Shadow IT et Shadow AI : les risques invisibles qui menacent votre PME
Introduction : quand vos outils du quotidien deviennent un risque invisible
Vos collaborateurs utilisent ChatGPT pour rédiger des emails, DeepL pour traduire des documents, ou leur Dropbox personnel pour partager des fichiers. Ces pratiques semblent anodines, mais elles représentent l'un des risques de cybersécurité les plus sous-estimés pour les PME : le Shadow IT et sa nouvelle variante, le Shadow AI.
Définition clé : Le Shadow IT désigne l'ensemble des logiciels, applications et services cloud utilisés par des collaborateurs sans autorisation ni supervision de la direction informatique. Le Shadow AI en est l'extension : l'usage non encadré d'outils d'intelligence artificielle générative (ChatGPT, Gemini, DeepL…) dans un contexte professionnel.
La réalité est simple : vos données d'entreprise circulent sur des outils que vous ne contrôlez pas, dont vous ignorez parfois l'existence, et qui échappent à toute politique de sécurité. Pour une PME suisse soumise à la nLPD et soucieuse de sa réputation, cette situation représente une vulnérabilité majeure.
Dans cet article, vous allez découvrir ce qu'est réellement le Shadow IT et le Shadow AI, quels risques concrets ils font peser sur votre activité, et surtout comment reprendre le contrôle sans brider la productivité de vos équipes.
Qu'est-ce que le Shadow IT et comment a-t-il évolué ?
Le Shadow IT s'est considérablement amplifié avec la démocratisation du cloud et l'explosion des applications SaaS. WhatsApp pour échanger avec des clients, Google Drive personnel pour stocker des documents, applications de gestion trouvées sur Internet : autant d'exemples courants dans les PME suisses.
Vos collaborateurs ne cherchent pas à contourner les règles par malveillance. Ils veulent simplement être plus efficaces. Si l'outil officiel est lent ou inadapté, ils chercheront naturellement une solution plus pratique ailleurs.
En 2025, ce phénomène a pris une nouvelle dimension avec l'arrivée massive de l'intelligence artificielle générative. On parle désormais de Shadow AI. ChatGPT, Claude, Gemini, DeepL et des dizaines d'autres outils d'IA sont utilisés quotidiennement pour rédiger des rapports, résumer des réunions, traduire des documents ou analyser des données. Ces assistants boostent la productivité, mais leur usage non encadré crée une fuite de données à une échelle jamais vue.
Les risques cachés de l'IA générative pour votre PME
Vos données alimentent les modèles d'IA de tiers
La plupart des services d'IA gratuits fonctionnent selon un modèle simple : vous utilisez l'outil gratuitement, mais vos données sont utilisées pour entraîner et améliorer les modèles d'intelligence artificielle.
Lorsque votre directeur financier copie-colle votre bilan prévisionnel dans ChatGPT pour en obtenir une synthèse, ces données confidentielles quittent l'environnement sécurisé de votre entreprise. Elles sont transmises vers des serveurs souvent situés aux États-Unis, puis intégrées à la base de connaissances de l'IA. Il existe un risque que ces informations sensibles puissent être restituées par l'IA en réponse à la question d'un autre utilisateur, y compris un concurrent.
nLPD et Cloud Act : un double risque juridique réel
Au-delà de la perte de propriété intellectuelle, cette pratique pose des problèmes juridiques concrets pour les PME suisses :
- La nLPD (nouvelle Loi fédérale sur la Protection des Données, en vigueur depuis septembre 2023) impose des règles strictes sur le transfert de données personnelles à l'étranger. En utilisant des outils d'IA publics sans garanties contractuelles, votre entreprise viole potentiellement la loi.
- Le Cloud Act américain (2018) permet aux autorités judiciaires américaines, sur présentation d'un mandat, d'exiger l'accès aux données détenues par des entreprises américaines comme OpenAI (ChatGPT), Google ou Microsoft, même lorsque ces données sont stockées physiquement en Europe. Cette loi s'applique de manière extraterritoriale et les personnes concernées ne sont pas nécessairement informées de cet accès.
Même si le Swiss-U.S. Data Privacy Framework (entré en vigueur en septembre 2024) encadre mieux ces transferts pour les entreprises américaines certifiées, le Cloud Act reste applicable et représente un risque réel pour les données sensibles.
| Risque | Source | Impact potentiel pour votre PME |
|---|---|---|
| Fuite de données confidentielles | IA générative publique (ChatGPT, Gemini…) | Perte de propriété intellectuelle, violation de contrats clients |
| Non-conformité nLPD | Transfert de données personnelles hors Suisse | Sanctions du Préposé fédéral, amendes, atteinte à la réputation |
| Accès par autorités étrangères | Cloud Act américain | Exposition de données stratégiques à des tiers non autorisés |
| Perte de contrôle des fichiers | Dropbox/Google Drive personnels | Données inaccessibles au départ d'un collaborateur |
Scénario concret : une PME RH suisse exposée
Une PME suisse active dans le conseil RH. Un consultant utilise ChatGPT pour résumer des entretiens d'évaluation. Il copie des notes contenant noms, commentaires sur les performances et données salariales. Ces informations se retrouvent entre les mains d'un tiers non autorisé, avec tous les risques : atteinte à la réputation, poursuites, perte du client, sanctions du Préposé fédéral à la protection des données. Appliquer le principe du moindre privilège aurait pu limiter considérablement l'exposition.
Pourquoi interdire n'est pas la solution
Face à ces risques, vouloir interdire purement et simplement ces outils est compréhensible, mais rarement efficace. Une interdiction totale pousse les pratiques dans la clandestinité. Vos collaborateurs continueront à utiliser ces outils en le cachant, vous empêchant de mesurer et de gérer les risques.
Si vos équipes utilisent ChatGPT, c'est parce qu'ils en tirent un bénéfice réel : gagner du temps, produire du contenu de meilleure qualité, se concentrer sur des tâches à plus forte valeur. L'approche recommandée est celle de l'accompagnement et de la gouvernance.
Les gestes simples que vos collaborateurs peuvent adopter dès aujourd'hui
Si vos équipes utilisent des outils d'IA publics et que vous ne pouvez pas leur fournir immédiatement des alternatives sécurisées, voici les pratiques qui réduisent considérablement les risques :
- Anonymisation systématique — Avant de copier un texte dans ChatGPT, supprimer ou remplacer toutes les informations sensibles : noms de personnes, téléphones, emails, adresses, noms d'entreprises clientes, noms de projets, montants financiers précis.
- Utiliser des alias génériques — Au lieu de « Entreprise Dupont SA », écrire « Client A ». Au lieu d'un nom de projet confidentiel, « Projet X ». Cette habitude demande un effort minimal mais protège considérablement vos données.
- Ne jamais soumettre de secrets d'affaires, codes sources critiques, mots de passe, clés d'API ou toute information donnant accès à vos systèmes. Ces données ne doivent jamais quitter votre environnement sécurisé.
Comment reprendre le contrôle en tant que dirigeant
Votre rôle n'est pas seulement de sensibiliser, mais aussi de fournir les outils permettant de travailler efficacement en respectant les règles de sécurité.
Solutions d'IA sécurisées pour remplacer ChatGPT grand public
La première étape consiste à proposer des alternatives suisses ou européennes aux outils d'IA grand public :
- Euria d'Infomaniak — Assistant IA souverain entièrement hébergé en Suisse. Vos données ne quittent jamais les datacenters suisses d'Infomaniak et ne sont jamais utilisées pour entraîner des modèles d'IA. Propose un mode éphémère pour les données ultra-sensibles (aucune trace conservée, même par Infomaniak). Gratuit dans sa version de base, conforme à la nLPD, avec des fonctionnalités similaires à ChatGPT (rédaction, traduction, analyse de documents, transcription audio).
- ChatGPT Enterprise / Microsoft Copilot for Microsoft 365 — Pour les entreprises déjà dans l'écosystème Microsoft ou préférant des solutions américaines avec garanties contractuelles : vos données ne sont pas utilisées pour entraîner les modèles, restent confidentielles et sont traitées conformément aux réglementations. Gestion centralisée des accès incluse.
- Mistral AI — Entreprise française présente en Suisse depuis décembre 2024. Propose « Le Chat Enterprise », déployable sur cloud public ou privé, avec une approche souveraine conforme au RGPD.
Ces solutions ont un coût, mais il doit être mis en balance avec les risques d'une fuite de données. Perdre la confiance d'un client majeur peut avoir des conséquences bien plus graves que l'investissement dans des outils sécurisés.
Reprendre le contrôle sur le stockage et le partage de fichiers
Le Shadow IT concerne aussi WeTransfer, Dropbox personnel, Google Drive personnel. Ces solutions échappent à votre contrôle : aucune visibilité sur les accès, aucune sauvegarde centralisée, souvent aucune authentification multi-facteurs. Si un collaborateur quitte l'entreprise, les fichiers partent avec lui.
Règle claire : les données de l'entreprise doivent résider exclusivement sur les outils de l'entreprise.
| Besoin | Solution grand public (à éviter) | Alternative souveraine recommandée | Avantage clé |
|---|---|---|---|
| Stockage et collaboration | Dropbox / Google Drive personnel | kDrive (Infomaniak) | Hébergement Suisse, jusqu'à 106 To, conforme nLPD |
| Données ultra-confidentielles | — | Proton Drive | Chiffrement zero-access, juridiction suisse, hors Cloud Act |
| Transfert de fichiers volumineux | WeTransfer | SwissTransfer | Gratuit, jusqu'à 50 Go, chiffrement AES-256, hébergement Suisse |
| Sauvegarde professionnelle | — | Swiss Backup (Infomaniak) | Anti-ransomware, réplication sur 2 datacenters suisses, AES-256 |
| IA générative | ChatGPT gratuit / Gemini | Euria (Infomaniak) | Données jamais utilisées pour l'entraînement, mode éphémère disponible |
Mettre en place une politique claire et accompagner le changement
Formalisez votre politique d'utilisation dans un document accessible à tous. Cette charte doit expliquer quels outils sont autorisés, lesquels sont interdits, et pourquoi. Elle précise les bonnes pratiques et les conséquences en cas de non-respect.
Mais une politique écrite ne suffit pas. Organisez des sessions de formation expliquant les risques avec des exemples réels adaptés à votre secteur. Si vos collaborateurs comprennent pourquoi ces règles existent, ils seront plus enclins à les respecter. Un audit de sécurité adapté à votre PME peut vous aider à identifier les zones de risque et à prioriser vos actions.
Instaurez un dialogue continu. Encouragez vos équipes à vous signaler les outils qu'ils souhaiteraient utiliser. Évaluez ces demandes et trouvez des alternatives sécurisées. Cette approche collaborative transforme la sécurité d'une contrainte en démarche partagée.
Questions fréquentes sur le Shadow IT et le Shadow AI
Qu'est-ce que le Shadow IT exactement ?
Le Shadow IT désigne l'ensemble des logiciels, applications et services cloud utilisés par des collaborateurs dans un contexte professionnel sans que la direction informatique en ait connaissance ou ait donné son autorisation. Exemples courants : WhatsApp pour communiquer avec des clients, Dropbox personnel pour stocker des fichiers d'entreprise, ou ChatGPT pour rédiger des documents professionnels.
Qu'est-ce que le Shadow AI ?
Le Shadow AI est une extension du Shadow IT spécifique aux outils d'intelligence artificielle générative. Il désigne l'usage non encadré d'assistants IA publics (ChatGPT, Gemini, Claude, DeepL…) dans un contexte professionnel, sans politique de sécurité ni garanties contractuelles sur le traitement des données soumises.
Pourquoi le Shadow AI est-il particulièrement risqué pour une PME suisse ?
Parce que les données saisies dans des outils d'IA gratuits peuvent être utilisées pour entraîner les modèles, sont stockées sur des serveurs souvent américains (exposant votre entreprise au Cloud Act), et leur transfert peut constituer une violation de la nLPD si elles contiennent des données personnelles. Une fuite de données clients peut entraîner des sanctions légales, la perte de contrats et une atteinte durable à votre réputation.
Quelle est la meilleure alternative suisse à ChatGPT pour une PME ?
Euria d'Infomaniak est l'alternative souveraine la plus complète pour les PME suisses : hébergement exclusif en Suisse, données jamais utilisées pour l'entraînement des modèles, mode éphémère pour les données ultra-sensibles, et fonctionnalités équivalentes à ChatGPT (rédaction, traduction, analyse de documents). La version de base est gratuite.
Faut-il interdire ChatGPT à ses collaborateurs ?
L'interdiction totale est rarement efficace : elle pousse les pratiques dans la clandestinité sans réduire les risques. L'approche recommandée est la gouvernance : sensibiliser les équipes aux risques, fournir des alternatives sécurisées adaptées à leurs besoins, et formaliser une politique d'utilisation claire avec des règles d'anonymisation pour les cas où aucune alternative immédiate n'existe.
Conclusion : sécurité et productivité ne sont pas incompatibles
Le Shadow IT et le Shadow AI ne disparaîtront pas. Ils reflètent une réalité : vos collaborateurs cherchent à être efficaces. Votre rôle n'est pas de freiner cette dynamique, mais de la canaliser de manière sécurisée.
En comprenant les risques, en sensibilisant vos équipes, en fournissant des outils professionnels adaptés et en instaurant une gouvernance claire, vous transformez une menace invisible en avantage compétitif.
Deux actions concrètes dès maintenant :
- Évaluez quels outils d'IA et de stockage sont réellement utilisés dans votre entreprise, puis identifiez les versions professionnelles ou les alternatives suisses qui peuvent les remplacer.
- Communiquez clairement avec vos équipes et accompagnez-les dans cette transition. Pour aller plus loin dans la sensibilisation, PhishTrainer peut vous aider à former vos collaborateurs aux risques cyber de manière interactive.
La cybersécurité de votre PME suisse passe aussi par là. Bexxo peut vous accompagner dans cette démarche de gouvernance et de sécurisation.