Par Mario Bouchard, M. Adm., CISSP — Président, InfoSec Sécurité de l'information Inc.

Il y a vingt ans, vos employés installaient Dropbox et des clés USB sur leurs postes pour contourner les délais du département TI. On appelait ça le « shadow IT ». Le phénomène était irritant, mais gérable.

Aujourd'hui, le même réflexe est de retour, mais avec des conséquences d'un tout autre ordre. Vos employés utilisent ChatGPT, Gemini, Copilot et d'autres outils d'intelligence artificielle pour rédiger des rapports, analyser des données et accélérer leur travail. Souvent avec de bonnes intentions. Presque toujours sans supervision. Et parfois, avec des données que vous ne voudriez jamais voir sortir de votre organisation.

C'est ce qu'on appelle le shadow AI.

Le problème n'est pas l'IA. C'est l'angle mort.

Soyons clairs : l'IA est un outil de productivité extraordinaire. Le problème n'est pas que vos équipes l'utilisent. Le problème, c'est que vous ne savez pas comment elles l'utilisent.

Les chiffres parlent d'eux-mêmes. Selon une étude de BlackFog (Sapio Research, novembre 2025, publiée en janvier 2026), 86 % des travailleurs utilisent des outils d'IA au moins une fois par semaine pour leur travail. Parmi ceux qui utilisent des outils non approuvés, 58 % déclarent s'appuyer sur des versions gratuites, celles qui n'offrent aucune garantie de sécurité, de gouvernance des données ou de protection de la vie privée. Netskope rapporte que 47 % des utilisateurs de plateformes d'IA générative y accèdent avec des comptes personnels, complètement en dehors du périmètre de surveillance de l'entreprise.

Et ce ne sont pas des comportements marginaux. BlackFog révèle que 49 % des travailleurs utilisent des outils non approuvés par leur employeur. Pire encore : 63 % estiment que c'est acceptable de le faire si l'entreprise n'offre pas d'alternative approuvée.

Ce que ça coûte concrètement

Le rapport IBM Cost of a Data Breach 2025 chiffre l'impact : selon IBM, les organisations avec un niveau élevé de shadow AI subissent un coût moyen de brèche d'environ 4,74 M$ US, soit 670 000 $ de plus que celles avec un niveau faible ou nul (4,07 M$). Vingt pour cent des organisations sondées ont déclaré avoir subi une brèche directement attribuable au shadow AI.

Dans ces incidents, les données les plus fréquemment compromises sont les renseignements personnels de clients (65 % des cas) et la propriété intellectuelle (40 %). Et le plus troublant : 97 % des brèches liées à l'IA impliquaient des contrôles d'accès inadéquats.

Le vrai problème est un problème de gouvernance.

Pourquoi vos employés contournent les règles

Avant de pointer du doigt vos équipes, posez-vous la question : pourquoi le font-elles?

La réponse est presque toujours la même. Il y a un écart entre la vitesse à laquelle les employés ont besoin de solutions et la vitesse à laquelle l'organisation les leur fournit. L'IA générative est accessible en trois clics. Un processus d'approbation technologique prend souvent des semaines, voire des mois. Face à des échéanciers serrés, les gens trouvent leurs propres solutions.

BlackFog le confirme : 60 % des employés sont prêts à prendre des risques pour respecter leurs délais. Ce n'est pas de la désobéissance, c'est de la débrouillardise dans un système qui ne suit pas le rythme de la réalité.

L'enjeu québécois : la Loi 25 change la donne

Pour les organisations qui opèrent au Québec, le shadow AI crée un risque réglementaire direct. La réforme (Loi 25) est entrée en vigueur par phases, la dernière phase étant effective en septembre 2024. Elle impose des obligations strictes en matière de protection des renseignements personnels : évaluations des facteurs relatifs à la vie privée (ÉFVP), consentement éclairé, notification des incidents de confidentialité, et encadrement des décisions automatisées.

Quand un employé copie-colle des données de clients dans un outil d'IA externe sans que l'organisation le sache, c'est potentiellement une violation de la Loi 25. L'organisation ne peut pas déclarer un incident qu'elle n'a pas détecté, ni montrer sa conformité pour un traitement qu'elle ignore.

Obligation Loi 25 : si l'incident présente un risque de préjudice sérieux, l'organisation doit aviser la Commission d'accès à l'information (CAI) et les personnes concernées avec diligence, et consigner l'incident au registre. La CAI peut imposer des sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial. En cas d'infraction pénale, les amendes peuvent grimper jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial. Dans un contexte de shadow AI, l'organisation ne peut même pas plaider la bonne foi : elle n'avait simplement pas la visibilité.

Le scénario que personne ne veut vivre

Un analyste financier prépare un rapport trimestriel. Pour gagner du temps, il copie-colle un fichier Excel (résultats financiers non publiés, noms de 12 000 clients) dans ChatGPT. Version gratuite. Compte personnel.

Le rapport part à la direction dans l'heure. Résultat impeccable.

Personne n'a rien vu. Aucune alerte. Aucun journal.

Maintenant, les conséquences :

12 000 renseignements personnels transmis à un service externe sans consentement.
La politique d'OpenAI : pour les services destinés aux individus (ex. ChatGPT), le contenu peut être utilisé pour améliorer et entraîner les modèles, avec une option de refus (opt-out) via les contrôles de données. Sans démarche explicite de l'utilisateur, les données soumises peuvent nourrir l'entraînement.
Si l'incident présente un risque de préjudice sérieux au sens de la Loi 25 : obligation de déclarer à la CAI et d'aviser les personnes concernées.
Ordre de grandeur (IBM) : 12 000 dossiers × 166 $/dossier ≈ 2,0 M$. Ce chiffre est un ordre de grandeur basé sur le coût moyen par dossier dans les études IBM, pas un barème précis, mais il donne une idée de l'exposition.
La question de votre C.A. : « Quels contrôles étaient en place pour empêcher ça? »

Ça se passe un mardi matin ordinaire, dans une organisation qui n'a pas de visibilité sur l'utilisation de l'IA.

Par où commencer : des gestes concrets dès lundi matin

Les articles sur le shadow AI ne manquent pas. Ce qui manque, ce sont des actions concrètes. La gestion du shadow AI repose sur quatre gestes en continu : détecter ce qui est utilisé, encadrer avec une politique claire, outiller vos équipes avec des alternatives sécurisées, et mesurer régulièrement pour ajuster le tir. Voici comment les mettre en œuvre dès maintenant, sans budget massif ni projet de transformation.

Posez cinq questions à votre équipe TI

Vous n'avez pas besoin d'un audit complet pour avoir un premier portrait. Lors de votre prochaine rencontre avec votre responsable TI ou votre CISO, posez ces questions :

Est-ce qu'on sait quels outils d'IA sont utilisés dans l'organisation? Pas seulement ceux qu'on a achetés. Ceux que les gens utilisent réellement, incluant les versions gratuites accessibles par navigateur.
Est-ce qu'on voit le trafic réseau vers les plateformes d'IA? Les pare-feux et les proxys peuvent identifier les connexions vers openai.com, anthropic.com, gemini.google.com et d'autres. Si personne ne regarde, c'est un angle mort.
Qu'est-ce qui arrive quand un employé copie des données sensibles dans ChatGPT? Si la réponse est « on ne le sait pas » ou « rien », vous avez votre réponse.
A-t-on une politique d'utilisation de l'IA? Et si oui, est-ce que les employés la connaissent? Une politique que personne ne lit ne protège personne.
Est-ce que notre utilisation de l'IA est documentée dans nos évaluations des facteurs relatifs à la vie privée (ÉFVP), comme l'exige la Loi 25? Si l'IA n'apparaît nulle part dans ces évaluations, il y a un décalage entre votre réalité opérationnelle et votre posture de conformité.

Si la réponse à plus de deux de ces questions est « je ne sais pas », vous avez un angle mort qui pourrait vous coûter très cher le jour où un incident survient.

Faites un audit rapide de l'utilisation de l'IA

Vous n'avez pas besoin d'un mandat de six mois. Commencez par trois gestes simples :

Analysez votre trafic réseau vers les plateformes d'IA connues. La plupart des pare-feux peuvent générer ce rapport en quelques minutes.
Faites un sondage interne anonyme. Demandez simplement à vos employés quels outils d'IA ils utilisent et pour quels types de tâches. Vous serez surpris de la franchise des réponses quand on ne menace pas de sanctions.
Vérifiez les extensions de navigateurs installées sur vos postes de travail. Plusieurs outils d'IA s'intègrent directement dans Chrome ou Edge sans installation visible.

La bonne nouvelle : les organisations qui prennent les moyens de détecter elles-mêmes les incidents liés au shadow AI y parviennent dans 50 % des cas selon IBM 2025, en hausse par rapport à 42 % en 2024 et 33 % en 2023. La tendance est dans la bonne direction.

Rédigez une politique, même imparfaite

Une politique d'utilisation de l'IA n'a pas besoin d'être un document juridique de 40 pages. Elle a besoin de répondre à cinq questions :

Quels outils sont autorisés?
Quels types de données peuvent y être soumis?
Quels usages sont interdits?
Qui est responsable de la gouvernance?
Que faire en cas de doute?

L'important, c'est que la politique soit lisible, réaliste et connue. Un document de 40 pages que personne ne consulte n'est pas une politique, c'est un alibi.

Et surtout : considérez votre politique comme un document vivant. L'IA évolue à une vitesse folle : de nouveaux outils apparaissent chaque semaine, les usages changent, les risques aussi. Une politique rédigée en février sera incomplète en juin. C'est normal. L'approche gagnante est itérative : publiez une première version maintenant, recueillez les commentaires de vos équipes, ajustez trimestriellement en fonction des nouvelles réalités. Une politique qui évolue avec votre organisation sera toujours plus efficace qu'une politique « finale » qui prend la poussière.

Offrez des alternatives avant d'interdire

Interdire l'IA sans offrir d'alternative, c'est comme retirer le téléphone cellulaire sans fournir de ligne fixe. Vos employés vont contourner l'interdiction (ils l'ont toujours fait). Les solutions d'entreprise existent (ChatGPT Enterprise, Azure OpenAI, solutions hébergées localement) et permettent de garder le contrôle sur les données tout en offrant les gains de productivité que vos équipes recherchent.

Ce qui vient ensuite : les agents IA

Le shadow AI d'aujourd'hui concerne principalement des utilisateurs individuels qui copient-collent des données dans des outils d'IA. Mais la prochaine vague est déjà en route. Selon Gartner (août 2025), 40 % des applications d'entreprise intégreront des agents IA d'ici fin 2026, contre moins de 5 % en 2025. Ces agents ne se contentent pas de répondre à des questions : ils exécutent des tâches, accèdent à des systèmes et prennent des décisions de manière autonome.

Pour les organisations qui n'ont pas encore la visibilité sur l'utilisation actuelle de l'IA par leurs employés, l'arrivée des agents IA va multiplier l'angle mort de manière exponentielle.

La question n'est plus « si », mais « comment »

Le shadow AI n'est pas un problème qui va se résorber de lui-même. Netskope a mesuré un triplement du nombre d'utilisateurs d'IA générative en entreprise et une multiplication par six du volume de requêtes (passant de 3 000 à 18 000 par mois en moyenne). Les organisations téléversent en moyenne 8,2 Go de données par mois vers des outils d'IA, un volume en croissance constante.

Il y a vingt ans, la question était de savoir si vos employés utilisaient des clés USB non autorisées. Aujourd'hui, la question est la même, mais les données qui sortent valent infiniment plus cher, et la porte est ouverte 24 heures sur 24.

La question pour les dirigeants n'est plus de savoir si vos employés utilisent l'IA. Ils l'utilisent déjà. La question est : avez-vous la visibilité et la gouvernance nécessaires pour que cette utilisation soit un avantage plutôt qu'un risque caché?

Besoin d'aide pour reprendre le contrôle?

InfoSec accompagne les PME québécoises dans la gouvernance de l'IA et la conformité à la Loi 25. Si vous n'avez pas de CISO dédié, nos services vCISO vous donnent le leadership stratégique nécessaire pour encadrer l'utilisation de l'IA, sans embauche à temps plein.

Évaluez votre maturité en cybersécurité gratuitement

Mario Bouchard est président d'InfoSec Sécurité de l'information Inc., une firme de conseil stratégique en cybersécurité basée à Québec. Avec plus de 30 ans d'expérience, il accompagne les CISO et leaders TI pour faire de la cybersécurité un accélérateur de livraison. infosecurite.com

Sources

BlackFog — The State of AI Usage in the Workplace (Sapio Research, novembre 2025, publié janvier 2026). Statistiques sur l'adoption de l'IA par les travailleurs (86 % d'utilisation hebdomadaire, 49 % d'outils non approuvés, 58 % de versions gratuites parmi les utilisateurs non autorisés, 60 % prêts à contourner les règles, 63 % estiment l'usage acceptable sans alternative). blackfog.com
Netskope — Cloud & Threat Report 2026 et Shadow AI and Agentic AI 2025. Données sur l'utilisation de comptes personnels (47 %), le triplement des utilisateurs genAI, la multiplication par six du volume de requêtes et les volumes de données téléversés (8,2 Go/mois). netskope.com
IBM — Cost of a Data Breach Report 2025 (PDF). Données clés : organisations avec niveau élevé de shadow AI à 4,74 M$ vs 4,07 M$ pour niveau faible/nul (+670 000 $), 20 % des organisations touchées, 97 % de contrôles d'accès inadéquats, coût moyen de 166 $ par dossier compromis (PII clients), 178 $ par dossier (propriété intellectuelle), détection interne à 50 % (vs 42 % en 2024, 33 % en 2023). ibm.com/reports/data-breach
Gartner — Communiqué de presse du 26 août 2025. Projection : 40 % des applications d'entreprise intégreront des agents IA d'ici fin 2026 (vs moins de 5 % en 2025). gartner.com
OpenAI — Politique d'utilisation des données : pour les services destinés aux individus (ex. ChatGPT), le contenu peut être utilisé pour améliorer/entraîner les modèles, avec option de refus (opt-out) via les contrôles de données / portail de confidentialité. openai.com/policies
Loi 25 — Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, Gouvernement du Québec. Entrée en vigueur par phases, dernière phase effective en septembre 2024. Sanctions administratives : jusqu'à 10 M$ ou 2 % du CA mondial. Sanctions pénales : jusqu'à 25 M$ ou 4 % du CA mondial. Obligation de notification à la CAI et aux personnes concernées si risque de préjudice sérieux, avec tenue de registre. legisquebec.gouv.qc.ca