Data / IA
IA agentique : les DSI face à la menace existentielle du shadow IT
Par Laurent Delattre, publié le 17 avril 2025
L’IA agentique est désormais une réalité (pour l’entreprise et pour sa DSI). Sa promesse ? Une automatisation massive, des assistants intelligents pour chaque fonction et des gains de productivité significatifs. Pourtant, derrière cet enthousiasme technologique rôde la menace du Shadow IT qui pourrait à terme menacer la souveraineté numérique de l’entreprise.
Par Charles Letaillieur , AI Expert – Senior Manager – Data & AI Transformation chez Converteo
L’IA agentique constitue une étape d’innovation supplémentaire par rapport à l’IA générative classique. Elle est capable de planifier, interagir avec d’autres systèmes, accéder au web en temps réel et orchestrer de manière autonome des chaînes d’actions complexes. C’est cette autonomie opérationnelle qui séduit les équipes métiers (RH, ventes, marketing, supply chain…) à la recherche de solutions concrètes à leurs problèmes quotidiens. Mais, c’est justement cette accessibilité qui risque de constituer un danger à grande échelle pour les entreprises et particulièrement pour les DSI.
L’IA agentique victime de son succès ?
Parce qu’elle est utilisable par tout un chacun, l’IA agentique ouvre la porte à une prolifération de services utilisés sans validation de la DSI et donc en dehors du cadre sécurisé de l’entreprise. Comme hier Zapier ou Google Translate, aujourd’hui c’est ChatGPT, AutoGPT, ou DeepSeek R1 qui permettent à un collaborateur lambda de contourner les systèmes d’information de l’entreprise en quelques clics. Un risque d’autant plus important que, comme le rappelle Gartner, d’ici 2028, 33 % des applications d’entreprise intégreront des agents IA, contre moins de 1 % aujourd’hui.
Un risque connu mais qui change d’échelle
Le shadow IT n’a rien de nouveau. Mais avec l’IA agentique, le danger ne réside plus seulement dans l’usage d’outils non validés, mais dans le fait que des employés partagent volontairement en externe la connaissance stratégique de l’entreprise. Prenons l’exemple d’un collaborateur RH qui utilise un agent IA pour automatiser des tâches, il doit d’abord lui décrire ses processus, ses priorités ainsi que ses données internes. A partir du moment où cette interaction se produit au travers d’un service non sécurisé, d’autres utilisateurs ont potentiellement accès à ces informations, comme le montre l’affaire Samsung.
Le cœur du savoir-faire de l’entreprise livré aux concurrents
En 2023, des ingénieurs de Samsung ont partagé des données sensibles dans ChatGPT. Ces informations sont ensuite ressorties dans des réponses de ChatGPT communiquées à d’autres utilisateurs.
Le risque du shadow IT avec l’IA agentique est bien démultiplié. Ce ne sont donc plus simplement des fichiers qui fuitent, mais les « recettes maison » des entreprises qui sont potentiellement livrées à la concurrence : leurs stratégies commerciales, leurs processus internes, leurs pratiques différenciantes, leurs données clients, voire leurs choix d’organisation.
Des éléments stratégiques qui constituent le cœur même de leur compétitivité et de leur différenciation. Et ces fuites ne sont pas le fait de cyberpirates : elles ont pour origine les collaborateurs eux-mêmes, ignorants des risques !
La DSI en perte de contrôle
Face à cette promesse d’une IA magique, simple et plug-and-play, les directions informatiques se retrouvent dans une situation critique. Pour ne pas être court-circuitées, elles doivent fournir une alternative fiable et sécurisée. L’objectif n’est pas de contrecarrer l’innovation, mais d’en reprendre le contrôle, avant qu’elle ne constitue une menace pour la survie de l’entreprise. Cette tendance est d’autant plus préoccupante que, selon une récente étude de Cisco, 80 % des collaborateurs dans les grandes entreprises utilisent des outils non approuvés par l’IT pour accomplir leurs tâches.
Reprendre la main : la feuille de route des DSI
Pour inverser la situation, le premier impératif pour les DSI est de remettre la donnée au centre en menant de front trois chantiers prioritaires. D’une part, s’assurer d’une donnée de qualité car il n’existe pas d’IA performante sans des données fiables, vérifiées et actualisées. Deuxième étape, les DSI doivent veiller à la notion d’infrastructure en fournissant des architectures “IA ready”, capables de fournir ces données en temps réel et en respectant les exigences de sécurité. Dernier axe de travail et non des moindres, la gouvernance de la donnée. Il s’agit pour les DSI de clarification des responsabilités, s’assurer de la traçabilité des accès et de la conformité réglementaire (RGPD, AI Act).
Sensibiliser, accompagner et sécuriser les pratiques
En parallèle, il appartient aux DSI, au travers de campagnes d’informations menées en interne, de sensibiliser les collaborateurs sur les risques encourus par l’utilisation d’outils non approuvés. Ils doivent également proposer des alternatives sécurisées telles que la mise à disposition de services d’IA validés, ergonomiques et qui répondent aux attentes des équipes métiers. Autre axe de travail, l’expérimentation contrôlée. Il s’agit pour la DSI de co-construire avec les équipes des cas d’usage concrets dans le cadre d’un environnement maîtrisé, plutôt que subir des usages clandestins. Enfin, la DSI ne doit pas hésiter à se faire accompagner par des experts, lorsqu’elle estime que c’est nécessaire, pour mieux diagnostiquer les failles, concevoir des architectures adaptées, déployer les bons outils et former les équipes.
L’IA agentique est une innovation de rupture, qui procure une efficacité sans précédent aux entreprises. Néanmoins, elle ne peut se déployer sans être strictement encadrée. Si les DSI n’en prennent pas rapidement le contrôle, ils risquent de voir les savoirs et les savoir-faire stratégiques de l’entreprise dispersés dans l’espace public. Ils doivent donc agir maintenant pour éviter que l’IA agentique, une innovation porteuse de progrès technologique, ne devienne une menace existentielle.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
