Shadow AI
Qu'est-ce que Shadow AI ?
Shadow AIUtilisation par les employés d'outils, modèles ou services d'IA sans la connaissance ni l'approbation des fonctions sécurité, vie privée ou gouvernance de l'organisation.
Le Shadow AI est l'héritier du Shadow IT à l'ère de l'IA. Les employés collent du code source, des contrats, des données clients ou des documents stratégiques dans des chatbots grand public, installent des copilotes de navigateur ou extensions IDE non approuvés, ou fine-tunent des modèles locaux sur des données confidentielles. Les risques : exfiltration, perte de propriété intellectuelle, non-conformité (RGPD, HIPAA), injection de prompt via des outils non managés, et sorties non contrôlées de modèles qui irriguent des décisions opérationnelles. La parade combine inventaire et politique IA, alternatives sanctionnées (GenAI d'entreprise avec DLP et audit), contrôles de sortie et CASB, flux en navigateur isolé et formation. Les programmes s'alignent souvent sur le NIST AI RMF et l'ISO/IEC 42001 pour intégrer le Shadow AI à la gouvernance globale.
● Exemples
- 01
Des ingénieurs collent du code propriétaire dans un chatbot grand public gratuit pour le déboguer.
- 02
Une équipe marketing utilise un service de traduction IA non audité qui stocke le texte sur des serveurs tiers.
● Questions fréquentes
Qu'est-ce que Shadow AI ?
Utilisation par les employés d'outils, modèles ou services d'IA sans la connaissance ni l'approbation des fonctions sécurité, vie privée ou gouvernance de l'organisation. Cette notion relève de la catégorie Sécurité de l'IA et du ML en cybersécurité.
Que signifie Shadow AI ?
Utilisation par les employés d'outils, modèles ou services d'IA sans la connaissance ni l'approbation des fonctions sécurité, vie privée ou gouvernance de l'organisation.
Comment fonctionne Shadow AI ?
Le Shadow AI est l'héritier du Shadow IT à l'ère de l'IA. Les employés collent du code source, des contrats, des données clients ou des documents stratégiques dans des chatbots grand public, installent des copilotes de navigateur ou extensions IDE non approuvés, ou fine-tunent des modèles locaux sur des données confidentielles. Les risques : exfiltration, perte de propriété intellectuelle, non-conformité (RGPD, HIPAA), injection de prompt via des outils non managés, et sorties non contrôlées de modèles qui irriguent des décisions opérationnelles. La parade combine inventaire et politique IA, alternatives sanctionnées (GenAI d'entreprise avec DLP et audit), contrôles de sortie et CASB, flux en navigateur isolé et formation. Les programmes s'alignent souvent sur le NIST AI RMF et l'ISO/IEC 42001 pour intégrer le Shadow AI à la gouvernance globale.
Comment se défendre contre Shadow AI ?
Les défenses contre Shadow AI combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Shadow AI ?
Noms alternatifs courants : IA non sanctionnée, BYOAI.
● Termes liés
- ai-security№ 027
Gouvernance de l'IA
Ensemble de politiques, processus, rôles et contrôles qu'organisations et régulateurs mobilisent pour garantir un développement, un déploiement et une exploitation responsables et conformes des systèmes d'IA.
- ai-security№ 025
AI Bill of Materials (AIBOM)
Inventaire lisible par la machine de chaque composant entrant dans un système d'IA — datasets, modèles de base, données de fine-tuning, bibliothèques, prompts, artefacts d'évaluation — utilisé pour la sécurité, la conformité et la responsabilité.
- ai-security№ 034
Risque de chaîne d'approvisionnement IA
Ensemble de menaces issues des datasets, modèles de base, bibliothèques, plug-ins et infrastructures tiers que les organisations combinent pour construire et déployer des systèmes d'IA.
- cloud-security№ 148
CASB (Cloud Access Security Broker)
Point d'application de politiques situé entre les utilisateurs et les applications cloud/SaaS pour assurer visibilité, protection des données et contrôle des menaces.
- ai-security№ 281
Empoisonnement de données
Attaque contre un système d'apprentissage automatique dans laquelle l'adversaire injecte, modifie ou réétiquette des données d'entraînement pour que le modèle résultant se comporte mal ou contienne des portes dérobées cachées.
- ai-security№ 029
Réponse aux incidents IA
Ensemble de processus, rôles et playbooks qu'une organisation utilise pour détecter, contenir, enquêter, communiquer et se remettre d'incidents impliquant des systèmes d'IA.