Parce que… c’est l’épisode 0x739!

Shameless plug

• 14 au 17 avril 2026 - Botconf 2026
• 20 au 22 avril 2026 - ITSec
  • Code rabais de 15%: Seqcure15
• 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
• 9 au 17 mai 2026 - NorthSec 2026
• 3 au 5 juin 2026 - SSTIC 2026
• 19 septembre 2026 - Bsides Montréal
• 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
• 24 et 25 février 2027 - SéQCure 2027

Description

Contexte et ton de l’épisode

Cet épisode spécial PME du podcast P-Secure réunit trois invités : Dominique Derrier, Nicolas Milot et Cyndie Fletz. L’ambiance est décontractée, avec quelques taquineries adressées à Dominique, qui avait raté le rendez-vous précédent. L’épisode fait suite à une discussion sur le Shadow IT en général, et se concentre cette fois-ci exclusivement sur le Shadow AI — un sujet qui suscite un intérêt croissant, autant chez les utilisateurs que chez les équipes de sécurité informatique.

D’emblée, les trois participants rappellent qu’ils ne se présentent pas comme des experts absolus : le domaine est si récent et évolue si vite que les opinions exprimées reflètent l’expérience du moment. Ce qui est vrai aujourd’hui pourrait être caduc dans un an.

Qu’est-ce que le Shadow AI ?

Pour rappeler les bases, le Shadow IT désigne l’ensemble des outils et logiciels installés ou utilisés par les employés sans que le département informatique en ait connaissance ou contrôle. Le Shadow AI en est la déclinaison moderne : il s’agit de l’utilisation non encadrée d’outils d’intelligence artificielle — comme ChatGPT, Claude (Anthropic), Microsoft Copilot ou d’autres — dans le cadre professionnel, que ce soit via des abonnements personnels, des accès navigateur ou des outils non approuvés par l’entreprise.

Pourquoi c’est inévitable

L’un des points centraux de la discussion est que le Shadow AI ne peut pas être simplement interdit. Les participants font une analogie parlante : tenter de bloquer l’usage de l’IA dans une entreprise, c’est comme penser qu’un adolescent va vous obéir dès que vous avez le dos tourné. Les employés qui souhaitent utiliser ces outils trouveront toujours un moyen de le faire — via leur téléphone personnel, leur propre abonnement cloud ou leur ordinateur à domicile.

La réalité, c’est que l’IA apporte une réelle valeur ajoutée : productivité accrue, autonomie renforcée, gain de temps sur des tâches répétitives. Nier cela ou l’interdire en bloc, c’est passer à côté d’une opportunité et pousser les employés vers des comportements encore moins contrôlés.

Les risques concrets pour les PME

Si les bénéfices sont réels, les risques le sont tout autant. Les intervenants en dressent une liste :

• La fuite de données confidentielles : les employés peuvent, parfois involontairement, copier-coller des informations sensibles dans un outil d’IA public. La frontière entre une utilisation prudente et un transfert non voulu d’informations est mince.
• Les MCP (Model Context Protocol) : ces connecteurs permettent de lier un modèle d’IA à des outils externes. Si leur usage n’est pas encadré, ils représentent une porte d’entrée potentielle pour des logiciels malveillants, même lorsque l’entreprise a approuvé un fournisseur d’IA spécifique.
• La mauvaise configuration des outils : contrairement à un logiciel d’entreprise classique, beaucoup d’outils d’IA sont accessibles directement via un navigateur, sans passer par le département IT. Le contrôle est donc structurellement plus difficile.
• Le faux sentiment de toute-puissance : les LLM peuvent donner aux utilisateurs l’impression d’avoir accès à une connaissance infaillible. Or, les modèles hallucinent, se trompent, et peuvent générer des rapports erronés sur lesquels des décisions d’entreprise seront prises. Un exemple évoqué dans l’épisode : une entreprise qui, pendant des mois, a fondé ses décisions sur des rapports générés par une IA sans jamais les vérifier — et qui s’est retrouvée avec des données complètement fausses.

Le rôle de l’équipe IT : des garde-fous, pas des gardiens

Une question intéressante est soulevée : qui est responsable du Shadow AI dans une entreprise ? La réponse est claire : ce ne peut pas être uniquement le département IT. Celui-ci peut mettre en place des garde-fous techniques, mais les décisions stratégiques — quels outils autoriser, dans quel cadre, avec quelles politiques — doivent venir d’un niveau hiérarchique plus élevé, impliquant la direction et les ressources humaines.

L’IT est un exécutant de mesures de sécurité, pas le seul décideur d’une politique d’usage de l’IA.

Recommandations pratiques pour les PME

Les trois invités convergent vers plusieurs recommandations concrètes :

1. Dialoguez avec vos employés avant d’écrire des politiques. Comprenez pourquoi ils utilisent ou voudraient utiliser l’IA, ce qu’ils espèrent en tirer, et intégrez-les dans la réflexion.

2. Fournissez les outils vous-mêmes. Comme pour les gestionnaires de mots de passe, si vous souhaitez que les employés utilisent des outils sécurisés, donnez-leur accès à des licences approuvées. Sinon, ils se débrouilleront avec des alternatives gratuites ou personnelles.

3. Ne montez pas votre propre LLM. Pour une PME, construire son propre modèle de langage local serait extrêmement coûteux et peu pertinent. Mieux vaut s’appuyer sur des fournisseurs existants, en choisissant ceux dont les pratiques éthiques et de sécurité sont les plus solides.

4. Adaptez la politique au profil de risque. Une entreprise avec des développeurs techniques aura besoin d’une politique plus stricte qu’une PME de services dont les employés n’utilisent que le volet conversationnel de l’IA. Idem pour les secteurs réglementés comme le droit, où l’IA est utile pour la recherche générale mais ne doit jamais recevoir de données personnelles de clients.

5. Éduquez et sensibilisez. Rappelez aux employés que l’IA n’est pas magique : elle se trompe, elle ne remplace pas l’expertise humaine, et elle doit être supervisée. L’image du stagiaire est utilisée : capable de beaucoup de choses, mais qui a besoin d’être bien briefé, encadré et vérifié.

Conclusion

L’épisode se termine sur un message d’équilibre : ni interdire, ni laisser faire sans garde-fous. L’IA est là, elle est utile, et les employés l’utiliseront de toute façon. Le rôle des entreprises — et notamment des PME — est d’en faire un usage contrôlé, éduqué et raisonné, en transmettant aux employés les bons réflexes pour minimiser les risques. Un peu comme avec des adolescents : on ne peut pas tout contrôler, mais on peut inculquer des comportements responsables.

Collaborateurs

• Nicolas-Loïc Fortin
• Dominique Derrier
• Cyndie Feltz
• Nicholas Milot

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tag: ia