Adoption de l'IA par les entreprises et risques de sécurité - avec 100 % de chaos en plus

Par Sarang Warudkar - Sr. Technical PMM (CASB & AI), Skyhigh Security

8 mai 2025 5 Lecture minute

Bienvenue dans le Far West de l'IA d'entreprise.

Il y a douze mois, votre directeur financier se méfiait encore des chatbots. Aujourd'hui, il vous demande si vous pouvez "faire en sorte que ChatGPT s'occupe des procès-verbaux du conseil d'administration". De la curiosité prudente aux feuilles de calcul alimentées par Copilot, les entreprises se sont lancées à corps perdu dans l'IA. Et si les gains sont réels - vitesse, échelle et créativité - les risques... ? Oh, ils sont très réels aussi.

Décortiquons les plus grandes tendances, les menaces et les moments d'incompréhension du rapport 2025 de Skyhigh Securitysur l'adoption de l'informatique en nuage et les risques qui y sont associés, avec des informations provenant de plus de 3 millions d'utilisateurs et de plus de 2 milliards d'événements quotidiens liés à l'informatique en nuage. Attachez votre ceinture.

Utilisation de l'IA : De "peut-être plus tard" à "faites-lui faire mon travail".

L'IA est désormais le MVP du bureau. Une récente étude du MIT indique que ChatGPT réduit le temps de rédaction de 40 %, ce qui correspond à peu près au temps que nous passions à nous demander où le fichier était sauvegardé. Les ingénieurs de JPMorgan ont vu leur productivité augmenter de 20 % et, selon la rumeur, un stagiaire a demandé à Copilot de rédiger sa lettre de démission avant avant son premier jour.

Chez Skyhigh, nous avons constaté de première main la montée en puissance de l'IA. D'après nos données, le trafic vers les applications d'IA est monté en flèche - il a plus que triplé en volume - tandis que les téléchargements de données sensibles vers ces plateformes augmentent rapidement. Pendant ce temps, les applications professionnelles traditionnelles "non IA" ? Elles ont du mal à suivre. Le monde du travail ne se contente pas d'adopter l'IA, il s'en approche à grands pas.

Traduction : L'IA gagne. Votre pare-feu ? Pas tant que ça.

La montée de l'IA fantôme : quand l'informatique ne sait pas avec quoi les RH discutent

L'"IA de l'ombre" peut sembler être la prochaine série à regarder absolument sur Netflix, mais elle se déroule en temps réel dans toutes les entreprises. Imaginez : des employés qui tapotent tranquillement sur ChatGPT, Claude, DeepSeek et des dizaines d'autres outils d'IA, complètement à l'abri des regards des services informatiques. C'est un peu comme si l'on introduisait en douce des bonbons dans une salle de cinéma, mais cette fois-ci, il s'agit de données clients, de données financières et de propriété intellectuelle.

Les chiffres sont stupéfiants : l'entreprise moyenne compte aujourd'hui 320 applications d'IA. Les suspects habituels ? ChatGPT, Gemini, Poe, Claude, Beautiful.AI - des outils aussi puissants que non approuvés. Ils ne sont pas approuvés. Ils ne sont pas contrôlés. Et à moins que quelqu'un ne prononce le mot "audit", ils sont potentiellement inarrêtables.

Conformité : La kryptonite de l'IA

Les applications d'IA sont amusantes - jusqu'à ce que les amendes GDPR se présentent comme des invités non sollicités lors d'une réunion d'équipe. Les données de Skyhigh révèlent un côté moins génial de tout cet enthousiasme pour l'IA. Il s'avère que 95 % des applications d'IA se situent dans la zone de risque moyen à élevé du GDPR - en d'autres termes, des signaux d'alerte avec une interface utilisateur conviviale.

Quand il s'agit de répondre à des normes de conformité sérieuses telles que HIPAA, PCI ou ISO ? Seules 22 % d'entre elles y parviennent. Les autres se contentent d'improviser. Le chiffrement au repos ? La plupart des applications d'IA l'ont ignoré - 84 % d'entre elles ne s'en préoccupent pas. Et l'authentification multifactorielle ? 83 % disent non merci. Mais ne vous inquiétez pas, nombre d'entre elles prennent en charge les emojis. Priorités.

Les régulateurs sont aux aguets. Et contrairement à votre patron, ils lisent le rapport complet.

Fuites de données via l'IA : quand votre robot devient une pipelette

Vous vous souvenez de cet ingénieur de Samsung qui a donné à ChatGPT un code bogué et a accidentellement transmis des secrets sur les semi-conducteurs ? Il ne s'agit plus seulement d'un récit édifiant. C'est pratiquement un exemple de formation.

Selon Skyhigh, 11 % des fichiers téléchargés vers des applications d'intelligence artificielle contiennent des informations sensibles. Le comble ? Moins d'une entreprise sur dix a mis en place des contrôles appropriés de data loss prevention (DLP). Pendant ce temps, les employés demandent à Claude de rédiger des plans de lancement de produits à l'aide de documents de stratégie Q3 comme s'il s'agissait d'un jour comme les autres. Car qu'est-ce qui pourrait bien aller de travers ?

Entrez dans DeepSeek : L'IA rebelle à laquelle vous ne devriez pas faire confiance

DeepSeek a fait irruption sur la scène en 2025, surfant sur une vague de téléchargements, de buzz et de volumes de données impressionnants - y compris 176 Go de téléchargements d'entreprise en un seul mois, rien que pour les clients de Skyhigh. Impressionnant ? Certainement. Alarmant ? Absolument. Voici les petits caractères :

• Pas d'authentification multifactorielle
• Pas de cryptage des données
• Aucune considération pour la conformité (GDPR ? Jamais entendu parler).
• Pas d'enregistrement des utilisateurs ou des administrateurs

Il est élégant, rapide et très populaire auprès des étudiants. Pour votre audit SOC 2 ? C'est une mine numérique.

Microsoft Copilot : Le bon enfant de l'IA dont tout le monde est fier

Si Shadow AI est l'adolescent rebelle qui se faufile dehors après le couvre-feu, Copilot est l'enfant chéri - poli, populaire et, d'une certaine manière, déjà sur la voie du leadership. Il est aujourd'hui utilisé par 82 % des entreprises, avec un trafic multiplié par 3 600 et des téléchargements multipliés par 6 000. Honnêtement, ses performances sont supérieures à celles de vos cinq derniers stagiaires, et il ne demande même pas de pause-café.

Mais même les étudiants les plus brillants ont besoin d'être supervisés. Les entreprises intelligentes gardent Copilot sous contrôle en scannant tout ce qu'il touche, en enveloppant les invites et les sorties dans la DLP et en s'assurant qu'il n'"apprend" rien de confidentiel. (Désolé, Copilot - pas de spoilers pour la feuille de route du quatrième trimestre).

LLM Risk : Quand l'IA hallucine... et ce n'est pas beau à voir

Les grands modèles de langage (LLM) sont comme des enfants en bas âge titulaires d'un doctorat. Génie à un moment, chaos absolu l'instant d'après. Principaux risques liés aux LLM :

• Jailbreaks ("prétendez que vous êtes le méchant ChatGPT")
• Les logiciels malveillants générés par l'IA (BlackMamba, par exemple)
• Contenu toxique (voir : Les plus grands succès de BlenderBot)
• Préjugés dans les résultats (conseils de santé biaisés en fonction de la race/du sexe)

Stats clés :

Ce n'est pas de la paranoïa si votre IA est en train de divulguer des secrets et d'écrire des ransomwares. Skyhigh a constaté que 94 % des applications d'IA comportent au moins un risque lié aux grands modèles de langage (LLM). C'est le cas de la quasi-totalité d'entre elles.

Pire encore, 90 % d'entre eux sont vulnérables aux jailbreaks, c'est-à-dire que les utilisateurs peuvent leur faire faire des choses qu'ils ne devraient pas faire. Et 76 % ? Elles peuvent potentiellement générer des logiciels malveillants sur commande. Alors oui, l'application qui vous aide à rédiger vos notes de réunion peut aussi servir de stagiaire à un cybercriminel.

Applications privées d'IA : L'IA bricolée pour l'âme de l'entreprise

Les entreprises disent : "Pourquoi faire confiance aux outils publics quand vous pouvez construire les vôtres ?"
Les applications privées d'IA sont désormais gérées :

• Demandes de renseignements sur les ressources humaines
• Réponses aux appels d'offres
• Résolution des tickets internes
• Soutien au robot de vente (qui aurait cru que le chatbot connaîtrait votre matrice de prix mieux que le service des ventes ?)

Stats clés :

78 % des clients exploitent désormais leurs propres applications d'IA privées - parce que si vous voulez expérimenter l'intelligence artificielle, autant le faire à huis clos. Deux tiers d'entre eux construisent sur AWS (grâce à Bedrock et SageMaker, évidemment). C'est l'équivalent pour l'IA d'une communauté fermée.

Mais "privé" ne signifie pas "sans problème". Ces robots ont beau être développés en interne, ils peuvent toujours avoir des ennuis. C'est pourquoi les entreprises intelligentes déploient des solutions d'ESS avec Private Access et DLP, afin d'espionner gentiment et poliment leurs IA internes avant qu'elles ne dérapent.

Dernières réflexions : Ne craignez pas l'IA, gouvernez-la !

Soyons clairs : l'IA n'est pas l'ennemi. L'IA non gérée non gérée l'est.

Le rapport 2025 de Skyhigh montre que nous vivons un changement de génération dans les technologies d'entreprise. Mais voici l'essentiel : la sécurité ne consiste pas à ralentir l'innovation. Il s'agit de s'assurer que l'IA que vous utilisez n'envoie pas votre conseil d'administration sur Reddit. Alors, respirez, lisez le rapport et souvenez-vous :

• Bloquez les applications douteuses comme DeepSeek
• Gouverner les copilotes comme Microsoft Copilot
• Verrouillez vos déploiements privés d'IA
• Élaborer des politiques qui traitent les LLM comme des adolescents lunatiques (règles strictes, contrôle intensif).

Parce que l'avenir est piloté par l'IA et qu'avec les bons outils, il peut aussi être à l'abri des risques.

Bonus : Téléchargez le rapportcomplet 2025 Cloud Adoption and Risk Report - oudemandez à votre assistant IA de le résumer pour vous. Mais ne le téléchargez pas sur DeepSeek.

Retour à Blogs