête axée sur l'aide aux employés pour travailler en toute sécurité a tendance à obtenir des réponses franches. De nombreux outils fantômes apparaissent grâce à des enquêtes que la découverte automatisée manque entièrement. L'objectif de cette étape est un inventaire actuel et précis : chaque outil d'IA utilisé, qui l'utilise et quelles données il a accès. ## Étape 2 : Rédiger une politique qui fonctionne avec les employés La plupart des politiques d'utilisation acceptable de l'IA stagnent pour la même raison : elles donnent aux employés une liste d'outils interdits sans aucune indication sur ce à quoi ressemble le chemin approuvé. Une politique conçue comme un guide pratique, qui identifie les outils approuvés et fournit un processus clair pour demander de nouveaux outils, est la base dont les employés ont besoin pour prendre de bonnes décisions. Une politique de gouvernance de l'IA efficace couvre cinq points. * Une liste à jour des outils approuvés et où les trouver. * Des règles claires de classification des données spécifiant quelles catégories de données, y compris les enregistrements clients, le code source et les informations financières, ne doivent jamais être saisies dans un outil d'IA. * Un statut de désinscription vérifié pour la formation des données pour chaque outil approuvé. De nombreux outils d'IA utilisent les entrées de l'entreprise pour améliorer leurs modèles par défaut, à moins que les paramètres d'entreprise ne soient explicitement configurés différemment. L'approbation doit exiger une désinscription confirmée pour tout outil manipulant des données sensibles. * Un processus défini pour demander de nouveaux outils, avec un délai de traitement cible. * Une explication en langage clair des raisons d'être de ces directives. Ce dernier élément est plus important qu'il n'y paraît. Les employés qui comprennent pourquoi les connexions OAuth comportent un risque d'exposition des données appliquent ce raisonnement à chaque décision d'outil qu'ils prennent. La politique devient une forme d'éducation lorsque le raisonnement est inclus. ## Étape 3 : Créer une voie rapide pour les demandes de nouveaux outils L'IA fantôme se développe le plus rapidement dans les organisations où le processus d'approbation officiel ne peut pas suivre le rythme des sorties de produits d'IA. Un employé qui a besoin d'un outil aujourd'hui et qui fait face à un examen de sécurité de six semaines trouvera une solution de contournement en quelques jours. L'objectif de cette étape est d'éliminer cette friction. * La plupart des demandes d'outils d'IA ne justifient pas un examen complet des achats. Un formulaire d'admission structuré avec des critères d'évaluation définis suffit pour la majorité des outils à faible risque. * Un formulaire d'admission structuré et un ensemble défini de critères d'évaluation permettent des décisions plus rapides. Pour les outils ayant un accès limité aux données, de nombreuses organisations trouvent qu'un délai plus court est réalisable une fois que les critères d'évaluation sont documentés et appliqués de manière cohérente. * Les critères d'évaluation doivent couvrir la portée de l'accès aux données, les pratiques de sécurité du fournisseur, le statut de désinscription de la formation des données, les certifications de conformité et si l'outil dispose déjà d'un équivalent fonctionnel sur la liste approuvée. Les équipes de sécurité qui publient leur liste d'outils approuvés ouvertement et la maintiennent à jour constatent généralement une réduction significative de l'utilisation de l'IA fantôme. Lorsque les employés savent où trouver les bons outils, ils les utilisent. ## Étape 4 : Utiliser la surveillance comme une couche de sécurité partagée La visibilité continue sur l'utilisation des outils d'IA dans une organisation sert deux groupes simultanément. * Les équipes de sécurité obtiennent l'image en temps réel dont elles ont besoin pour identifier et traiter l'exposition avant qu'elle ne devienne un incident. * Les employés bénéficient d'une forme de protection qu'ils n'ont souvent pas par eux-mêmes : un signal lorsqu'un outil qu'ils utilisent peut mettre leurs identifiants ou les données de l'entreprise en danger. Une approche de surveillance native au navigateur donne aux équipes de sécurité une visibilité sur l'activité de l'IA sans rediriger le trafic web des employés ni ajouter de friction au travail quotidien. Les signaux qu'elle capture alimentent le profil de risque plus large de chaque employé, aux côtés de leurs résultats de simulation de phishing et de leurs données de complétion de formation, en un seul endroit. Cette vue combinée est importante car les comportements risqués se multiplient. Un employé qui clique sur des liens de phishing, ignore la formation et utilise des outils d'IA non approuvés avec accès à des données sensibles présente un risque beaucoup plus élevé que ce qu'un seul comportement indiquerait. Voir l'image complète en un seul endroit aide les équipes de sécurité à se concentrer sur les employés qui ont le plus besoin d'attention. ## Étape 5 : Rendre le bon comportement de sécurité facile Les programmes de sécurité qui rendent le choix sécurisé le choix le plus facile sont ceux que les employés suivent. Dans le contexte de la gouvernance de l'IA, deux éléments sont moteurs : le coaching juste-à-temps et la formation qui explique le raisonnement derrière les règles. Le coaching juste-à-temps délivre une invite brève et contextuelle au moment où un employé tente d'utiliser un outil non autorisé. C'est plus efficace que les modules de formation trimestriels, car l'intervention se produit au moment de la décision. Une invite bien conçue indique à l'employé quelle est la préoccupation, le dirige vers une alternative approuvée et prend moins de trente secondes à lire. La formation qui explique le raisonnement derrière les politiques de gouvernance de l'IA développe le type de jugement que les employés peuvent appliquer à toute situation qu'ils rencontrent, y compris les outils et les menaces qui émergent bien après la formation elle-même. Le paysage des outils d'IA évolue assez rapidement pour qu'aucun programme de formation ne puisse anticiper tous les cas spécifiques. Un employé qui comprend que les connexions OAuth à **Google Workspace** de l'entreprise peuvent exposer l'intégralité du lecteur partagé à un fournisseur tiers appliquera cette compréhension aux outils qui n'existaient pas il y a six mois. ## Construire un programme de sécurité basé sur la façon dont les équipes travaillent L'adoption de l'IA est un signal d'équipes productives qui font bien leur travail. Les entreprises qui construisent des programmes pratiques autour de cet élan, avec des voies claires vers les outils approuvés et une visibilité en temps réel pour les équipes de sécurité, ont tendance à mieux le gérer. Les équipes de sécurité qui comblent ce fossé constatent que l'utilisation de l'IA fantôme diminue organiquement avec le temps. La visibilité native au navigateur, les voies claires vers les outils approuvés et le coaching juste-à-temps au moment du risque rendent cela possible. Lorsque les employés ont accès à des outils efficaces et approuvés et à un chemin rapide et transparent pour faire examiner de nouveaux outils, l'incitation à contourner le système disparaît en grande partie. Le produit AI Governance d'**Adaptive Security** offre aux équipes de sécurité une visibilité en temps réel sur chaque outil d'IA et application fantôme fonctionnant dans leur organisation, avec des politiques automatisées et un coaching employé juste-à-temps intégré.