par Stéphane 
7 entreprises sur 10 n’ont aucun système de suivi de l’adoption des outils d’IA. C’est ce que révèle une enquête mondiale menée auprès de plus de 600 responsables IT.
Cato Networks, leader du SASE, publie aujourd’hui les résultats d’une enquête qui révèle qu’une majorité d’organisations dans le monde manquent des capacités de surveillance et des politiques de gouvernance nécessaires pour atténuer les risques liés au shadow AI (usage d’outils d’IA non autorisés et/ou non supervisés).
L’enquête, menée auprès de plus de 600 responsables IT en Amérique du Nord, en EMEA (Europe, Moyen Orient et Afrique) et dans la région APJ, met en lumière un décalage préoccupant : bien que plus de la moitié des répondants (61 %) aient découvert des outils d’IA non autorisés dans leur environnement, seuls 26 % disposent de solutions permettant de surveiller l’usage de l’IA dans l’entreprise dans son ensemble. Près de la moitié (49 %) ne suivent pas du tout l’usage de l’IA ou ne s’en occupent que de manière réactive.
« Dans de nombreuses entreprises, l’adoption de l’IA se développe de façon informelle au sein des équipes opérationnelles », déclare Etay Maor, Chief Security Strategist chez Cato Networks. « Les employés se tournent naturellement vers les outils d’IA avec lesquels ils se sentent à l’aise. Ils pensent que cela leur donne un avantage en matière de productivité. Mais sans visibilité ni gouvernance adéquates, les entreprises élargissent leur surface d’attaque – souvent sans même s’en rendre compte. »
La préparation des entreprises face aux risques de l’IA reste insuffisante
L’étude révèle un défaut majeur dans la manière dont les entreprises abordent l’adoption de l’IA. Selon 71 % des répondants, l’objectif principal de l’adoption de l’IA est d’accroître la productivité et l’efficacité. Pourtant, 69 % déclarent ne pas disposer d’un système de suivi de cette adoption. La plupart des équipes dirigeantes ignorent encore quels outils d’IA leurs employés utilisent, quelles données sont partagées ou quels risques de conformité peuvent émerger de ces usages.
Ce déficit de gouvernance va même au-delà de la seule supervision des usages. Seuls 13 % des répondants estiment que leur organisation gère « très efficacement » les risques liés au shadow AI. Moins d’un répondant sur dix (9 %) considère que son organisation dispose d’une défense « très efficace » contre les cybermenaces générées par l’IA, telles que les deepfakes, les hallucinations ou les attaques par injection de requêtes.
L’IA fantôme ou shadow AI fonctionne de manière similaire au shadow IT : des technologies non autorisées sont adoptées pour résoudre un problème immédiat – mais les risques associés au traitement des données, à l’entraînement de modèles et à l’absence de processus décisionnels clairs en matière d’IA génèrent des inquiétudes. Les responsables IT sont conscients des enjeux : une majorité (53 %) se disent très ou extrêmement préoccupés par les risques liés à la sécurité de l’IA.
« La question n’est pas de savoir s’il existe un usage non supervisé de l’IA dans l’entreprise, mais si vous êtes capables de le détecter, de le gouverner et de le sécuriser avant qu’un incident ne survienne », ajoute Maor. « Notre étude montre que la plupart des entreprises doivent agir rapidement pour gagner en visibilité et reprendre le contrôle de leurs usages de l’IA. »
Ressources
[Blog] The Shadow AI Reality: Inside Cato’s AI Survey Results
[Photo] Etay Maor