Malgré des efforts de gouvernance, le Shadow AI reste omniprésent. L’étude 2026 de Netskope révèle une explosion des volumes de données envoyées vers des outils de GenAI grand public, souvent hors de tout cadre sécurisé.
ChatGPT, Gemini ou Grok s’invitent désormais dans les workflows professionnels. Selon Netskope, près d’un utilisateur sur deux accède encore à ces outils via des identifiants non gérés par l’entreprise. Une pratique banalisée, mais lourde de conséquences pour la sécurité des données.
Le Shadow AI s’installe durablement dans les usages professionnels
L’IA générative gagne du terrain dans les entreprises, portée par une adoption SaaS massive observée tout au long de 2025. Selon Netskope, le nombre d’utilisateurs professionnels de GenAI a presque triplé en un an. Cette progression rapide transforme les pratiques métiers, mais installe durablement le Shadow AI.
Derrière ce terme, l’usage d’outils non encadrés échappe aux équipes sécurité. Ainsi, même avec des environnements cloud mieux gouvernés, des flux parallèles persistent. Netskope s’appuie sur des données anonymisées collectées entre octobre 2024 et octobre 2025. Ces usages diffus créent un angle mort structurel pour les organisations, malgré des politiques officiellement en place.
Comptes personnels et GenAI grand public : une brèche persistante
Près de la moitié des utilisateurs continuent pourtant d’accéder à la GenAI via des comptes personnels. Netskope indique qu’en 2025, 48 % des usages passent encore hors identités d’entreprise. En 2024, cette proportion atteignait 78 % montrant une amélioration relative.
Parallèlement, 62 % utilisent désormais au moins partiellement des comptes gérés, contre 25 % auparavant. Cette coexistence fragilise les périmètres. ChatGPT, Gemini et Grok concentrent l’essentiel des accès non maîtrisés. Chaque connexion personnelle ouvre une brèche supplémentaire, souvent invisible pour les outils de contrôle internes pourtant malgré des chartes internes et formations sécurité répétées régulières internes.
Explosion des volumes de données sensibles hors de l’entreprise
Conséquence directe, les flux de données sensibles explosent hors des murs numériques. Netskope recense un doublement des envois d’informations critiques vers la GenAI. En moyenne, 223 incidents mensuels sont détectés par organisation. Dans les entreprises les plus exposées, ce chiffre grimpe à 2 100 incidents par mois.
Codes sources, données réglementées et identifiants figurent parmi les contenus transférés. Plus préoccupant encore, le volume global de données a été multiplié par six. Les requêtes mensuelles sont passées de 3 000 à 18 000, renforçant l’exposition involontaire selon le rapport 2026 de Netskope, référence cloud sécurité internationale reconnue par les professionnels cybersécurité mondiaux actuels aujourd’hui.
Des politiques IA encore trop fragiles face à la réalité terrain
L’encadrement ne progresse pas au même rythme que les usages observés. Le rapport 2026 souligne une multiplication par 6 des alertes sécurité. Pourtant, les violations formelles de politiques ne doublent que modestement. Pour Netskope, cet écart révèle des règles immatures. La moitié des organisations ne disposent d’aucune politique GenAI dédiée.
L’essor attendu des navigateurs IA, des serveurs MCP et de l’IA agentique en 2026 accentuera la pression. Héberger les modèles via Azure, Bedrock ou Vertex AI réduit certains risques, sans les éliminer car les systèmes multi-agents élargissent la surface d’attaque, facilitant détournements outils et exfiltrations données sensibles multiples persistantes durables.
Restez à la pointe de l'information avec INTELLIGENCE-ARTIFICIELLE.COM !
- Partager l'article :
