Cet article est basé sur la conversation de Mackenzie avec Noora Ahmed-Moshe dans le podcast The Secure Disclosure. Écoutez l'épisode complet.
Une entreprise a perdu un million de dollars parce qu'une personne participant à un appel de litige a utilisé un preneur de notes IA. Comme l'explique la scientifique du comportement Noora Ahmed-Moshe dans le podcast, l'outil a résumé une conversation confidentielle et l'a envoyée à la partie adverse, qui l'a utilisée pour forcer un règlement à ses conditions. Les experts juridiques avertissent que les transcriptions générées par l'IA sont désormais des cibles de découverte courantes dans les procès.
Les preneurs de notes ne sont qu'un exemple. Les employés utilisent l'IA de plus de manières que leurs entreprises ne le savent, et la réalité est qu'ils y sont contraints. Selon Ahmed-Moshe, c'est une réponse à la peur. « Il y a un sentiment général de panique que l'IA va arriver et prendre votre emploi. » Plus de 95 % des employeurs souhaitent désormais embaucher des personnes ayant des compétences en IA. Les employés ont peur de prendre du retard sur les outils parce qu'ils interprètent correctement le marché du travail.
Cette peur est ce qui alimente l'IA fantôme. Les employés se tournent vers des outils non approuvés car la technologie évolue plus vite que n'importe quel cycle d'approbation ne peut suivre. Au moment où votre service informatique a effectué un POC et accordé l'accès, vos employés ont déjà entendu parler d'un ami d'une solution meilleure. Lorsque vous leur donnez un outil approuvé qui ne correspond pas à leur workflow et que vous bloquez tout le reste, vous les avez simplement poussés à cacher les vrais outils qu'ils utilisent.
Et c'est la dissimulation qui est le point de départ de la brèche.
La panique est désormais votre surface d'attaque
Des études montrent que plus de la moitié des employés utilisent désormais des outils d'IA non approuvés au travail. Plus de la moitié d'entre eux introduisent des données d'entreprise sensibles dans des outils que leur entreprise ne gère pas, ne surveille pas, ou même ne connaît pas. Cela signifie que des informations sensibles telles que des documents juridiques, des données clients et des stratégies internes sont toutes acheminées vers des modèles non vérifiés.
Même des outils réputés, proposés en version gratuite, peuvent utiliser ces données pour entraîner leurs modèles. Un outil moins fiable pourrait être directement compromis. Et comme l'a souligné Ahmed-Moshe, « Je ne pense pas que nous ayons encore vraiment vu les risques se matérialiser, car c'est tellement nouveau. » Le rayon d'impact continue de s'étendre, et nous n'en avons vu que les premiers effets.
L'interdiction ne fonctionne pas
L'instinct d'interdire toute utilisation non approuvée de l'IA est compréhensible. Samsung l'a fait avec ChatGPT. Un consultant en sécurité a publié sur Reddit l'histoire d'un client qui exigeait la même chose, puis a découvert que son PDG utilisait ChatGPT sur un compte personnel depuis six mois pour rédiger des présentations de conseil d'administration.
Interdire les outils dont vos employés dépendent ne les empêchera pas de les utiliser. Comme le dit Ahmed-Moshe, « Si vous essayez d'interdire les outils d'IA dans votre organisation, je ne vois pas comment vous pouvez encore réussir en tant qu'entreprise. » Les outils d'IA introduisent de véritables risques de sécurité, mais ils sont une partie essentielle de la façon dont nous accomplissons notre travail. Interdire les outils d'IA, c'est comme dire aux adolescents de ne pas utiliser leur téléphone. Ils le feront simplement là où vous ne pouvez pas les voir.
Nous avons déjà connu cette situation. Le Shadow IT existe depuis des années, et le BYOD est né lorsque les entreprises ont réalisé que bloquer les appareils personnels allait en fait étouffer la productivité. Elles avaient besoin d'un moyen de les sécuriser. Le Shadow AI est le même problème, mais avec des enjeux plus élevés.
Comment adapter votre posture de sécurité pour tenir compte du Shadow AI
Les organisations qui comblent cette lacune éliminent les conditions qui incitent les employés à dissimuler l'utilisation de leurs outils.
Ce que vous pouvez réellement faire :
- Obtenez d'abord de la visibilité : Auditez les outils utilisés avant de commencer à bloquer quoi que ce soit. Aikido Endpoint surveille chaque appareil de développeur pour détecter les menaces qui se trouvent en dehors de votre surface d'attaque normale.
- Comprenez les lacunes du workflow : Si les employés utilisent des outils non autorisés, il y a une raison. Trouvez-la et comblez-la avec une solution qui fonctionne réellement.
- Instaurez une sécurité psychologique : Un dialogue ouvert est plus efficace que la punition pour changer les comportements. Les équipes de sécurité accessibles obtiennent une visibilité que les cultures fermées n'auront jamais.
- Agissez plus vite que le cycle d'approbation. Le processus de trois mois, du POC au déploiement, qui fonctionnait pour les logiciels d'entreprise, ne convient plus lorsque le paysage des menaces et les outils évoluent de mois en mois.
Le Shadow AI est le nouveau phishing, un problème de comportement humain que les contrôles techniques peuvent réduire mais jamais éliminer. La panique est la vulnérabilité. Abordez cela en premier.
{{cta}}
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "BlogPosting",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#article",
"mainEntityOfPage": {
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse"
},
"headline": "Shadow AI risks start with fear, and banning makes them worse",
"description": "Employees aren't using unapproved AI tools to cause problems. They're scared of falling behind. Here's why banning shadow AI increases your security risk, and what to do instead.",
"image": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#primaryimage",
"url": "https://www.aikido.dev/images/blog/shadow-ai-risks.png",
"contentUrl": "https://www.aikido.dev/images/blog/shadow-ai-risks.png",
"width": 1200,
"height": 630
},
"datePublished": "2026-05-12T00:00:00+00:00",
"dateModified": "2026-05-12T00:00:00+00:00",
"author": {
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson",
"name": "Nicholas Thomson",
"jobTitle": "Senior SEO & Growth Lead",
"worksFor": {
"@type": "Organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev"
},
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
},
"publisher": {
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
}
},
"keywords": [
"shadow AI",
"shadow IT",
"AI security risks",
"unapproved AI tools",
"employee AI usage",
"AI data leakage",
"BYOD security",
"AI note-taker risks",
"security posture",
"attack surface",
"AI governance",
"insider threat",
"enterprise AI security",
"AI compliance",
"behavioral security"
],
"articleSection": "Cybersecurity",
"inLanguage": "en-US",
"timeRequired": "PT5M",
"isBasedOn": {
"@type": "PodcastEpisode",
"name": "AI Panic is Driving Shadow IT with Noora Ahmed-Moshe",
"url": "https://creators.spotify.com/pod/profile/thesecuredisclosure/episodes/AI-Panic-is-Driving-Shadow-IT-w-Noora-Ahmed-Moshe-e3ivlbo",
"partOfSeries": {
"@type": "PodcastSeries",
"name": "Secure Disclosures"
}
},
"about": [
{
"@type": "DefinedTerm",
"name": "Shadow AI",
"description": "The use of unapproved or unsanctioned AI tools by employees within an organization without the knowledge or consent of IT or security teams."
},
{
"@type": "DefinedTerm",
"name": "Shadow IT",
"description": "The use of information technology systems, software, and services without explicit organizational approval."
},
{
"@type": "Thing",
"name": "AI security risk",
"sameAs": "https://schema.org/Thing"
},
{
"@type": "Thing",
"name": "BYOD",
"description": "Bring Your Own Device — a policy allowing employees to use personal devices for work purposes."
}
],
"mentions": [
{
"@type": "Person",
"name": "Noora Ahmed-Moshe",
"jobTitle": "Behavioral Scientist",
"sameAs": "https://www.linkedin.com/in/noora-ahmed-moshe/"
},
{
"@type": "Organization",
"name": "Samsung",
"sameAs": "https://www.samsung.com"
},
{
"@type": "SoftwareApplication",
"name": "ChatGPT",
"applicationCategory": "AI Assistant",
"operatingSystem": "Web",
"sameAs": "https://chat.openai.com"
},
{
"@type": "SoftwareApplication",
"name": "Aikido Endpoint",
"applicationCategory": "Security Software",
"operatingSystem": "Web",
"url": "https://www.aikido.dev/attack/surface-monitoring-dast"
}
],
"citation": [
{
"@type": "WebPage",
"name": "Samsung bans ChatGPT and other generative AI use by staff after leak",
"url": "https://www.bloomberg.com/news/articles/2023-05-02/samsung-bans-chatgpt-and-other-generative-ai-use-by-staff-after-leak"
},
{
"@type": "WebPage",
"name": "Eavesdropping by Algorithm: Legal Risks of AI Meeting Assistants",
"url": "https://www.babstcalland.com/news-article/eavesdropping-by-algorithm-legal-risks-of-ai-meeting-assistants/"
},
{
"@type": "WebPage",
"name": "AI Job Market Report",
"url": "https://zapier.com/blog/ai-job-market-report/"
},
{
"@type": "WebPage",
"name": "Many workers are using unapproved AI tools at work",
"url": "https://www.techradar.com/pro/many-workers-are-using-unapproved-ai-tools-at-work-and-sharing-a-lot-of-private-data-they-really-shouldnt"
}
],
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-summary"]
}
},
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse",
"url": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse",
"name": "Shadow AI risks start with fear, and banning makes them worse",
"description": "Employees aren't using unapproved AI tools to cause problems. They're scared of falling behind. Here's why banning shadow AI increases your security risk, and what to do instead.",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.aikido.dev#website",
"url": "https://www.aikido.dev",
"name": "Aikido Security"
},
"primaryImageOfPage": {
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#primaryimage"
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#breadcrumb"
},
"inLanguage": "en-US"
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "ListItem",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "Shadow AI risks start with fear, and banning makes them worse",
"item": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse"
}
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://x.com/aikido_security"
]
},
{
"@type": "FAQPage",
"mainEntity": [
{
"@type": "Question",
"name": "What is shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Shadow AI refers to the use of unapproved or unsanctioned AI tools by employees within an organization, without the knowledge or oversight of IT or security teams. It is a subset of shadow IT and poses significant data security and compliance risks."
}
},
{
"@type": "Question",
"name": "Why do employees use shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Employees use unapproved AI tools primarily out of fear of falling behind in a job market where AI skills are increasingly required. When approved tools don't fit their workflows, or approval cycles move too slowly, employees turn to tools that help them do their jobs more effectively."
}
},
{
"@type": "Question",
"name": "Why doesn't banning AI tools work?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Banning AI tools forces usage underground rather than eliminating it. Employees will use personal devices or accounts to access the tools they depend on. As with BYOD, the more effective approach is to create a secure, sanctioned framework that meets employees' actual workflow needs."
}
},
{
"@type": "Question",
"name": "What are the security risks of shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Shadow AI poses multiple security risks including sensitive data being fed into unvetted models, data used to train third-party AI systems, exposure through breaches of unsecured tools, and AI-generated content such as meeting transcripts becoming discovery targets in legal proceedings."
}
},
{
"@type": "Question",
"name": "How can organizations reduce shadow AI risk?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Organizations should first gain visibility into what tools are being used, understand the workflow gaps driving unsanctioned usage, create psychological safety so employees feel comfortable disclosing tool usage, and accelerate their approval cycles to keep pace with the speed of AI development."
}
}
]
}
]
}
</script>
