Le Shadow IT a évolué. Vos équipes ne se contentent plus d'utiliser ChatGPT, elles configurent des agents autonomes sur leurs postes. Comment reprendre le contrôle ?
Souvenez-vous de 2023. Votre peur principale était que vos employés copient-collent des données confidentielles dans ChatGPT. C'était le "Shadow AI de niveau 1".
Novembre 2025. Le danger a muté. Avec la démocratisation des plateformes "No-Code" d'agents (type Zapier AI, Make ou les GPTs personnalisés avancés), vos collaborateurs créent de véritables applications autonomes sans en informer la DSI.
C'est le Shadow AI Agentique. Et c'est une bombe à retardement pour votre sécurité.
Le Scénario Catastrophe (déjà vu)
Un contrôleur de gestion brillant mais impatient décide d'automatiser son reporting mensuel.
- Il configure un Agent sur une plateforme publique.
- Il lui donne ses identifiants SharePoint pour qu'il "lise" les fichiers Excel.
- Il programme l'agent pour qu'il s'exécute tous les vendredis à 18h.
Résultat : Un acteur tiers a désormais un accès permanent et authentifié à votre SharePoint financier. Si la plateforme de l'agent se fait hacker (ou change ses CGU), vos données sont dans la nature.
L'interdiction ne fonctionne pas
Bloquer les URLs ne sert à rien. Les gains de productivité sont tels (+40% sur des tâches administratives) que vos talents contourneront les blocages (4G, ordi perso).
La seule stratégie viable est l'approche "Enterprise App Store".
La solution : Offrir mieux que le marché gris
La DSI doit devenir un fournisseur de services, pas un censeur.
Chez Iskar.ai, nous aidons les entreprises à monter une "AI Factory Interne" (voir notre article sur le Budget IA 2026).
Le principe :
- Vous fournissez un environnement sécurisé (Sandbox) où les employés peuvent configurer des agents.
- Les modèles sont hébergés chez vous (ou via vos contrats Enterprise sécurisés).
- Les connecteurs aux données internes sont validés par la sécurité.
"Si vous ne donnez pas à vos équipes les moyens de construire des agents sécurisés, ils construiront des agents non-sécurisés."
Détecter les signaux faibles
Comment savoir si vous êtes touchés ? Surveillez votre trafic réseau :
- Appels API sortants vers des domaines d'IA non whitelisted.
- Volumes de données inhabituels uploadés vers des services de "Productivité".
Conclusion
Le Shadow AI 2.0 est un signe de bonne santé : vos équipes VEULENT innover. Canalisez cette énergie au lieu de l'étouffer.
Besoin d'auditer vos usages et de sécuriser votre périmètre ?
Nous réalisons des diagnostics Flash "Shadow AI" en 5 jours.
Sécurisez votre DSI maintenant.
