Écart de contrôle de l’IA fantôme dans les grandes entreprises
Une enquête menée par Lenovo auprès de 6 000 employés à temps plein de sociétés de plus de 1 000 salariés révèle que plus de 70 % utilisent l’IA chaque semaine, dont un tiers le font sans la supervision du service informatique.
Conséquences sécuritaires
Les résultats montrent que 61 % des responsables IT ont constaté une hausse des menaces cyber liées à l’IA, tandis que seulement 31 % se sentent capables de gérer ces risques. Par ailleurs, 43 % des employés s’inquiètent d’une exposition ou d’attaques de leurs données via l’IA.
Impact sur les PME
Bien que l’étude ne mesure pas directement les petites et moyennes entreprises, le comportement observé – utilisation d’outils d’IA accessibles pour accélérer le travail – peut également entraîner le déplacement de données sensibles hors du cadre de révision sécuritaire habituel.
Risques de gouvernance
L’utilisation d’outils non approuvés expose des informations sensibles (clients, employés, données internes) à des systèmes non contrôlés. L’OWASP signale des risques tels que l’injection de prompts, la divulgation d’informations sensibles, les faiblesses de la chaîne d’approvisionnement et une trop grande autonomie des grands modèles de langage (LLM).
Coût financier de l’IA fantôme
Selon le rapport IBM Cost of a Data Breach 2025, une organisation touchée par l’IA fantôme voit ses coûts de violation augmenter de 670 000 $ en moyenne. De plus, 63 % des organisations victimes n’avaient pas de politique de gouvernance IA ou étaient encore en phase de développement.
Évolution vers les agents autonomes
Gartner prévoit que 40 % des applications d’entreprise intégreront des agents IA spécifiques aux tâches d’ici la fin 2026, contre moins de 5 % en 2025. Ces agents augmentent la surface d’exposition, car ils peuvent agir directement dans les applications métier.
Exploitation par les cybercriminels
Le rapport Global Threat Report de CrowdStrike 2026 indique que plus de 90 organisations ont vu leurs systèmes exploités via des outils d’IA générative, où des prompts malveillants génèrent des commandes pour voler des identifiants ou des cryptomonnaies. Le temps moyen de réponse aux incidents eCrime a chuté à 29 minutes en 2025, le cas le plus rapide étant de 27 secondes.
Enjeux futurs
Le principal défi consiste à combler l’écart d’inventaire avant que les agents IA ne deviennent monnaie courante dans les logiciels d’entreprise. La combinaison des coûts de violation (IBM), de l’exploitation d’IA générative (CrowdStrike) et des prévisions d’adoption d’agents (Gartner) souligne l’urgence d’établir des contrôles robustes et une gouvernance claire de l’IA.