À mesure que les plateformes d'IA générative (GenAI) gagnent en popularité, les employés les utilisent de plus en plus pour améliorer leur productivité dans des domaines tels que la création de contenu, l'analyse de données, la génération de code et le débogage, entre autres. Cependant, les employés peuvent utiliser ces outils en dehors des garde-fous de gouvernance formels de l' , sans comprendre les risques associés à ces outils. Cette tendance croissante, qui consiste à utiliser les technologies d'IA sans l'approbation ou la supervision des équipes de cybersécurité, est appelée « IA fantôme ».
Risques de conformité
Les employés peuvent soumettre des données confidentielles, exclusives ou appartenant à des clients à une plateforme d'IA. Ces données peuvent être conservées ou utilisées dans le cadre de la formation de modèles externes, ce qui peut entraîner des violations de la confidentialité ou le non-respect des cadres réglementaires, tels que le règlement général sur la protection des données (RGPD) de l'Union européenne, la loi américaine sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et les contrôles SOC 2 (Service Organizational Controls 2).
Vulnérabilité accrue aux cyberattaques
De plus, de nombreuses applications développées rapidement, en particulier les outils « wrapper », qui sont des applications tierces construites sur des plateformes d'IA publiques, contournent souvent les évaluations de sécurité formelles et ne disposent pas de protections essentielles telles que le cryptage. Ces lacunes élargissent considérablement la surface d'attaque d'une organisation, créant des vulnérabilités que les outils de sécurité traditionnels ne sont pas conçus pour détecter ou contrer. La plupart des outils de surveillance existants ne sont pas équipés pour détecter l'activité de l'IA fantôme. Si une telle utilisation n'est pas détectée, elle ne peut être contrôlée ni corrigée.
La nécessité d'une gouvernance de l'IA, et non d'une interdiction
L'interdiction générale des outils d'IA n'empêchera pas leur utilisation ; les employés adopteront probablement une approche plus discrète, ce qui renforcera les inquiétudes liées à l'IA fantôme. Les organisations doivent donc adopter des politiques de gouvernance de l'IA durables et tenant compte des risques, qui doivent s'intégrer aux architectures de gouvernance et de conformité existantes.
Une fois ces politiques mises en place, les employés peuvent se voir accorder l'accès à des plateformes d'IA approuvées par l'entreprise et dotées de contrôles, tels que la rédaction des données, la journalisation rapide et la prévention des pertes de données, afin de garantir la visibilité des actions des employés et de protéger les données sensibles.
Comme dans la plupart des domaines de la cybersécurité, les risques les plus importants résident dans les erreurs des utilisateurs, et le contrôle le plus efficace reste la formation des employés. Même les contrôles les plus avancés ne peuvent compenser un personnel mal informé. Les organisations doivent former leurs employés aux risques liés à l'utilisation d'applications d'IA non approuvées par l' , aux outils dont l'utilisation est autorisée et aux types de données qui peuvent être saisies en toute sécurité dans ces applications. La formation doit être continue et évoluer en fonction des plateformes d'IA et du paysage de la gouvernance.
L'IA fantôme représente un défi de gouvernance en pleine expansion pour les équipes chargées de la sécurité, des questions juridiques et de la conformité. Les organisations doivent s'appuyer sur une gouvernance interne pour s'assurer que l'IA constitue un atout concurrentiel plutôt qu'un passif non géré. Les entreprises qui développent des régimes de gouvernance structurés en matière d'IA et investissent dans la formation continue de leurs employés sont les mieux placées pour tirer le meilleur parti des outils d'IA tout en garantissant la sécurité des données sensibles.
Découvrez comment tirer parti de nos experts régionaux et spécialisés de premier plan pour obtenir des informations qui aideront votre organisation à garder une longueur d'avance sur les risques qui pèsent sur votre personnel et vos opérations.
Associés
Étiquettes
Analyse
L'expansion de l'interface entre les zones sauvages et urbaines augmente les risques et les impacts des incendies de forêt
L'expansion de l'interface entre les zones sauvages et urbaines (WUI), principalement due à la croissance démographique et à l'urbanisation, est susceptible d'exacerber les risques et les impacts des incendies de forêt.
Par Elizabeth Yin
25 septembre 2025
Étude de cas
Crisis24 Mass Notification assure la résilience des communications hors bande pour une entreprise aérospatiale
Une entreprise aérospatiale adopte Crisis24 Mass Notification pour la résilience des communications hors bande.
24 septembre 2025
Analyse
Le regain d'intérêt pour le secteur pétrolier libyen suscite l'espoir économique malgré les défis opérationnels
L'intérêt croissant de la communauté internationale pour le secteur pétrolier libyen apporte espoir et défis pour le renouveau et la stabilisation de l'économie du pays.
Par Dyna Faid
17 septembre 2025
Livrel
Renforcer la résilience grâce à une IA responsable
Cet Ebook offre des stratégies pratiques pour l'utilisation responsable des outils d'IA qui améliorent la détection des menaces, les communications de crise et les opérations pour les équipes de sécurité.
Par Chris Hurst, Vice-président, IA et innovation
17 septembre 2025