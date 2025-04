L'omniprésence du Shadow AI :



en moyenne, les entreprises utilisent 254 applications IA, souvent non gérées. 45,4 % des données sensibles ont été soumises depuis des comptes personnels, principalement Gmail (57,9 %), ce qui montre que la majorité des usages échappe à l’IT.



Les données juridiques et financières ont doublé (30,8 %), Le code sensible a presque doublé (10,1 %), Les données clients (27,8 %) et employés (14,3 %) ont reculé.







Un risque souvent sous-estimé par les utilisateurs

La ruée vers l’IA générative

Plus de 75 % des entreprises utilisent désormais l’IA, selon McKinsey.

Le potentiel de productivité est estimé à 4 400 milliards $.

Le marché devrait croître de près de 40 % en 2025.



L’explosion de la Shadow AI

68 % des utilisateurs de ChatGPT le cachent à leur hiérarchie

Près de la moitié refuserait de cesser même si l’outil était interdit

Les employés trouvent l’IA trop attrayante pour y renoncer, même sans licence approuvée



Les entreprises utilisent en moyenne 254 applications IA différentes, ou apps avec IA intégrée.

Cela reflète une phase de tests massifs mais aussi un débordement incontrôlé des solutions SaaS.

45,4 % des requêtes contenant des données sensibles proviennent de comptes personnels (et non professionnels). Parmi eux, Gmail représente 57,9 % des adresses utilisées.



PDF : 13,4 %

DOCX : 5,46 %

XLSX : 4,90 %

CSV : 3,17 %

PPTX : 1,45 %



MP4 : 0,18 %

QuickTime (.mov) : 0,01 %



L’essor des applications IA chinoises

Baidu Chat et Ernie Bot (Baidu) : amélioration continue de la compréhension du langage et intégration croissante en entreprise.

DeepSeek : apprécié pour ses modèles open-source puissants, qui séduisent chercheurs et développeurs.

Kimi Moonshot : mis en lumière pour sa capacité à traiter de longs contextes, idéal pour documents complexes et raisonnement approfondi.

Manus (MiniMax) : se concentre sur la conversation polyvalente.

Qwen Chat (Alibaba) : conçu pour la productivité et le travail intellectuel.



La mutation des fuites de données sensibles

Type de donnée Premier trimestre 2024 Premier trimestre 2025 Évolution Juridique & Finance 14,9 % 30,8 % + 15,9 points Code sensible 5,6 % 10,1 % + 4,5 points Données clients 45,8 % 27,8 % - 18 points Données employés 26,8 % 14,3 % -12,5 points Données personnelles - 14,8 % explicitement mesuré au premier trimestre 2025 Sécurité 6,9 % 2,1 % - 4,8 points

Où vont les données sensibles ?

ChatGPT (OpenAI) : 79,1 % des données sensibles, dont 21 % (2 479 requêtes) ont transité par la version gratuite, non encadrée

Claude (Anthropic)

Gemini (Google)

Copilot (Microsoft)

Perplexity AI



L’avènement de ChatGPT, Copilot, Claude et autres Gemini a démocratisé l’accès à des intelligences artificielles puissantes. Résultat : des millions de salariés ont désormais la possibilité de générer, résumer, traduire ou reformuler des contenus professionnels en quelques secondes. L’adoption de l’IA générative en entreprise a donc explosé au premier trimestre 2025, stimulée par les promesses de productivité et la pression concurrentielle.Cependant, une analyse de Harmonic Security portant sur plus de 176 000 requêtes et des milliers de fichiers envoyés par un échantillon de 8 000 utilisateurs révèle des risques en pleine évolution.Bien que l’exposition globale de données sensibles ait légèrement diminué, la nature des données exposées a changé vers des catégories à plus fort impact, ce qui exige des contrôles plus poussés que la simple visibilité.Mais selon Harmonic Security, 50 % des employés utilisent ces outils sans l’aval de leur entreprise, voire à travers des moyens contournés (comptes Gmail personnels, proxies, plateformes gratuites). Cette pratique est désormais désignée comme « Shadow AI », par analogie avec le « Shadow IT » qui désignait autrefois les outils logiciels installés sans validation du service informatique.Voici les principaux constats dressés par le rapport :En clair, l’IA s’infiltre désormais au cœur des fonctions à forte valeur ajoutée, ce qui accroît massivement le risque de fuites à fort impact.Ces usages ne sont pas nécessairement malveillants. Dans la majorité des cas, les employés agissent par souci d’efficacité, pour gagner du temps dans la rédaction de mails, le traitement de documents, la génération de contenu ou le support client. Mais ce pragmatisme du terrain se heurte à une réalité plus inquiétante : 69 % des utilisateurs n’ont reçu aucune formation sur les risques liés à l’IA.Ignorant les implications réglementaires (RGPD, secret professionnel, confidentialité), beaucoup pensent – à tort – qu’il suffit de ne pas donner de noms pour éviter les problèmes.En vérité, même un simple contenu texte contenant des instructions internes, des éléments contractuels ou des données métiers peut constituer un actif sensible, notamment lorsqu’il est soumis à une IA dont les politiques de conservation ou de réutilisation ne sont pas transparentes.Le premier trimestre 2025 a marqué l’entrée de l’IA générative (GenAI) au cœur des opérations d’entreprise. Cette adoption rapide mêle opportunités colossales et risques souvent sous-estimés.Selon une enquête de McKinsey, 74 % des PDG admettent qu’ils pourraient perdre leur poste dans les deux ans s’ils ne livrent pas de résultats concrets grâce à l’IATobi Lütke, PDG de Shopify, a même imposé l’IA comme norme interne : Les équipes doivent prouver qu’une tâche ne peut pas être automatisée avant d’envisager un recrutement. L’IA est considérée comme un multiplicateur de productivité x100.Mais cette pression peut inciter à prendre des raccourcis risqués si les outils officiels sont jugés insuffisants.Même les entreprises qui tentent de restreindre l’usage de l’IA rencontrent un obstacle majeur : la Shadow AI.Il faut dire que ce n'est pas vraiment une surprise. Une enquête précédente de Salesforce parvenait aux mêmes conclusions : selon elle, de nombreux utilisateurs d'IA générative sur le lieu de travail exploitent la technologie sans formation, conseil ou approbation de leur employeur. Dans son rapport, Salesforce a indiqué que 55 % des travailleurs ont utilisé des outils d'IA générative non approuvés au travail, et 40 % des utilisateurs d'IA générative sur le lieu de travail ont utilisé des outils interdits au travail, de nombreux travailleurs reconnaissant encore que l'utilisation éthique et sûre de l'IA générative passe par l'adoption de programmes approuvés par l'entreprise.L'enquête menée par Salesforce auprès de plus de 14 000 travailleurs issus de diverses entreprises situées en Amérique du Nord, en Europe, en Amérique latine et au Moyen-Orient a révélé qu'en dépit des promesses que l'IA générative offre aux travailleurs et aux employeurs, l'absence de politiques clairement définies et de mécanismes d'application conçus pour contrôler son utilisation peut exposer leur entreprise à des risques opérationnels, juridiques et réglementaires.ChatGPT domine les usages, mais le tableau est bien plus éclaté :Résultat : la commodité prend le pas sur la sécurité et la gouvernance d’entreprise.Fait inattendu : les fichiers image représentent 68,3 % des fichiers uploadés vers ChatGPT.Explication probable : des employés ont créé des portraits de collègues à la sauce Ghibli Les autres types de fichiers fréquemment envoyés :Côté vidéo : très faible utilisationEn 2025, le paysage de l’IA en Chine a connu une accélération fulgurante, marquée par l’arrivée de plusieurs chatbots avancés en compétition directe avec leurs équivalents occidentaux.Les principales plateformes IA chinoises dans le rapport sont :Ensemble, ces outils témoignent d’un maturité rapide de l’écosystème IA chinois, qui rivalise désormais avec les géants occidentaux dans les usages pro et grand public.7 % des utilisateurs de l’échantillon étudié ont eu recours à ces plateformes chinoises. Cela représente 565 utilisateurs sur 8 000.Les responsables cybersécurité s’inquiètent déjà des fuites de données sensibles vers ces outils. En Chine, l’État peut demander à tout moment l’accès aux données collectées. Toute donnée partagée avec DeepSeek doit être considérée comme potentiellement récupérable par le Parti communiste chinois.En comparant les deux périodes, on observe une légère baisse du volume global de données sensibles exposées, mais surtout un bouleversement dans la nature des données compromises, ce qui modifie profondément le profil de risque des entreprises.Le taux de requêtes sensibles est passé de 8,5 % à 6,7 %. Cette baisse ne doit pas être perçue comme rassurante : Elle pourrait refléter une meilleure sensibilisation… ou simplement des limites dans la détection.L’analyse montre une concentration massive des fuites de données vers ChatGPT, en particulier vers sa version gratuite, échappant à tout cadre de gouvernance sécurisé.Données sensibles envoyées par plateforme :...