Combien de shadow AI dans une entreprise typique en 2026 ?

Estimations multiples sources (Gartner 2025, Forrester 2025, Accenture AI in Workplace 2025) : **75-90%** des employés utilisent au moins occasionnellement un outil IA. **30-50%** sans déclaration officielle. **15-30%** ont déjà saisi des PII clients ou données confidentielles dans des prompts non encadrés. Conséquence : la majorité des organisations ont **3-5x plus d'usages IA réels** que ce qu'elles pensent. Les outils les plus shadow : ChatGPT individuel (60-80%), Claude individuel, GitHub Copilot personal, Cursor, Notion AI, Slack AI, Gemini for Workspace activé par défaut. Estimation 2026 : 1 employé sur 5 utilise un outil IA SaaS public **avec données entreprise** au moins 1x/semaine. Le shadow AI est désormais **la surface d'attaque #1** pour la majorité des organisations IA-mature.

Comment détecter le shadow AI ? 8 méthodes complémentaires

Aucune méthode unique ne suffit. Combinaison nécessaire. (1) **Proxy logs / CASB** : connexions vers `api.openai.com`, `api.anthropic.com`, `api.cohere.com`, `api.mistral.ai`, etc. (2) **DLP** : pattern de prompts contenant PII / identifiants internes envoyés à API externes. (3) **Audit factures cloud** : Azure OpenAI, AWS Bedrock, GCP Vertex contractés sans IT. (4) **Audit applications SaaS** : Microsoft 365 admin (Copilot activé), Google Workspace AI features, Notion AI, Slack AI, Zoom AI Companion. (5) **Audit licences** : GitHub Copilot non-Enterprise, ChatGPT Plus payé en CB perso, Claude Pro. (6) **Network analytics** : DNS queries, TLS SNI vers domaines IA. (7) **Sondage employés** anonyme sur usage personnel/professionnel. (8) **Endpoint monitoring** : extensions navigateur IA installées (ChatGPT, Claude, etc.). Chaque méthode capte 10-30% du shadow AI. Combinaison = 70-90% couverture.

Faut-il interdire ChatGPT/Claude personnels en entreprise ?

**Non**, sauf cas extrême. L'interdiction sans alternative crée du contournement (téléphone perso, comptes individuels via VPN, copie-collage discret). Pattern 2024-2025 confirmé : **interdiction = déplacement du risque**, pas suppression. Stratégie recommandée : (1) **Plateforme IA interne** alternative attractive (Azure OpenAI EU + DPA, Mistral, Anthropic Enterprise EU). (2) **Politique d'usage IA** documentée : périmètre autorisé externe (ex : ChatGPT Plus pour brainstorming non-sensible) et interdit (PII clients, données confidentielles dans tout outil non audité). (3) **Formation employés** : conscientisation risques. (4) **Monitoring** : alerter sur usage non encadré. **Cas Samsung 2023** : interdiction ChatGPT a forcé Samsung à investir massivement dans Samsung Gauss (interne). Coût élevé.

Comment classifier le shadow AI découvert ?

Matrice à 2 dimensions : **Sensibilité données traitées** (publique/interne/confidentielle/restreinte) × **Volume usage** (occasionnel/régulier/critique). Cases prioritaires : **Confidentielle/Critique** = action immédiate (suspension + alternative). **Confidentielle/Régulière** = priorité 1 (plan remédiation 30 jours). **Interne/Régulière** = priorité 2 (politique + formation 90 jours). **Publique/Occasionnelle** = OK avec conscientisation. Outils additionnels classification : type d'outil (LLM SaaS, agent autonome, plugin browser, application desktop), domaine fonctionnel (dev, RH, finance, légal), nombre d'utilisateurs concernés. Output : **registre Shadow AI** versionné mis à jour trimestriellement.

Quel est le coût typique d'un programme de reprise en main du shadow AI ?

Variable selon taille. **PME (< 100 employés)** : 50-150k€ première année (audit + plateforme alternative + formation). **ETI (100-2000)** : 150-500k€ (incluant audit annuel + plateforme + monitoring + RACI). **Grande entreprise (> 2000)** : 500k-2M€ (programmes complets + équipes dédiées + outils GRC). À comparer aux risques : sanctions cumulables RGPD + EU AI Act jusqu'à 55M€ ou 11% CA, coût incident type Samsung-class plusieurs millions €. Ratio coût programme / risque évité : 1:50 à 1:500. ROI imbattable. La majorité des organisations 2026 sous-investissent, souvent par méconnaissance de l'ampleur du problème.

Les outils CASB / DLP modernes détectent-ils bien le shadow AI ?

Partiellement bien en 2026. **CASB matures** (Microsoft Defender for Cloud Apps, Netskope, Zscaler, Palo Alto Prisma) ont étendu leurs catalogues IA en 2024-2025 : détection ChatGPT, Claude, Gemini, Copilot, plus de 100 outils IA SaaS. **DLP modernes** (Microsoft Purview, Forcepoint, Symantec/Broadcom) détectent patterns de prompts envoyés à API externes. **Limites** : (1) outils API-direct sans interface SaaS (curl direct OpenAI) plus difficiles. (2) Browser extensions IA + outils desktop (Cursor, etc.) parfois invisibles. (3) Faux positifs sur prompts légitimes. **Recommandation 2026** : combiner CASB + DLP + audit factures + sondages employés. Aucun outil ne couvre 100%, mais combinaison = 80-90% du shadow AI détectable.

LLM Security

Shadow AI : cartographier et reprendre le contrôle

Shadow AI : 8 méthodes de découverte (proxy, CASB, DLP, billing, SaaS audit, sondages), classification, plan de reprise contrôle 6 mois, outils, cas réels 2024-2026.

Naim Aouaichia

15 avril 202620 min de lectureMis à jour le 15 mai 2026

shadow AI
shadow IT
gouvernance
cartographie
LLM security

Le shadow AI est devenu en 2026 la surface d'attaque #1 pour la majorité des organisations. 75-90% des employés utilisent un outil IA. 30-50% sans déclaration officielle. 15-30% saisissent des PII clients ou données confidentielles dans des prompts non encadrés. Selon estimations Gartner / Forrester / Accenture 2025-2026, la majorité des organisations ont 3-5x plus d'usages IA réels que ce qu'elles pensent, fuites quotidiennes via ChatGPT individuel, Copilot non audité, GitHub Copilot avec code propriétaire, Notion AI activé par défaut, Slack AI ingérant conversations confidentielles. Cet article documente les 8 méthodes de découverte complémentaires, la classification du shadow AI découvert, le plan de reprise contrôle 6 mois, les outils opérationnels, les cas réels 2024-2026, et la stratégie qui fonctionne (alternative interne attractive vs interdiction).

Pour le contexte fuites enterprise : fuites de données via LLM en entreprise. Pour le RSSI angle : sécurité IA pour RSSI.

Pourquoi le shadow AI est différent du shadow IT classique

Trois propriétés différencient structurellement le shadow AI du shadow IT classique :

Surface massive : le shadow IT classique = ~10-20 SaaS non-déclarés moyenne ETI. Le shadow AI = potentiellement chaque employé utilisant ChatGPT/Copilot/Cursor avec des données entreprise. Surface 5-10x plus large.
Données potentiellement vues par fournisseur : copier code propriétaire dans ChatGPT individuel = donnée potentiellement utilisée pour training selon CGU. Le shadow IT classique ne pose pas ce risque (données restent dans le SaaS, sans réutilisation tierce).
Outputs contraignants juridiquement : Air Canada 2024 a confirmé jurisprudentiellement que les outputs LLM sont engageants vis-à-vis des clients. Risque légal direct du shadow AI exposé client.

Tip, Pour une organisation 2026 : assumer que vous avez déjà du shadow AI étendu non détecté. L'audit n'est pas "y a-t-il du shadow AI ?" mais "où est-il et que fait-il ?".

Anatomie du shadow AI 2026

Catégories d'outils shadow AI typiques

Catégorie	Outils typiques	Risque
LLM SaaS publics individuels	ChatGPT Plus, Claude Pro, Gemini Advanced	Très élevé (PII en prompts, training data)
API direct via clé personnelle	OpenAI API, Anthropic API, Mistral API	Très élevé (logs personnels, pas DPA)
Coding assistants	GitHub Copilot personal, Cursor, Codeium	Élevé (code propriétaire)
Browser extensions IA	ChatGPT extension, Sider, MaxAI	Élevé (capture pages visitées)
SaaS apps avec IA "par défaut"	Notion AI, Slack AI, Zoom AI Companion, Microsoft 365 Copilot	Élevé (ingestion massive sans contrôle)
Image / video generators	Midjourney personal, DALL-E, Runway	Modéré (peut leaker briefs confidentiels)
Agents autonomes	AutoGPT local, BabyAGI, custom builds	Très élevé (cost + actions non contrôlées)
Modèles locaux (Ollama, LM Studio)	Llama, Mistral, Qwen runned locally	Modéré (mais usage prod sans validation)

Profils utilisateurs typiques

Profil	Pattern d'usage shadow AI
Dev backend	Copie code dans ChatGPT pour debug (60-80%), Cursor non-Enterprise (40-60%)
Manager	Résumé notes RH/réunions stratégiques dans ChatGPT (30-50%)
Analyste financier	Analyse chiffres trimestriels non publiés via ChatGPT (15-30%)
Avocat / juriste	Résumé contrats clients via Claude (20-40%)
Marketing	Copywriting à partir stratégie produit confidentielle (40-60%)
RH	Aide rédaction offres / évaluations (50-70%)
Direction / executive	Préparation présentations stratégiques (30-50%)
Support client	Réponses générées non encadrées (20-40%)

Pattern commun : les profils les plus exposés (manipulation données sensibles) sont les plus utilisateurs de shadow AI car gain de productivité immédiat.

8 méthodes de découverte

Méthode 1, Logs proxy / CASB

La méthode #1. Toute organisation a des logs proxy (squid, ZScaler, Palo Alto, Cloudflare WARP, etc.).

Pattern de détection :

# Liste des domaines IA à surveiller (non exhaustive 2026)
AI_DOMAINS = [
    # APIs LLM
    "api.openai.com",
    "api.anthropic.com",
    "api.cohere.com",
    "api.mistral.ai",
    "api.together.xyz",
    "api.groq.com",
    "api.perplexity.ai",
    "generativelanguage.googleapis.com",  # Google Gemini
    
    # SaaS chats
    "chat.openai.com",
    "chatgpt.com",
    "claude.ai",
    "gemini.google.com",
    "perplexity.ai",
    "you.com",
    
    # Coding assistants
    "api.github.com/copilot",
    "cursor.sh",
    "codeium.com",
    "tabnine.com",
    
    # Image / video
    "api.midjourney.com",
    "api.runwayml.com",
    
    # Agents
    "agent.io",
    
    # Hugging Face
    "api-inference.huggingface.co",
    "huggingface.co",
]
 
def analyze_proxy_logs(logs_path: str, days: int = 90):
    """Identifie utilisateurs/IP avec connexions vers domaines IA."""
    findings = defaultdict(lambda: defaultdict(int))
    
    with open(logs_path) as f:
        for line in f:
            entry = parse_proxy_log(line)
            for domain in AI_DOMAINS:
                if domain in entry.dest_host:
                    findings[entry.user][domain] += 1
    
    # Reporter par user
    return {
        user: {
            "domains_used": list(domains.keys()),
            "total_requests": sum(domains.values()),
            "frequency": "high" if sum(domains.values()) > 100 else "medium" if sum(domains.values()) > 20 else "low",
        }
        for user, domains in findings.items()
    }

Output typique : 30-60% des employés détectés avec connexions IA en 90 jours.

Méthode 2, CASB (Cloud Access Security Broker)

Outils matures 2026 :

CASB	Coverage IA	Force
Microsoft Defender for Cloud Apps	100+ outils IA catalogués	Intégration M365
Netskope	Catalog IA étendu	Reporting détaillé
Zscaler	Catalog IA + GenAI policies	Zero Trust integration
Palo Alto Prisma Access	Catalog IA	Cloud-delivered SASE
Cisco Umbrella	Catalog IA basique	Coverage DNS
Forcepoint Cloud Security	Catalog IA	DLP intégré

Pattern d'utilisation :

1. Activer le catalog IA dans le CASB (souvent via "Generative AI" ou "AI Apps" categories).
2. Définir politique de classification :
   - "Sanctioned" : outils IA approuvés (plateforme interne, ChatGPT Enterprise contracté).
   - "Tolerated" : outils acceptés sous conditions (avec DLP actif).
   - "Unsanctioned" : outils non approuvés à bloquer ou alerter.
3. Reporter user par user, app par app.
4. Alertes en temps réel sur connexions unsanctioned.

Méthode 3, DLP (Data Loss Prevention)

DLP modernes (Microsoft Purview, Forcepoint, Symantec/Broadcom, Trellix, Forcepoint One) ont étendu leurs capacités IA en 2024-2025.

Pattern de détection :

DLP analyse le trafic outbound vers domaines IA pour patterns sensibles :
- PII clients (emails, téléphones, IBAN, NSS)
- Identifiants internes (DOC-INT-*, USR-PRIV-*, FACTURE-*)
- Code source (signatures de fonctions internes)
- Données financières (rapports trimestriels non publiés)
- Secrets (clés API, tokens, mots de passe)
 
Action :
- Bloc en temps réel + log + alerte SOC.
- Ou : alerte seule + audit trail (mode passif initial).

Méthode 4, Audit factures cloud

Beaucoup de shadow AI s'achète sur cartes corporate sans validation IT/sécurité.

Pattern d'audit :

def audit_cloud_billing(billing_data: list[dict]) -> list[dict]:
    """Identifie achats IA non encadrés."""
    AI_BILLING_PATTERNS = [
        ("OpenAI", "API direct sans contrat enterprise"),
        ("Anthropic", "Claude Pro / API"),
        ("ChatGPT Plus / Team", "Subscription individuelle"),
        ("GitHub Copilot Individual", "Pas Enterprise"),
        ("Cursor Pro", "Subscription individuelle"),
        ("Midjourney", "Subscription individuelle"),
        ("Perplexity Pro", "Subscription individuelle"),
        ("Notion AI", "Add-on Notion non audité"),
        ("Hugging Face Pro", "Subscription individuelle"),
    ]
    
    findings = []
    for transaction in billing_data:
        for pattern, description in AI_BILLING_PATTERNS:
            if pattern.lower() in transaction["merchant"].lower():
                findings.append({
                    "user": transaction.get("cardholder"),
                    "merchant": transaction["merchant"],
                    "amount": transaction["amount"],
                    "date": transaction["date"],
                    "description": description,
                    "action": "review_required",
                })
    
    return findings

Output typique : 5-20% des achats cloud d'une ETI sont liés à du shadow AI individuel.

Méthode 5, Audit applications SaaS

Microsoft 365, Google Workspace, Slack, Notion, Zoom, tous ont activé des features IA en 2024-2025, parfois "par défaut".

Pattern d'audit :

Microsoft 365

Admin center → AI features status :
- Copilot for Microsoft 365 (status, users)
- Copilot in Teams
- Copilot in Office (Word, Excel, PowerPoint, Outlook)
- Copilot in Loop
- Copilot Studio (custom agents)
 
Vérifier : licenses assigned, data accessed, audit logs.

Google Workspace

Admin console → Apps → Google Workspace :
- Gemini for Workspace
- Help me write features
- AI features in Docs/Sheets/Slides
 
Vérifier : enrollment, default settings, audit logs.

Slack

Slack Admin → Workspace Settings :
- Slack AI subscription status
- AI features enrolled (summary, search, etc.)
 
Vérifier : data ingestion scope, retention, opt-out users.

Notion

Notion Admin → Settings :
- Notion AI add-on enrollment
- Workspaces with AI enabled
- Default privacy settings

Output typique : 60-80% des apps SaaS enterprise ont des features IA activées sans audit explicite.

Méthode 6, Network analytics (DNS / TLS SNI)

Pour endpoints non couverts par proxy/CASB :

def analyze_dns_queries(dns_logs: str, days: int = 30):
    """DNS analytics pour détecter résolutions vers domaines IA."""
    findings = defaultdict(lambda: defaultdict(int))
    
    with open(dns_logs) as f:
        for line in f:
            entry = parse_dns_log(line)
            for domain in AI_DOMAINS:
                if entry.query_name.endswith(domain) or entry.query_name == domain:
                    findings[entry.client_ip][domain] += 1
    
    return findings

Use case typique : detect outils IA installés en local (Cursor, browser extensions) qui font des requêtes DNS vers domaines IA.

Méthode 7, Sondage employés

Méthode complémentaire indispensable car beaucoup d'usages shadow ne génèrent pas de logs entreprise (téléphone perso, ordinateur perso WFH).

Template de sondage anonyme :

# Sondage usage IA, anonyme
 
1. Utilisez-vous des outils IA pour vos tâches professionnelles ?
   - Jamais
   - Occasionnellement (< 1x/sem)
   - Régulièrement (plusieurs fois/sem)
   - Quotidiennement
 
2. Quels outils ? (multiple)
   - ChatGPT (compte personnel ou Plus)
   - Claude (compte personnel ou Pro)
   - Gemini
   - Copilot Microsoft (M365)
   - Copilot for Microsoft Teams
   - GitHub Copilot
   - Cursor
   - Notion AI
   - Slack AI
   - Autre : _______
 
3. Données utilisées dans les prompts ? (multiple)
   - Données publiques uniquement
   - Documents internes (rapports, notes)
   - PII clients (noms, emails, etc.)
   - Code source propriétaire
   - Données financières non publiées
   - Données stratégiques (plans, partenariats)
 
4. Outil acheté en personnel (carte perso) ? Oui/Non
 
5. Conscience que les prompts peuvent être :
   - Utilisés pour training fournisseur ?
   - Stockés indéfiniment ?
   - Lus par staff fournisseur en cas d'audit ?
   
6. Si une plateforme IA interne sécurisée existait, l'utiliseriez-vous à la place ?

Réponse typique 2026 : 60-80% taux de réponse, révèle 2-3x plus d'usages que CASB seul.

Méthode 8, Endpoint monitoring

Outils MDM (Microsoft Intune, Jamf, Workspace ONE) + EDR (CrowdStrike, SentinelOne) peuvent détecter installations applications IA sur endpoints.

Pattern de détection :

Inventory applications installed :
- Cursor (cursor.exe / Cursor.app)
- Ollama
- LM Studio
- ChatGPT desktop app
- Claude desktop app
- Browser extensions : ChatGPT, Sider, MaxAI, etc.
 
EDR alerts :
- Process créant connexions vers domaines IA
- Browser extensions installations

Combinaison méthodes, couverture estimée

Aucune méthode seule ne suffit. Couverture cumulative typique :
 
Méthode 1 (Proxy/CASB)         : 40-60% du shadow AI
Méthode 2 (CASB+) avec catalog  : +20-30%
Méthode 3 (DLP)                 : +10-20% (différents users)
Méthode 4 (Billing audit)       : +5-15%
Méthode 5 (SaaS audit)          : +10-20% (apps avec IA par défaut)
Méthode 6 (DNS / TLS)           : +5-10% (endpoints isolés)
Méthode 7 (Sondage employés)    : +20-40% (révèle perso/WFH)
Méthode 8 (Endpoint monitoring) : +5-15%
 
Couverture cumulative : 80-95% du shadow AI réel.

Conclusion : aucune méthode unique ne suffit. 5-8 méthodes en combinaison sont nécessaires pour cartographie crédible.

Classification du shadow AI découvert

Matrice à 2 dimensions

                                Volume usage
                    Occasionnel | Régulier  | Critique
                  ┌────────────┼───────────┼──────────┐
Sensibilité       │            │           │          │
                  │            │           │          │
Confidentielle    │ Priorité 2 │ Priorité 1│ IMMÉDIAT │
                  │            │           │          │
Interne           │ Priorité 3 │ Priorité 2│ Priorité 1│
                  │            │           │          │
Publique          │     OK     │ OK + sensib│ Surveiller│
                  └────────────┴───────────┴──────────┘

Actions par priorité

Priorité IMMÉDIAT (Confidentielle/Critique)

Action : suspension immédiate + alternative interne urgente + sensibilisation utilisateur.

Exemples :

Dev qui pousse code propriétaire dans Cursor non-Enterprise quotidien.
Manager qui copie notes RH dans ChatGPT plusieurs fois/sem.
Analyste financier qui copie rapports trimestriels non publiés.

Priorité 1 (Confidentielle/Régulière + Interne/Critique)

Action : plan remédiation 30 jours, alternative interne déployée.

Priorité 2 (Confidentielle/Occasionnelle + Interne/Régulière)

Action : politique d'usage IA + formation 90 jours.

Priorité 3 (Interne/Occasionnelle)

Action : monitoring + sensibilisation incluse dans politique générale.

Registre Shadow AI

# registre/shadow-ai-2026-Q1.yml
audit_date: "2026-04-30"
audit_methods_used:
  - proxy_logs
  - microsoft_defender_for_cloud_apps
  - microsoft_purview_dlp
  - billing_audit
  - employee_survey
 
discovered_shadow_ai:
  - id: SHA-001
    tool: "ChatGPT individuel (comptes personnels)"
    user_count_estimated: 150  # sur 800 employés
    detected_via: ["proxy_logs", "survey"]
    sensitivity_data: "confidential (PII clients possibles)"
    usage_volume: "régulier (50-100 prompts/sem)"
    risk_score: 9
    priority: "P1"
    action: "Politique + ChatGPT Enterprise + formation"
    deadline: "2026-06-15"
  
  - id: SHA-002
    tool: "Microsoft 365 Copilot (activé sur 100 licences)"
    user_count_estimated: 100
    detected_via: ["m365_admin_audit"]
    sensitivity_data: "très élevée (M365 access)"
    usage_volume: "régulier"
    risk_score: 8
    priority: "P1"
    action: "Audit ACL + DLP + politique d'usage"
    deadline: "2026-05-30"
  
  - id: SHA-003
    tool: "GitHub Copilot Individual (comptes personnels)"
    user_count_estimated: 30
    detected_via: ["network", "billing_personal_cards"]
    sensitivity_data: "code source propriétaire"
    usage_volume: "quotidien pour devs"
    risk_score: 7
    priority: "P1"
    action: "Migration GitHub Copilot Business + DPA"
    deadline: "2026-06-30"
  
  - id: SHA-004
    tool: "Cursor (non-Enterprise)"
    user_count_estimated: 25
    detected_via: ["mdm_inventory", "billing"]
    sensitivity_data: "code source"
    usage_volume: "quotidien pour devs"
    risk_score: 7
    priority: "P1"
    action: "Cursor Business + DPA OU GitHub Copilot Business"
    deadline: "2026-07-15"
  
  - id: SHA-005
    tool: "Notion AI activé par défaut"
    user_count_estimated: 200
    detected_via: ["notion_admin_audit"]
    sensitivity_data: "documents internes"
    usage_volume: "régulier"
    risk_score: 6
    priority: "P2"
    action: "Audit settings + politique"
    deadline: "2026-08-30"
 
# Métadonnées
total_users_with_shadow_ai: 380  # sur 800 employés
percentage: 47.5%
total_official_ai_systems: 5  # vs 380 shadow
ratio_shadow_official: 76x

Plan de reprise contrôle 6 mois

Mois 1, Découverte initiale

Objectifs :

Activer 5-8 méthodes de découverte.
Cartographie complète (P0 / P1 / P2 / P3).
Présentation direction.

Livrable : registre shadow AI v1.0 avec classification.

Mois 2, Politique d'usage IA

Objectifs :

Politique d'usage IA validée direction.
Communication interne lancée.
Formation pilote.

Politique d'usage IA, sections clés :

# Politique d'usage de l'IA, Acme Corp
 
## 1. Périmètre autorisé
### Plateforme IA interne (URL):
- Pour TOUTES données entreprise (publiques, internes, confidentielles).
- Conformité gérée centralement.
- Logging + audit transparents.
 
### Outils SaaS publics validés (liste annexe):
- Pour données PUBLIQUES uniquement.
- Sans PII, sans documents internes, sans code propriétaire.
 
## 2. Périmètre interdit
- PII clients dans tout outil non validé (ChatGPT, Claude, Gemini personal, etc.).
- Code source propriétaire dans Cursor/Copilot non Enterprise validé.
- Documents financiers non publiés dans tout outil externe.
- Données stratégiques (plans, M&A) dans tout outil externe.
 
## 3. Plateforme IA interne disponible
[URL et description]
 
## 4. Outils approuvés (liste annexe)
- [Liste mise à jour trimestriellement]
 
## 5. Procédure de demande
[Process : demande → validation DPO/RSSI → activation]
 
## 6. Sanctions
[Conformément aux règles disciplinaires + RGPD interne]

Livrable : politique validée + communication + formation pilote 50 personnes.

Mois 3, Plateforme alternative interne

Objectifs :

Déployer plateforme IA interne attractive.
Activer pour 100-500 utilisateurs pilotes.
Mesurer adoption + feedback.

Composants plateforme :

1. Front-end accessible via SSO entreprise (chat-interne.yourcompany.com).
2. Multi-LLM via AI Gateway (LiteLLM / Portkey) :
   - Azure OpenAI EU + DPA (GPT-4o, GPT-5).
   - Anthropic via Vertex EU (Claude Sonnet, Opus).
   - Mistral (souverain France si applicable).
3. Conformité gérée :
   - DPA signés.
   - Logs RGPD-compliant.
   - Pas de training sur prompts.
4. Features pour l'attractivité :
   - Upload documents pour résumé/analyse.
   - Templates par usage (RH, dev, marketing, etc.).
   - Historique persistant.
   - Sharing prompts entre équipes.
5. Cost tracking + monitoring transparent.

Livrable : plateforme déployée + 100-500 utilisateurs actifs.

Mois 4, Migration progressive shadow AI

Objectifs :

Migrer P1 priorités vers plateforme interne.
Activer alternatives officielles (ChatGPT Enterprise, GitHub Copilot Business).
Réduire shadow AI résiduel de 50%+.

Stratégie migration :

Shadow AI	Alternative officielle	Action
ChatGPT individuels (comptes perso)	Plateforme interne ou ChatGPT Enterprise	Communication + désactivation accès perso possible via firewall sélectif
GitHub Copilot Individual	GitHub Copilot Business + DPA	Migration équipe par équipe
Cursor non-Enterprise	Cursor Business + DPA OU Copilot Business	Choix selon préférence dev
Microsoft 365 Copilot non audité	Audit ACL + activation contrôlée	Désactivation par défaut sauf opt-in audit
Notion AI activé par défaut	Désactivation puis opt-in selon use case	Admin centralisé

Livrable : 50%+ du shadow AI P1 migré.

Mois 5, Monitoring runtime + DLP en production

Objectifs :

Logs structurés OTel GenAI vers SIEM.
Alertes runtime configurées.
DLP en sortie LLM (Presidio).

Configuration alertes SOC :

# alerts/shadow-ai-alerts.yml
alerts:
  - name: "Connexion vers domaine IA non sanctionned"
    condition: "destination_domain in UNSANCTIONED_AI_DOMAINS"
    severity: "medium"
    action: "log + email user + report SOC weekly"
  
  - name: "PII dans prompt envoyé à API externe"
    condition: "DLP detects PII in outbound to external AI domain"
    severity: "high"
    action: "block + alert SOC + notify user + manager"
  
  - name: "Code source dans Copilot personal"
    condition: "GitHub Copilot extension active + private repo OR repo in company list"
    severity: "high"
    action: "alert SOC + suggest migration to Business"
  
  - name: "Volume anormal vers API IA"
    condition: "user requests to AI APIs > 1000/day"
    severity: "medium"
    action: "alert SOC + investigate"

Livrable : SOC opérationnel sur shadow AI + 5 alertes critiques actives.

Mois 6, Audit + amélioration continue

Objectifs :

Audit interne maturité.
Mesure réduction shadow AI (cible 70-80%).
Plan année 2.

Métriques de succès :

Métrique	Mois 1 (baseline)	Cible Mois 6
% employés utilisant shadow AI	47%	< 15%
Nb outils shadow AI actifs	23	< 8
Nb users plateforme interne	0	> 500
Connexions API externes IA non sanctionned/mois	50,000	< 5,000
Incidents fuite shadow AI déclarés	Non mesurés	0 critique

Livrable : audit interne + métriques + plan Y2.

Cas réels documentés 2024-2026

Cas A, Banque française (anonymisée, 2024)

Contexte : ETI banque privée, 1500 employés.

Découverte 2024 :

Audit proxy + DLP : 60% employés connexions ChatGPT.
35% avec PII clients dans prompts (détecté via DLP).
5 incidents de saisie de données financières non publiées.

Action :

Politique d'usage IA validée direction Q3 2024.
Plateforme interne (Azure OpenAI EU) déployée Q4 2024.
Formation 100% employés Q1 2025.
Migration shadow AI Q2 2025.

Résultat 12 mois après :

Shadow AI résiduel : 12% employés (vs 60% baseline).
Plateforme interne : 80% adoption.
0 incident majeur de fuite.

Cas B, Cabinet conseil (anonymisé, 2025)

Contexte : grande organisation conseil, 10000 employés.

Découverte 2025 :

Sondage : 75% employés utilisent ChatGPT/Claude personnel.
20% saisissent contenu client (clauses contrats, stratégies).
Risque RGPD + secret professionnel élevé.

Action :

ChatGPT Enterprise déployé pour 5000 employés Q1 2025.
Politique stricte sur outils non audités.
Sanctions disciplinaires pour récidive (cas pédagogiques publiquement communiqués en interne).
Audit annuel obligatoire.

Résultat :

ROI productivité +25% mesuré.
Shadow AI résiduel : 8%.
1 sanction disciplinaire formelle Q3 2025 (effet pédagogique).

Cas C, Startup IA (anonymisée, ironie, 2024)

Contexte : startup IA elle-même, 80 employés. Ironique car vendant services AI security.

Découverte audit interne 2024 :

40% employés utilisent ChatGPT pour debug code propriétaire.
15% avec accès comptes clients dans prompts.

Action :

Politique d'usage IA stricte.
Plateforme interne basée sur leur propre produit.
Formation obligatoire trimestrielle.

Leçon : même les pros AI security peuvent avoir du shadow AI sans audit explicite. Discipline opérationnelle continue.

Outils opérationnels recommandés

CASB

Outil	Coverage IA	Prix typique ETI
Microsoft Defender for Cloud Apps	Élevé	Inclus M365 E5
Netskope	Très élevé	15-30€/user/mois
Zscaler	Élevé	20-40€/user/mois
Palo Alto Prisma Access	Élevé	20-40€/user/mois

DLP

Outil	Force	Prix typique
Microsoft Purview	Inclus M365	E5 license
Forcepoint Cloud Security	Comprehensive	15-30€/user/mois
Symantec/Broadcom DLP	Mature	10-20€/user/mois

Plateforme IA interne

Composant	Outil recommandé	Prix
AI Gateway	LiteLLM (open source) ou Portkey	Gratuit / 1k$/mois
Front-end chat	Open WebUI ou custom	Gratuit / dev interne
Vector DB	Qdrant self-host ou Pinecone	Gratuit / variable
Observabilité	Langfuse self-host	Gratuit
Auth SSO	Existant (Azure AD, Okta, etc.)	Inclus

Coût plateforme self-host : ~5-20k€/mois infra + tokens consommés.

GRC

Outil	Usage
Drata / Vanta	GRC automation + AI policy tracking
OneTrust	RGPD + AI policy management
ServiceNow GRC	Enterprise GRC

Anti-patterns récurrents

Anti-pattern	Symptôme	Fix
Interdiction sans alternative	Contournement employés	Plateforme interne attractive d'abord
Une seule méthode de découverte	30-50% shadow AI manqué	5-8 méthodes en combinaison
Politique sans communication	Adoption nulle	Communication multi-canal + formation
Pas de sondage employés	Vue partielle (logs only)	Sondage anonyme complémentaire
Plateforme interne moche/lente	Employés contournent vers SaaS publics	UX comparable + performance comparable
Pas de monitoring continu	Drift après 6 mois	Audit trimestriel obligatoire
Sanctions sans pédagogie	Méfiance + dissimulation	Communication transparente + cas pédagogiques
Direction non sponsor	Politique ignorée	Sponsor exécutif visible et engagé

Mapping aux frameworks

OWASP

LLM02 Sensitive Information Disclosure : risque #1 du shadow AI.
LLM03 Supply Chain : outils non audités.

EU AI Act

Article 15 (cybersécurité), applicable aux outils utilisés.
Pour systèmes haut-risque déployés via shadow : non-conformité directe.

RGPD

Article 28 (sous-traitance), outils shadow = sans DPA = non-conforme.
Article 32 (sécurité), défaut de protection.
Article 5 (minimisation), données envoyées à fournisseur sans nécessité.

NIST AI RMF + ISO 42001

Map function : inventaire incluant shadow AI obligatoire.
ISO 42001 Annex A.4 : ressources IA, inclut outils non officiels.

Pour aller plus loin

Fuites de données via LLM en entreprise, incidents Samsung 2023, EchoLeak, etc.
Sécurité IA pour RSSI, vue stratégique RSSI.
Sécurité IA pour architectes : SI résistant, architecture qui absorbe le shadow AI.
Conformité RGPD et IA générative : pièges, RGPD spécifique.
EU AI Act pour entreprises, règlement contraignant.
Hallucinations exploitables, risque adjacent.

Points clés à retenir

Le shadow AI est la surface d'attaque #1 pour la majorité des organisations 2026. 75-90% employés utilisent IA, 30-50% sans déclaration, 15-30% saisissent données confidentielles.
8 méthodes de découverte complémentaires : proxy/CASB, CASB+ catalog, DLP, audit factures, audit SaaS, network analytics, sondage employés, endpoint monitoring. Couverture cumulative 80-95%.
Classification matrice 2D : sensibilité données × volume usage. Priorités IMMÉDIAT / P1 / P2 / P3.
Stratégie qui fonctionne : alternative interne attractive + politique d'usage + formation + monitoring. Pas l'interdiction seule (= contournement).
Plan 6 mois : Découverte (M1) → Politique (M2) → Plateforme alternative (M3) → Migration (M4) → Monitoring (M5) → Audit (M6).
Coût programme : 50k-2M€/an selon taille. Ratio coût / risque évité 1:50 à 1:500 (sanctions cumulables 55M€ ou 11% CA).
Cas réels 2024-2026 : banque française (60% → 12%), cabinet conseil (75% → 8%), startup IA elle-même (40% → < 5%).
Outils : Microsoft Defender for Cloud Apps, Netskope, Zscaler (CASB), Microsoft Purview (DLP), LiteLLM + Open WebUI (plateforme interne).
8 anti-patterns dominants : interdiction sans alternative, méthode de découverte unique, politique sans communication, pas de sondage, plateforme interne médiocre, pas de monitoring continu, sanctions sans pédagogie, direction non sponsor.

Le shadow AI est réel, massif, et chiffrable en 2026. Reprendre le contrôle est réalisable en 6 mois avec un plan structuré + sponsoring direction + alternative attractive. Les organisations qui l'investissent avant l'incident (Samsung-class, EchoLeak-class) évitent les coûts massifs. Celles qui ne le font pas le découvrent en production.

Questions fréquentes

Combien de shadow AI dans une entreprise typique en 2026 ?
Estimations multiples sources (Gartner 2025, Forrester 2025, Accenture AI in Workplace 2025) : **75-90%** des employés utilisent au moins occasionnellement un outil IA. **30-50%** sans déclaration officielle. **15-30%** ont déjà saisi des PII clients ou données confidentielles dans des prompts non encadrés. Conséquence : la majorité des organisations ont **3-5x plus d'usages IA réels** que ce qu'elles pensent. Les outils les plus shadow : ChatGPT individuel (60-80%), Claude individuel, GitHub Copilot personal, Cursor, Notion AI, Slack AI, Gemini for Workspace activé par défaut. Estimation 2026 : 1 employé sur 5 utilise un outil IA SaaS public **avec données entreprise** au moins 1x/semaine. Le shadow AI est désormais **la surface d'attaque #1** pour la majorité des organisations IA-mature.
Comment détecter le shadow AI ? 8 méthodes complémentaires
Aucune méthode unique ne suffit. Combinaison nécessaire. (1) **Proxy logs / CASB** : connexions vers `api.openai.com`, `api.anthropic.com`, `api.cohere.com`, `api.mistral.ai`, etc. (2) **DLP** : pattern de prompts contenant PII / identifiants internes envoyés à API externes. (3) **Audit factures cloud** : Azure OpenAI, AWS Bedrock, GCP Vertex contractés sans IT. (4) **Audit applications SaaS** : Microsoft 365 admin (Copilot activé), Google Workspace AI features, Notion AI, Slack AI, Zoom AI Companion. (5) **Audit licences** : GitHub Copilot non-Enterprise, ChatGPT Plus payé en CB perso, Claude Pro. (6) **Network analytics** : DNS queries, TLS SNI vers domaines IA. (7) **Sondage employés** anonyme sur usage personnel/professionnel. (8) **Endpoint monitoring** : extensions navigateur IA installées (ChatGPT, Claude, etc.). Chaque méthode capte 10-30% du shadow AI. Combinaison = 70-90% couverture.
Faut-il interdire ChatGPT/Claude personnels en entreprise ?
**Non**, sauf cas extrême. L'interdiction sans alternative crée du contournement (téléphone perso, comptes individuels via VPN, copie-collage discret). Pattern 2024-2025 confirmé : **interdiction = déplacement du risque**, pas suppression. Stratégie recommandée : (1) **Plateforme IA interne** alternative attractive (Azure OpenAI EU + DPA, Mistral, Anthropic Enterprise EU). (2) **Politique d'usage IA** documentée : périmètre autorisé externe (ex : ChatGPT Plus pour brainstorming non-sensible) et interdit (PII clients, données confidentielles dans tout outil non audité). (3) **Formation employés** : conscientisation risques. (4) **Monitoring** : alerter sur usage non encadré. **Cas Samsung 2023** : interdiction ChatGPT a forcé Samsung à investir massivement dans Samsung Gauss (interne). Coût élevé.
Comment classifier le shadow AI découvert ?
Matrice à 2 dimensions : **Sensibilité données traitées** (publique/interne/confidentielle/restreinte) × **Volume usage** (occasionnel/régulier/critique). Cases prioritaires : **Confidentielle/Critique** = action immédiate (suspension + alternative). **Confidentielle/Régulière** = priorité 1 (plan remédiation 30 jours). **Interne/Régulière** = priorité 2 (politique + formation 90 jours). **Publique/Occasionnelle** = OK avec conscientisation. Outils additionnels classification : type d'outil (LLM SaaS, agent autonome, plugin browser, application desktop), domaine fonctionnel (dev, RH, finance, légal), nombre d'utilisateurs concernés. Output : **registre Shadow AI** versionné mis à jour trimestriellement.
Quel est le coût typique d'un programme de reprise en main du shadow AI ?
Variable selon taille. **PME (< 100 employés)** : 50-150k€ première année (audit + plateforme alternative + formation). **ETI (100-2000)** : 150-500k€ (incluant audit annuel + plateforme + monitoring + RACI). **Grande entreprise (> 2000)** : 500k-2M€ (programmes complets + équipes dédiées + outils GRC). À comparer aux risques : sanctions cumulables RGPD + EU AI Act jusqu'à 55M€ ou 11% CA, coût incident type Samsung-class plusieurs millions €. Ratio coût programme / risque évité : 1:50 à 1:500. ROI imbattable. La majorité des organisations 2026 sous-investissent, souvent par méconnaissance de l'ampleur du problème.
Les outils CASB / DLP modernes détectent-ils bien le shadow AI ?
Partiellement bien en 2026. **CASB matures** (Microsoft Defender for Cloud Apps, Netskope, Zscaler, Palo Alto Prisma) ont étendu leurs catalogues IA en 2024-2025 : détection ChatGPT, Claude, Gemini, Copilot, plus de 100 outils IA SaaS. **DLP modernes** (Microsoft Purview, Forcepoint, Symantec/Broadcom) détectent patterns de prompts envoyés à API externes. **Limites** : (1) outils API-direct sans interface SaaS (curl direct OpenAI) plus difficiles. (2) Browser extensions IA + outils desktop (Cursor, etc.) parfois invisibles. (3) Faux positifs sur prompts légitimes. **Recommandation 2026** : combiner CASB + DLP + audit factures + sondages employés. Aucun outil ne couvre 100%, mais combinaison = 80-90% du shadow AI détectable.

Découvrir la formation LLM Security

Écrit par

Naim Aouaichia

Cyber Security Engineer et fondateur de Zeroday Cyber Academy

Ingénieur cybersécurité avec un parcours hybride : développement, DevOps Capgemini, DevSecOps IN Groupe (sécurité des documents d'identité régaliens), audits CAC 40. Fondateur de Hash24Security et Zeroday Cyber Academy. Présence LinkedIn 43 000 abonnés, Substack Zeroday Notes 23 000 abonnés.

Questions fréquentes

Naim Aouaichia

À lire également

Fuites de données via LLM en entreprise : cas concrets 2023-2026

Sécurité IA pour RSSI : cartographier les risques liés à l'IA

Conformité RGPD et IA générative : où sont les pièges

Sécurité IA pour architectes : SI résistant aux usages non maîtrisés

Hallucinations exploitables : l'erreur LLM comme vecteur d'attaque

EU AI Act : ce qui change pour les entreprises déployant de l'IA