À mesure que les plateformes d'IA générative (GenAI) gagnent en popularité, les employés les utilisent de plus en plus pour améliorer leur productivité dans des domaines tels que la création de contenu, l'analyse de données, la génération de code et le débogage, entre autres. Cependant, les employés peuvent utiliser ces outils en dehors des garde-fous de gouvernance formels de l' , sans comprendre les risques associés à ces outils. Cette tendance croissante, qui consiste à utiliser les technologies d'IA sans l'approbation ou la supervision des équipes de cybersécurité, est appelée « IA fantôme ».
Risques de conformité
Les employés peuvent soumettre des données confidentielles, exclusives ou appartenant à des clients à une plateforme d'IA. Ces données peuvent être conservées ou utilisées dans le cadre de la formation de modèles externes, ce qui peut entraîner des violations de la confidentialité ou le non-respect des cadres réglementaires, tels que le règlement général sur la protection des données (RGPD) de l'Union européenne, la loi américaine sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et les contrôles SOC 2 (Service Organizational Controls 2).
Vulnérabilité accrue aux cyberattaques
De plus, de nombreuses applications développées rapidement, en particulier les outils « wrapper », qui sont des applications tierces construites sur des plateformes d'IA publiques, contournent souvent les évaluations de sécurité formelles et ne disposent pas de protections essentielles telles que le cryptage. Ces lacunes élargissent considérablement la surface d'attaque d'une organisation, créant des vulnérabilités que les outils de sécurité traditionnels ne sont pas conçus pour détecter ou contrer. La plupart des outils de surveillance existants ne sont pas équipés pour détecter l'activité de l'IA fantôme. Si une telle utilisation n'est pas détectée, elle ne peut être contrôlée ni corrigée.
La nécessité d'une gouvernance de l'IA, et non d'une interdiction
L'interdiction générale des outils d'IA n'empêchera pas leur utilisation ; les employés adopteront probablement une approche plus discrète, ce qui renforcera les inquiétudes liées à l'IA fantôme. Les organisations doivent donc adopter des politiques de gouvernance de l'IA durables et tenant compte des risques, qui doivent s'intégrer aux architectures de gouvernance et de conformité existantes.
Une fois ces politiques mises en place, les employés peuvent se voir accorder l'accès à des plateformes d'IA approuvées par l'entreprise et dotées de contrôles, tels que la rédaction des données, la journalisation rapide et la prévention des pertes de données, afin de garantir la visibilité des actions des employés et de protéger les données sensibles.
Comme dans la plupart des domaines de la cybersécurité, les risques les plus importants résident dans les erreurs des utilisateurs, et le contrôle le plus efficace reste la formation des employés. Même les contrôles les plus avancés ne peuvent compenser un personnel mal informé. Les organisations doivent former leurs employés aux risques liés à l'utilisation d'applications d'IA non approuvées par l' , aux outils dont l'utilisation est autorisée et aux types de données qui peuvent être saisies en toute sécurité dans ces applications. La formation doit être continue et évoluer en fonction des plateformes d'IA et du paysage de la gouvernance.
L'IA fantôme représente un défi de gouvernance en pleine expansion pour les équipes chargées de la sécurité, des questions juridiques et de la conformité. Les organisations doivent s'appuyer sur une gouvernance interne pour s'assurer que l'IA constitue un atout concurrentiel plutôt qu'un passif non géré. Les entreprises qui développent des régimes de gouvernance structurés en matière d'IA et investissent dans la formation continue de leurs employés sont les mieux placées pour tirer le meilleur parti des outils d'IA tout en garantissant la sécurité des données sensibles.
Découvrez comment tirer parti de nos experts régionaux et spécialisés de premier plan pour obtenir des informations qui aideront votre organisation à garder une longueur d'avance sur les risques qui pèsent sur votre personnel et vos opérations.
Associés
Étiquettes
Étude de cas
Un prestataire mondial de services de santé fait appel à Crisis24 pour la protection de ses dirigeants et la gestion intégrée des risques
Un prestataire mondial de services de santé choisit Crisis24 pour la protection de ses dirigeants, la sécurité de ses employés et la gestion des risques basée sur le renseignement.
13 août 2025
Article
La réponse du CSO face aux menaces modernes : Se préparer pour un tireur actif
L’incident récent impliquant un tireur actif au 345 Park Avenue est un exemple de l’évolution des menaces de violence en milieu de travail et la façon dont les CSO modernes repensent leur approche de la préparation.
13 août 2025
Analyse
Les attaques en mer Rouge soulignent la menace persistante des Al-Houthis
Les compagnies maritimes devraient continuer à éviter la mer Rouge à moyen terme en raison de la menace persistante des Al-Houthis.
Par Alex Watt, Danielle Marais
11 août 2025
Étude de cas
Une entreprise énergétique mondiale renforce son devoir de diligence grâce au système de notification de masses de Crisis24
Une entreprise énergétique mondiale s'appuie sur le système de notification de masse Crisis24 pour envoyer des alertes d'urgence géolocalisées afin de protéger ses employés et renforcer son devoir de diligence.
6 août 2025