Cet article s'inspire de une conversation avec Noora Ahmed-Moshe dans podcast The Secure Disclosure. Écoutez l'épisode dans son intégralité.
Une entreprise a perdu un million de dollars parce qu'une personne participant à un appel concernant un litige a utilisé un outil de prise de notes basé sur l'IA. Comme l'explique Noora Ahmed-Moshe, spécialiste en sciences comportementales, dans le podcast, cet outil a résumé une conversation confidentielle et l'a transmise à la partie adverse, qui s'en est servie pour imposer un accord à ses propres conditions. Les experts juridiques avertissent que les transcriptions générées par l'IA font désormais systématiquement l'objet de demandes de communication de pièces dans le cadre des procédures judiciaires.
Les preneurs de notes ne sont qu'un exemple parmi d'autres. Les employés utilisent l'IA de bien d'autres façons que leurs entreprises ne le pensent, et en réalité, ils y sont contraints. Selon Ahmed-Moshe, il s'agit d'une réaction de peur. « Il règne un sentiment général de panique à l'idée que l'IA vienne vous prendre votre emploi. » Plus de 95 % des employeurs souhaitent désormais recruter des personnes possédant des compétences en IA. Les employés ont peur de se retrouver à la traîne en matière d'outils, car ils analysent correctement le marché du travail.
C'est cette crainte qui alimente l'« IA fantôme ». Les employés se tournent vers des outils non approuvés parce que la technologie évolue plus vite que ne peut le suivre n'importe quel cycle d'autorisation. Le temps que votre service informatique ait mené une démonstration de faisabilité et accordé l'accès, vos employés ont déjà entendu parler par un collègue d'une solution plus performante. Lorsque vous leur fournissez un outil approuvé qui ne correspond pas à leur flux de travail, puis que vous bloquez tout le reste, vous les incitez simplement à cacher les outils qu'ils utilisent réellement.
Et c'est en se cachant que tout commence à se dégrader.
La panique est désormais votre surface d'attaque
Des études montrent que plus de la moitié des employés utilisent désormais des outils d'IA non approuvés au travail. Plus de la moitié d'entre eux alimentent en données sensibles de l'entreprise des outils que leur entreprise ne gère pas, ne surveille pas et dont elle ignore même l'existence. Cela signifie que des informations sensibles telles que des documents juridiques, des données clients et des stratégies internes sont toutes transmises à des modèles non contrôlés
Même les outils réputés proposés dans le cadre d'offres gratuites peuvent utiliser ces données pour entraîner leurs modèles. Un outil moins fiable pourrait quant à lui faire l'objet d'une violation pure et simple. Et comme l'a souligné Ahmed-Moshe, « je ne pense pas que nous ayons encore vraiment vu ces risques se concrétiser, car c'est un phénomène très récent ». L'ampleur du phénomène ne cesse de s'étendre, et nous n'en voyons pour l'instant que les premiers effets.
L'interdiction ne fonctionne pas
L'envie d'interdire toute utilisation non autorisée de l'IA est compréhensible. Samsung l'a fait avec ChatGPT. Un consultant en sécurité a publié un message sur Reddit au sujet d'un client qui avait formulé la même exigence, avant de découvrir que son PDG utilisait ChatGPT depuis six mois sur un compte personnel pour rédiger des présentations destinées au conseil d'administration.
Interdire les outils dont dépendent vos employés ne les empêchera pas de continuer à les utiliser. Comme le dit Ahmed-Moshe : « Si vous essayez d'interdire les outils d'IA dans votre organisation, je ne vois pas comment vous pourrez encore réussir en tant qu'entreprise. » Les outils d'IA présentent de réels risques pour la sécurité, mais ils font partie intégrante de notre façon de travailler. Interdire les outils d'IA, c'est comme dire à des adolescents de ne pas utiliser leur téléphone. Ils le feront simplement là où vous ne pouvez pas les voir.
On a déjà connu ça. L'informatique parallèle existe depuis des années, et le BYOD a vu le jour lorsque les entreprises ont compris que bloquer l'accès aux appareils personnels risquait en réalité de nuire à la productivité. Elles avaient besoin d'un moyen de les sécuriser. L'IA parallèle pose le même problème, mais avec des enjeux bien plus importants.
Comment adapter votre stratégie de sécurité pour tenir compte de l'IA fantôme
Les entreprises qui comblent ce fossé éliminent les facteurs qui poussent les employés à vouloir cacher leur utilisation des outils.
Ce que vous pouvez faire concrètement :
- Commencez par vous faire une idée de la situation : faites le point sur les outils utilisés avant de commencer à bloquer quoi que ce soit. Aikido surveille chaque appareil des développeurs afin de détecter les menaces qui se situent en dehors de votre surface d'attaque habituelle.
- Identifiez les lacunes dans les processus : si les employés utilisent des outils non autorisés, c'est qu'il y a une raison. Déterminez-la et comblez-la avec une solution qui fonctionne vraiment.
- Instaurer un climat de sécurité psychologique : pour faire évoluer les comportements, le dialogue ouvert est plus efficace que les sanctions. Les équipes de sécurité qui se montrent accessibles bénéficient d'une visibilité que les cultures fermées ne pourront jamais atteindre.
- Il faut aller plus vite que le cycle de validation. Le processus de trois mois, du prototype au déploiement, qui fonctionnait pour les logiciels d'entreprise, ne convient plus lorsque le paysage des menaces et les outils évoluent d'un mois à l'autre.
Le « Shadow AI » est la nouvelle forme de hameçonnage, un problème lié au comportement humain que les mesures techniques peuvent atténuer, mais jamais éliminer. C'est la panique qui constitue la vulnérabilité. Il faut s'attaquer à cela en premier lieu.
{{cta}}
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "BlogPosting",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#article",
"mainEntityOfPage": {
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse"
},
"headline": "Shadow AI risks start with fear, and banning makes them worse",
"description": "Employees aren't using unapproved AI tools to cause problems. They're scared of falling behind. Here's why banning shadow AI increases your security risk, and what to do instead.",
"image": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#primaryimage",
"url": "https://www.aikido.dev/images/blog/shadow-ai-risks.png",
"contentUrl": "https://www.aikido.dev/images/blog/shadow-ai-risks.png",
"width": 1200,
"height": 630
},
"datePublished": "2026-05-12T00:00:00+00:00",
"dateModified": "2026-05-12T00:00:00+00:00",
"author": {
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson",
"name": "Nicholas Thomson",
"jobTitle": "Senior SEO & Growth Lead",
"worksFor": {
"@type": "Organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev"
},
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
},
"publisher": {
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
}
},
"keywords": [
"shadow AI",
"shadow IT",
"AI security risks",
"unapproved AI tools",
"employee AI usage",
"AI data leakage",
"BYOD security",
"AI note-taker risks",
"security posture",
"attack surface",
"AI governance",
"insider threat",
"enterprise AI security",
"AI compliance",
"behavioral security"
],
"articleSection": "Cybersecurity",
"inLanguage": "en-US",
"timeRequired": "PT5M",
"isBasedOn": {
"@type": "PodcastEpisode",
"name": "AI Panic is Driving Shadow IT with Noora Ahmed-Moshe",
"url": "https://creators.spotify.com/pod/profile/thesecuredisclosure/episodes/AI-Panic-is-Driving-Shadow-IT-w-Noora-Ahmed-Moshe-e3ivlbo",
"partOfSeries": {
"@type": "PodcastSeries",
"name": "Secure Disclosures"
}
},
"about": [
{
"@type": "DefinedTerm",
"name": "Shadow AI",
"description": "The use of unapproved or unsanctioned AI tools by employees within an organization without the knowledge or consent of IT or security teams."
},
{
"@type": "DefinedTerm",
"name": "Shadow IT",
"description": "The use of information technology systems, software, and services without explicit organizational approval."
},
{
"@type": "Thing",
"name": "AI security risk",
"sameAs": "https://schema.org/Thing"
},
{
"@type": "Thing",
"name": "BYOD",
"description": "Bring Your Own Device — a policy allowing employees to use personal devices for work purposes."
}
],
"mentions": [
{
"@type": "Person",
"name": "Noora Ahmed-Moshe",
"jobTitle": "Behavioral Scientist",
"sameAs": "https://www.linkedin.com/in/noora-ahmed-moshe/"
},
{
"@type": "Organization",
"name": "Samsung",
"sameAs": "https://www.samsung.com"
},
{
"@type": "SoftwareApplication",
"name": "ChatGPT",
"applicationCategory": "AI Assistant",
"operatingSystem": "Web",
"sameAs": "https://chat.openai.com"
},
{
"@type": "SoftwareApplication",
"name": "Aikido Endpoint",
"applicationCategory": "Security Software",
"operatingSystem": "Web",
"url": "https://www.aikido.dev/attack/surface-monitoring-dast"
}
],
"citation": [
{
"@type": "WebPage",
"name": "Samsung bans ChatGPT and other generative AI use by staff after leak",
"url": "https://www.bloomberg.com/news/articles/2023-05-02/samsung-bans-chatgpt-and-other-generative-ai-use-by-staff-after-leak"
},
{
"@type": "WebPage",
"name": "Eavesdropping by Algorithm: Legal Risks of AI Meeting Assistants",
"url": "https://www.babstcalland.com/news-article/eavesdropping-by-algorithm-legal-risks-of-ai-meeting-assistants/"
},
{
"@type": "WebPage",
"name": "AI Job Market Report",
"url": "https://zapier.com/blog/ai-job-market-report/"
},
{
"@type": "WebPage",
"name": "Many workers are using unapproved AI tools at work",
"url": "https://www.techradar.com/pro/many-workers-are-using-unapproved-ai-tools-at-work-and-sharing-a-lot-of-private-data-they-really-shouldnt"
}
],
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-summary"]
}
},
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse",
"url": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse",
"name": "Shadow AI risks start with fear, and banning makes them worse",
"description": "Employees aren't using unapproved AI tools to cause problems. They're scared of falling behind. Here's why banning shadow AI increases your security risk, and what to do instead.",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.aikido.dev#website",
"url": "https://www.aikido.dev",
"name": "Aikido Security"
},
"primaryImageOfPage": {
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#primaryimage"
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#breadcrumb"
},
"inLanguage": "en-US"
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "ListItem",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "Shadow AI risks start with fear, and banning makes them worse",
"item": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse"
}
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://x.com/aikido_security"
]
},
{
"@type": "FAQPage",
"mainEntity": [
{
"@type": "Question",
"name": "What is shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Shadow AI refers to the use of unapproved or unsanctioned AI tools by employees within an organization, without the knowledge or oversight of IT or security teams. It is a subset of shadow IT and poses significant data security and compliance risks."
}
},
{
"@type": "Question",
"name": "Why do employees use shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Employees use unapproved AI tools primarily out of fear of falling behind in a job market where AI skills are increasingly required. When approved tools don't fit their workflows, or approval cycles move too slowly, employees turn to tools that help them do their jobs more effectively."
}
},
{
"@type": "Question",
"name": "Why doesn't banning AI tools work?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Banning AI tools forces usage underground rather than eliminating it. Employees will use personal devices or accounts to access the tools they depend on. As with BYOD, the more effective approach is to create a secure, sanctioned framework that meets employees' actual workflow needs."
}
},
{
"@type": "Question",
"name": "What are the security risks of shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Shadow AI poses multiple security risks including sensitive data being fed into unvetted models, data used to train third-party AI systems, exposure through breaches of unsecured tools, and AI-generated content such as meeting transcripts becoming discovery targets in legal proceedings."
}
},
{
"@type": "Question",
"name": "How can organizations reduce shadow AI risk?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Organizations should first gain visibility into what tools are being used, understand the workflow gaps driving unsanctioned usage, create psychological safety so employees feel comfortable disclosing tool usage, and accelerate their approval cycles to keep pace with the speed of AI development."
}
}
]
}
]
}
</script>
