Research

Le vrai coût de l'IA fantôme en 2026

Les RSSI européens sous-estiment le volume d'IA fantôme d'un facteur 4 à 6. Voici ce que disent vraiment les données, et les trois indicateurs à mesurer ce trimestre.

ZTZeuslock Team··8 min
Tableau de bord sombre d'une salle de contrôle affichant une multitude d'outils d'IA générative non sanctionnés accédés depuis des navigateurs d'entreprise, avec des indicateurs de taux de détection de données sensibles en hausse.

Le chiffre que les RSSI continuent de mal estimer

Demandez à un responsable sécurité d'une ETI européenne de 2 000 collaborateurs combien d'outils d'IA générative distincts ses équipes utilisent au cours d'une semaine donnée. La réponse habituelle se situe entre cinq et huit. La réalité, dès qu'on instrumente vraiment le parc navigateur, est plutôt de l'ordre de trente. Nous l'observons dans la finance, dans des groupes industriels, dans des éditeurs logiciels, dans des banques régionales. L'écart est constant : les RSSI sous-estiment le volume d'IA fantôme d'un facteur quatre à six.

Ce n'est pas une erreur d'arrondi. C'est la différence entre un risque que vous avez modélisé et un risque qui se compose silencieusement chaque trimestre pendant que votre comité de gouvernance valide la seule licence sanctionnée de ChatGPT Enterprise.

Ce que coûte vraiment l'IA fantôme en 2026

Le coût n'est pas théorique. Il existe un historique public, modeste mais croissant, d'incidents qui suivent toujours le même schéma : un salarié colle quelque chose qu'il ne devrait pas dans un modèle qu'il ne contrôle pas, et la donnée sort du périmètre.

  • Samsung Semiconductor, 2023 : trois incidents distincts en une vingtaine de jours, des ingénieurs collant du code source propriétaire et des notes de réunion internes dans ChatGPT. Samsung a réagi en interdisant purement et simplement l'IA générative grand public sur les postes professionnels.
  • Amazon, début 2023 : la direction juridique a averti les salariés de ne pas partager d'informations confidentielles avec ChatGPT, après avoir constaté des sorties du modèle qui ressemblaient à des données internes Amazon.
  • Microsoft, 2023 et 2024 : plusieurs notes internes restreignant l'usage par les employés d'IA générative tierce pour des travaux confidentiels.

Ce sont les incidents qui ont émergé publiquement. Ceux qui n'émergent pas ressemblent plutôt à un analyste junior collant un brouillon de modèle de résultats dans un chatbot gratuit un dimanche soir, ou à une généraliste RH utilisant un assistant de traduction pour reformuler une lettre de licenciement contenant tous les identifiants du salarié.

Le rapport IBM Cost of a Data Breach situe le coût moyen mondial d'une violation à 4,45 M$. Nous citons délibérément ce chiffre une seule fois, parce que la conversation utile ne porte pas sur la moyenne, elle porte sur ce que vous ne voyez pas du tout.

Le cas DeepSeek

Si vous cherchez un exemple canonique de "qu'est-ce qui pourrait mal se passer" pour votre prochain comité des risques, utilisez DeepSeek. Modèle de très bonne qualité, gratuit, contrôlé depuis la Chine, doté de conditions d'utilisation qui prévoient explicitement la réutilisation des entrées pour l'entraînement, et hébergé sur une infrastructure qui n'est soumise à aucune juridiction européenne au sens utile du terme.

Chaque prompt envoyé à un modèle non maîtrisé est une contribution gratuite au corpus d'entraînement de quelqu'un d'autre. Parfois ce quelqu'un d'autre est un concurrent. Parfois c'est un service de renseignement étranger. Vous ne choisissez pas lequel.

Le point n'est pas que DeepSeek serait uniquement problématique. Le point est que l'employé type d'une ETI européenne ne fait aucune différence entre DeepSeek, ChatGPT, Claude, Gemini, Mistral, Perplexity, Poe et You.com quand il lui faut une réponse dans les quatre-vingt-dix prochaines secondes. Il utilise ce qui charge le plus vite sur le poste pro. Votre métier consiste à arbitrer ce choix à sa place, au niveau réseau et endpoint, avant qu'il ne colle quoi que ce soit.

Les trois indicateurs à mesurer ce trimestre

On ne gouverne pas ce qu'on ne compte pas. Trois chiffres devraient être suivis par toutes les équipes de sécurité européennes dès maintenant. Aucun ne nécessite un cycle d'achat. Tous vont vous surprendre.

1. Inventaire des outils sanctionnés vs non sanctionnés

Lancez une cartographie honnête à partir de la télémétrie navigateur, des logs DNS et des signaux endpoint. La sortie cible est une liste à deux colonnes : outils sous contrat, outils hors contrat. Nous ne voyons quasiment jamais cette liste revenir avec moins de trente destinations d'IA distinctes dans une organisation de plus de 1 000 personnes. La longue traîne comprend des assistants de code dans le navigateur, des résumeurs de niche, des outils PDF assistés par IA, des copilotes de recrutement et au moins un modèle dont personne en sécurité n'avait entendu parler.

2. Prompts quotidiens par ETP de travailleur du savoir

La médiane, dans les déploiements que nous observons, tourne autour de vingt-deux prompts par travailleur du savoir et par jour. Ce chiffre n'a presque aucun sens isolé, parce que la variance par direction est massive. La R&D et le produit dépassent largement soixante. La finance, qui sous-déclare systématiquement dans les enquêtes, se situe confortablement au-dessus de la médiane dès qu'on mesure réellement. Le juridique et les RH sont plus bas en nombre mais plus lourds en sensibilité par prompt. Le commercial fait surtout de la rédaction, à risque limité. Suivez la distribution par direction, pas la moyenne globale.

3. Taux de détection de données sensibles

Sur cent prompts qui sortent de l'organisation, combien déclenchent au moins un de vos détecteurs de données sensibles — identifiants, clés API, IBAN, PII, code source contenant des secrets, identifiants clients ? Dans les déploiements réels de Zeuslock chez des ETI européennes, le taux typique se situe entre six et neuf pour cent. Si vous traitez trente mille prompts par jour pour une organisation de 2 000 personnes, cela représente entre 1 800 et 2 700 prompts sensibles par jour. Chaque jour.

D'où viennent réellement les fuites

Trois directions font l'essentiel des fuites, et ce ne sont pas celles qui inquiètent le plus le RSSI moyen.

La finance — la leader sous-déclarée

Les équipes finance sont discrètement les plus gros utilisateurs d'IA dans beaucoup d'entreprises européennes, parce que les rapprochements Excel, le reporting narratif, la rédaction de board packs, les commentaires de change et l'analyse d'écarts sont exactement ce que les LLM savent bien faire. Elles manipulent aussi les données au plus mauvais rayon d'impact : table de capitalisation, modèles M&A, brouillons de résultats, revenu au niveau client, contrats fournisseurs. Les enquêtes sous-estiment systématiquement l'usage IA en finance parce que ce travail est privé par défaut. La télémétrie, elle, ne ment pas.

Les RH — la fabrique de données personnelles

Les RH affichent la plus forte densité de données à caractère personnel par prompt, toutes directions confondues. Lettres de licenciement, plans d'amélioration, rapports disciplinaires, dossiers d'immigration, exceptions de paie — l'ensemble contient en général noms complets, adresses, identifiants nationaux (NIR en France, NIE en Espagne, Steuer-ID en Allemagne), tranches de rémunération et parfois contexte médical. Un seul collage négligent dans un chatbot grand public, et c'est une discussion avec la CNIL, l'AEPD ou le BfDI qui se prépare.

Les développeurs — code et secrets

Les ingénieurs collent du code. C'est le métier. Ce qu'ils collent aussi, souvent sans le voir, c'est le fichier .env, la chaîne de connexion, la clé AWS AKIA, le token OpenAI sk-, le token GitHub ghp_, le JWT qu'ils étaient en train de déboguer, le SQL avec des vraies données client dans la clause WHERE. Des outils comme Claude Code, Cursor, Copilot CLI ou Aider ont rendu ça plus rapide et plus invisible, pas moins. La fuite code-plus-secrets est celle qui finit dans un run d'entraînement d'un modèle public, et c'est la plus difficile à récupérer.

Pourquoi la sous-estimation 4 à 6× se produit

Trois raisons structurelles, aucune n'a à voir avec la paresse du RSSI.

  • Biais d'auto-déclaration. Les enquêtes internes d'usage IA sont remplies par des gens qui savent que l'usage IA est vaguement mal vu. Ils arrondissent vers le bas.
  • Vision tunnel des outils sanctionnés. Une fois que vous avez ChatGPT Enterprise ou Copilot pour Microsoft 365, l'attention de la gouvernance se concentre dessus, et la longue traîne d'outils gratuits devient invisible.
  • Le navigateur comme système. L'essentiel de l'IA fantôme se passe désormais entièrement dans un onglet. Les DLP réseau conçues pour les uploads de fichiers ne voient pas un collage dans une zone de texte.

L'avis tranché

La plupart des organisations sécurité européennes traitent encore l'IA générative comme une question d'achat — sur quel fournisseur on standardise, quel DPA on signe. Nécessaire, mais largement insuffisant. L'exposition réelle est comportementale, distribuée à travers le personnel, et se mesure en collages par jour, pas en sièges par an. Tant que vous n'instrumentez pas le collage, vous gouvernez un modèle qui ne vous appartient pas.

Ce qu'il faut mesurer ce trimestre — checklist

  1. Construire un inventaire des outils : toutes les destinations IA touchées par un navigateur ou un poste pro ces 30 derniers jours, colonne sanctionnés vs colonne non sanctionnés.
  2. Mesurer le volume quotidien de prompts par ETP de travailleur du savoir, ventilé par direction. Attendez-vous à une médiane autour de 22 et une longue traîne au-dessus de 60.
  3. Faire passer un détecteur de données sensibles sur les prompts sortants pendant deux semaines. Restituer le taux de détection en pourcentage et le volume absolu quotidien.
  4. Identifier les trois directions qui fuient le plus, par taux et non par effectif. Parier sur finance, RH et R&D dans le top 3.
  5. Choisir les cinq outils non sanctionnés les plus utilisés. Pour chacun, décider : sanctionner, bloquer, ou superviser avec anonymisation. Documenter la décision.
  6. Programmer une revue à 90 jours sur les mêmes cinq indicateurs. La tendance compte plus que les niveaux absolus.
  7. Briefer le comité d'audit sur la tendance, pas sur la moyenne. Le chiffre IBM sert de contexte. Votre taux de détection est la vérité opérationnelle.

Pour démarrer côté détection, Zeuslock embarque plus de trente patterns de données sensibles prêts à l'emploi et un déploiement progressif Monitor → Anonymiser → Bloquer qui permet de mesurer d'abord et d'appliquer ensuite. Voir le guide des politiques de détection pour le déroulé opérateur.

Protect your data from AI leaks

Try Zeuslock free — DLP for ChatGPT, Claude, Gemini and more.

Book a demo →