Le shadow AI est le nouveau shadow IT : l'ITAM peut y remédier

Le shadow AI est en passe de représenter la prochaine vague de risques concernant les logiciels non gérés. Les employés adoptent des outils d'IA plus rapidement que les processus de gouvernance ne peuvent les suivre, souvent en dehors de l'approvisionnement, de l'examen de la sécurité ou du contrôle des licences. Cela crée de nouveaux angles morts en matière de coûts, de conformité et de protection des données. La gestion des actifs informatiques vous offre un moyen pratique de gagner en visibilité, d'allouer vos licences et de régir l'utilisation de l'IA avant que les risques ne s'étendent à l'ensemble de votre environnement.

Que signifie le shadow AI pour votre entreprise ? Pourquoi se développe-t-il si rapidement ?

Le shadow AI désigne tout outil, application ou fonction d'intelligence artificielle utilisé au sein d'une entreprise en dehors de son cadre informatique approuvé. Il ne s'agit pas d'un risque futur. Il s'agit d'un état de fonctionnement actuel et il se propage plus rapidement que la plupart des modèles de gouvernance ne peuvent le suivre.

Selon le rapport "Emerging Risk Deep Dive : Shadow AI", août 2025⁽¹⁾, le shadow AI se classe parmi les cinq premiers risques émergents dans les entreprises. Les responsables de la gestion des risques ont indiqué qu'il s'agissait de l'un des problèmes les plus fréquemment identifiés, susceptible de se concrétiser à court terme, mais la plupart ne se sentent pas prêts à le gérer.

La raison pour laquelle il se propage si rapidement est structurelle. Les employés activent les outils d'IA en quelques minutes, souvent par le biais de niveaux freemium ou de cartes de crédit personnelles qui contournent l'approvisionnement. Une étude récente menée par des analystes a révélé que 52 % des travailleurs utilisent à la fois des outils d'IA obtenus à titre personnel et des outils fournis par l'entreprise. Une autre enquête citée par Gartner a révélé que 32 % d'entre-eux cachent leur utilisation de l'IA à leur employeur et parmi eux, 36 % le font pour maintenir un avantage personnel en termes de productivité. La pression de la performance pousse à son adoption plus rapidement que les politiques ne peuvent y répondre.

Quels risques génère le shadow AI au-delà de la sécurité ?

Le débat sur la sécurité autour du Shadow AI est légitime mais incomplet. Les données du rapport Q2 2025 Emerging Risk Report de Gartner montrent que 79 % des responsables de la cybersécurité signalent que des employés utilisent à mauvais escient des outils GenAI publics approuvés et que 69 % signalent l'utilisation d'outils GenAI publics interdits. Il s'agit là de chiffres significatifs en termes d'exposition. Mais pour les responsables ITAM/SAM et les directeurs informatiques, les conséquences opérationnelles dépassent le risque de violation.

Lorsqu'un outil d'IA pénètre un environnement informatique sans avoir été examiné, vous perdez le contrôle de l'inventaire. Il n'apparaît pas dans votre CMDB, il n'est assigné à personne et il se trouve en dehors de vos processus de cycle de vie des logiciels. Vous perdez la visibilité sur vos licences et vos contrats, les conditions de traitement des données, les pratiques de sauvegarde et les droits de traitement des tiers ne sont pas examinés. Vous perdez aussi le contrôle des coûts : la tarification de l'IA est de plus en plus basée sur l'utilisation et la consommation de crédits ou de tokens peut évoluer de manière imprévisible, en particulier lorsque les fonctions d'IA intégrées s'activent dans le cadre de contrats de fournisseurs existants. Enfin, vous perdez totalement la main sur les renouvellements, la date de renouvellement d'un outil dont vous n'êtes pas propriétaire passe à la trappe. Les conséquences majeures identifiées par Gartner sont les suivantes :

• perte de propriété intellectuelle,

• vulnérabilité accrue en matière de cybersécurité

• exposition au risque juridique et de conformité.

La plupart des organisations n'ont pas de politiques codifiées de gouvernance de l'IA, ce qui signifie qu'il n'y a pas de base de référence pour guider les employés ou appliquer des mesures de protection.

Pourquoi l'ITAM aide à la gouvernance de l'IA ?

Les équipes ITAM gèrent déjà les processus de découverte, d'allocation et de cycle de vie requis par la gouvernance de l'IA. Le cadre n'est pas nouveau. La classe d'actifs l'est.

L'hypothèse de planification stratégique formulée par Gartner dans son étude d'octobre 2025⁽²⁾ indique clairement la trajectoire : d'ici 2028, 25 % des grandes entreprises disposeront d'équipes de gouvernance de l'information consolidées, issues des fonctions liées à l'espace de travail numérique, aux données et à l'analyse, et à la sécurité, contre moins de 1 % aujourd'hui. Les programmes ITAM matures offrent un cadre idéal pour ancrer ce modèle interfonctionnel. 

Pour en savoir plus sur la façon dont l'IA remodèle les pratiques de gestion des actifs logiciels, consultez l'infographie USU sur l'IA dans l'ITAM sur la découverte, la gouvernance et la gestion du cycle de vie.

Comment maîtriser le shadow AI avec l'ITAM ?

Vous n'avez pas besoin d'un nouveau cadre. Vous devez étendre celui que vous utilisez déjà.

1. Commencez par la découverte. Identifiez les outils d'IA accessibles via les navigateurs, les journaux SSO, les données sur les dépenses et les systèmes financiers, et pas seulement ce que l'IT a déployé.

2. Ensuite, classez ce que vous trouvez. Attribuez la propriété, examinez les données qui entrent dans chaque outil et identifiez les chevauchements avec les alternatives approuvées déjà présentes dans votre environnement.

3. Appliquez une politique basée sur le risque. Acheminez les outils à haut risque par le biais d'un examen formel et définissez les applications que les équipes peuvent utiliser en toute sécurité.

4. Optimisez les capacités d'IA déjà existantes. Rationalisez les modules complémentaires dans les contrats SaaS, supprimez les doublons et reliez les données d'utilisation aux décisions de renouvellement.

5. Enfin, intégrez les outils d'IA dans vos flux de travail standard de gestion des actifs informatiques et de gestion du SaaS pour les soumettre à une gouvernance continue au lieu de les traiter comme des exceptions de sécurité ponctuelles.

Commencez par intégrer les outils d’IA à votre prochain cycle de découverte SaaS. Considérez à la fois les applications d’IA accessibles via navigateur et les fonctionnalités d’IA intégrées chez vos fournisseurs comme des éléments d’inventaire à part entière. Attribuez-leur un responsable et étendez vos processus de renouvellement ainsi que vos politiques afin de les couvrir.

Le shadow AI n'est pas un défi de gouvernance distinct. Il s'agit de shadow IT avec une activation plus rapide et un risque plus élevé sur les données . La gestion des actifs informatiques vous offre déjà la structure nécessaire pour la maîtriser.

Vous voulez savoir où se situe votre entreprise en matière de contrôle des coûts SaaS et de maturité de gouvernance ? Découvrez SaaS Cost Transparency for Finance and IT Leaders de USU : des conseils pratiques sur la visibilité, l'affectation des coûts et le contrôle des dépenses dans l'ensemble de votre parc SaaS.

Sources d'information

(1) Gartner, "Emerging Risk Deep Dive : Shadow AI", Ben Fisher et Laura Reul, 18 août 2025

(2) Gartner, "The Impacts of Shadow AI on Digital Employee Experience", Jason Wong, Christopher Trueman, Sunil Kumar, 3 octobre 2025.