Définition
Shadow AI
Le shadow AI est l'usage de services d'IA générative (ChatGPT, Claude, DeepSeek, Perplexity, Mistral, Grok, etc.) par les collaborateurs sans connaissance, approbation ni supervision de l'IT ou de la sécurité.
Le shadow AI succède directement au shadow IT. Le motif est similaire — adoption portée par la productivité qui contourne les achats — mais l'exposition des données est qualitativement pire car la destination est un modèle tiers dont la rétention, la politique de données d'entraînement et l'exposition juridictionnelle sont généralement opaques.
Pourquoi cela compte
- ✓Sans visibilité sur les services IA utilisés, aucune entrée registre RGPD Article 30 ne peut être faite.
- ✓Le shadow AI est le vecteur principal de fuite d'identifiants vers les LLM.
- ✓Beaucoup de services shadow AI tournent sur infrastructure US soumise au CLOUD Act et à FISA 702.
Questions fréquentes
Comment découvrir le shadow AI ?
Trois signaux complémentaires : logs SSE / SWG pour le DNS sortant vers les domaines IA connus ; télémétrie de l'extension navigateur ; inspection CASB. La console opérateur d'un produit DLP IA le remonte directement car elle est sur le chemin du prompt.