Que les chefs d'entreprise soient prêts ou non, les agents d'IA sont en train de transformer la façon dont les entreprises font des affaires. Comme l'ont montré des études récentes, les employés se tournent vers l'IA pour réaliser des gains de productivité, même si cela signifie qu'ils échappent au contrôle du département informatique.
Une étude Gartner réalisée en 2025 a révélé que 69 % des organisations soupçonnent ou ont la preuve que des employés utilisent une GenAI publique interdite, et Gartner prévoit que d'ici 2030, plus de 40 % des entreprises connaîtront des incidents de sécurité ou de conformité en raison d'une IA fantôme non autorisée.
Il est déjà dangereux d'avoir des angles morts en matière de sécurité informatique, mais la vitesse, l'autonomie et les privilèges des agents de l'IA peuvent créer une recette puissante pour le risque. Un agent non géré ayant accès à des informations sensibles peut violer les règles de conformité, divulguer des informations ou étendre le rayon d'action d'une attaque s'il tombe sous le contrôle d'un cybercriminel.
Face à ce changement, comment les organisations sécurisent-elles l'entreprise proactive ? Nous nous sommes entretenus avec des dirigeants de C-suite pour le savoir. Voici leurs stratégies pour transformer l'IA fantôme en innovation sécurisée.
1. Privilégier la visibilité à la restriction
Des études ont montré que les travailleurs sont prêts à contourner les directives officielles afin de tirer parti des outils qui les aident à accomplir leur travail. Une étude KPMG de 2025, par exemple, a révélé que près de la moitié des travailleurs américains utilisaient des outils d'IA au travail de manière non autorisée. Bryan McGowan, Global Trusted IA Leader chez KPMG, a expliqué dans une interview que les employés utilisent souvent des outils non autorisés parce qu'ils offrent une plus grande rapidité et facilité d'utilisation que les outils approuvés.
Selon Amar Akshat, vice-président chargé de la technologie et architecte en chef chez Paysafe, tenter de bloquer ces outils peut s’avérer contre-productif.
« Si vous bloquez des choses, vous ne faites que bloquer la visibilité », déclare-t-il. « Le paysage de l'IA évolue si rapidement que les gens utiliseront l'IA au quotidien, et la bloquer ne fait que les encourager à ne pas être visibles lorsqu'ils l'utilisent. »
2. Réduire les obstacles à l'utilisation d'outils d'IA sanctionnés
Pour éviter que les employés ne choisissent leurs propres outils non vérifiés, James Simcox, directeur des opérations et des produits d'Equals Money, suggère aux dirigeants d'être proactifs.
"Dès le début, nous avons proposé ChatGPT à notre personnel, car nous craignions que si nous ne faisions rien, ils le feraient eux-mêmes", explique-t-il.
Le Shadow IT n'est pas un problème nouveau - les employés ont toujours apporté de nouveaux outils - mais les agents de l'IA, avec leur large accès aux données et aux systèmes, ajoutent une nouvelle couche de risque, selon M. Simcox.
« Si vous introduisez accidentellement un produit de type agent d'intelligence artificielle relié à un ensemble de services et que personne ne s'en aperçoit, c'est un vrai problème », ajoute M. Simcox.
Bien entendu, les employés ne peuvent pas suivre des politiques qu'ils ne connaissent pas. En informant les employés sur les outils autorisés, sur la manière de les utiliser de manière productive et sur les règles régissant l'utilisation des données de l'entreprise, vous contribuez à réduire les risques et à responsabiliser votre personnel.
3. Gérer les accès et limiter les autorisations excessives
La clé pour favoriser un paysage sécurisé de l’IA est de gérer les identités et les autorisations des agents non humains avec le même degré de rigueur que les humains. Malheureusement, les efforts de gouvernance sont souvent à la traîne par rapport à l’utilisation de l’IA. Le rapport AI at Work 2025 d'Okta a révélé que seulement 36 % des organisations disposaient d'un modèle de gouvernance centralisé pour l'IA. En outre, seulement 10 % des personnes interrogées ont déclaré que leur organisation disposait d’une stratégie ou d’une roadmap bien élaborée pour la gestion des identités non humaines (NHI).
Cette réalité place les organisations face à un défi fondamental : comment gérer une situation qui peut rapidement devenir ingérable ?
Le risque est aggravé par l'héritage des autorisations, où un agent d'IA assume tous les droits de l'utilisateur qui l'a créé. Si vous êtes administrateur de notre CRM, vous pourriez avoir accès à tout, et lorsque vous avez du mal à faire fonctionner cet outil d'IA, vous pourriez dire : « Laissez tomber, prenez toutes les autorisations que j'ai, utilisez mon compte d'administrateur » et voyez ce qui se passe », explique M. Simcox. Ce comportement crée un réseau tentaculaire d'agents à privilèges excessifs.
La première étape vers l'unification de la visibilité et du contrôle consiste à découvrir quels sont les agents d'IA présents dans votre environnement, explique M. Simcox. Il est utile de disposer des bons outils.
"Je ne peux pas demander au personnel d'examiner chaque plateforme pour voir si chaque outil a la bonne identité ou le bon accès dont il a besoin pour son rôle", poursuit M. Simcox.
C'est là qu'intervient la gestion du niveau de sécurité des identités (ISPM), ajoute M. Simcox. L'ISPM peut fournir une découverte continue et automatisée de toute identité — y compris les agents d'IA — et signaler ceux qui ont un accès excessif avant qu'ils ne puissent être exploités.
« Les identités non humaines et les agents d'IA sont les deux surfaces d'attaque qui se développent le plus rapidement pour les entreprises », déclare Jack Hirsch, VP de la gestion des produits chez Okta. « La visibilité et le contrôle fragmentés ne font qu'augmenter le risque de brèches de données, de violation de la conformité, de résultats biaisés de l'IA et d'autres défis. »
La voie à suivre : l'identité est le fondement de l'IA
En traitant chaque agent d'IA comme une identité primaire — avec son propre cycle de vie, ses autorisations et sa surveillance — les dirigeants peuvent dépasser l'ère de l'IA fantôme et entrer dans une ère d'innovation sécurisée et agentique.
« L'entreprise du futur sera guidée par l'automatisation et alimentée par l'IA », déclare Hirsch, « et le fondement de cet avenir doit inclure une visibilité complète et une gouvernance des identités. »
Vous cherchez à sortir l'IA de l'ombre ? Découvrez comment identifier l'IA fantôme, révéler les risques liés à l'identité et les erreurs de configuration dissimulés, et associer le rayon d'impact des agents grâce à Agent Discovery in ISPM, disponible dès maintenant.
Les agents d’IA se développent rapidement. Votre sécurité est-elle à la hauteur ?
