Les risques liés à l'IA ne sont pas répartis uniformément. Votre stratégie de sécurité ne devrait pas l'être non plus.

La plupart des organisations pensent maîtriser les risques liés à l'IA. Elles savent que leurs employés utilisent ChatGPT pour saisir des données sensibles. Elles ont mis en place des politiques concernant les outils d'IA autorisés. Certaines ont même déployé des copilotes d'entreprise et des programmes de gouvernance de l'IA.

Mais selon une nouvelle étude de LayerX, les principaux angles morts de l'IA ne se situent pas là. Le rapport révèle une réalité bien plus complexe. La plupart des organisations se préoccupent excessivement de quelques applications d'IA, sans se soucier de la manière dont elle est réellement utilisée. 

Les risques liés à l'IA en entreprise ne sont pas répartis uniformément entre les utilisateurs et les plateformes. Ils sont plutôt concentrés entre les mains d'un petit groupe d'utilisateurs experts en IA, d'une poignée de plateformes d'IA dominantes et d'un écosystème d'outils d'IA en pleine expansion, qui fonctionnent souvent en dehors des contrôles traditionnels de visibilité et de gouvernance.

Le problème ne réside plus dans quelques applications d'IA isolées. Il englobe tout ce qui les entoure.

L'IA est partout. Mais la plupart des gens l'utilisent à peine.

L'une des conclusions les plus surprenantes de cette étude est que l'adoption de l'IA et la dépendance à l'IA sont deux choses bien distinctes. Si près de la moitié des utilisateurs en entreprise ont interagi avec des outils d'IA au cours de l'année écoulée, seuls 18 % les utilisent de façon hebdomadaire.

Cela signifie que la plupart des gens utilisent l'IA occasionnellement pour résumer un document, rédiger un courriel ou répondre à une question. Seul un faible pourcentage l'utilise de façon régulière dans le cadre de son travail quotidien.

À première vue, cela semble rassurant. Une consommation moindre devrait signifier moins de risques. Sauf que les données montrent le contraire.

Les risques liés à l'IA sont concentrés entre les mains d'un petit groupe d'utilisateurs experts en IA.

L'activité liée à l'IA en entreprise est fortement concentrée entre les mains d'un petit groupe d'employés. Alors que la moitié des utilisateurs ont eu 12 conversations avec l'IA ou moins, les 5 % les plus actifs en ont généré au moins 144. Leur interaction avec l'IA est également beaucoup plus approfondie : ils effectuent en moyenne 18 interactions par conversation, contre seulement 2 pour l'utilisateur moyen.

Cela crée une nouvelle catégorie d’« utilisateurs experts en IA » qui s’appuient fortement sur l’IA dans leurs tâches quotidiennes et utilisent souvent plusieurs plateformes d’IA. Ils ne contreviennent pas nécessairement aux règles ni n’adoptent un comportement imprudent. Ils intègrent simplement l’IA à un nombre bien plus important d’aspects de leur travail que les autres.

Il en résulte que les risques liés à l'IA sont extrêmement inégaux. Un nombre relativement restreint d'employés est désormais responsable d'une part disproportionnée des activités liées à l'IA, de l'exposition des données sensibles et de l'utilisation de l'IA sur différentes plateformes.

ChatGPT domine toujours l'IA d'entreprise, mais Copilot réduit l'écart.

Malgré les articles réguliers sur les nouveaux modèles et l'émergence de concurrents, ChatGPT demeure la plateforme d'IA dominante au sein de la plupart des entreprises. Elle représente 36 % des utilisateurs d'IA en entreprise et plus de 55 % de toutes les conversations avec l'IA.

Copilot M365 connaît une croissance rapide, atteignant 29 % d'adoption et représentant près d'un quart des discussions sur l'IA en entreprise. Cette croissance témoigne d'une tendance importante : l'utilisation de l'IA en entreprise se divise désormais entre l'IA native d'entreprise, gouvernée, et l'adoption de l'IA par les consommateurs. Cependant, au-delà de ces deux leaders, la plupart des plateformes d'IA restent à la traîne malgré l'attention qu'elles suscitent.

Parallèlement, toutes les plateformes d'IA ne posent pas les mêmes défis en matière de gouvernance. Copilot M365 connaît une croissance rapide, mais son utilisation se concentre principalement dans les environnements Microsoft gérés par l'entreprise, où les organisations bénéficient d'une meilleure visibilité et d'un contrôle accru. Gemini présente un profil de risque différent. De nombreux employés utilisent encore la version grand public via des comptes personnels, ce qui peut engendrer des zones d'ombre concernant le traitement, la conservation et les pratiques d'entraînement des données.

La leçon est simple : l’adoption d’une plateforme ne révèle qu’une partie de la réalité. Toutes les solutions d’IA en entreprise ne présentent pas le même niveau de risque. Les outils d’IA grand public accessibles via des comptes personnels créent des lacunes de gouvernance bien plus importantes que les plateformes d’IA gérées par l’entreprise.

L'intelligence artificielle fantôme a évolué au-delà des chatbots non approuvés.

Quand la plupart des gens entendent « intelligence artificielle fantôme », ils imaginent quelqu’un utilisant secrètement un chatbot non autorisé. Cette définition est déjà obsolète.

L'« IA fantôme » moderne est bien plus complexe. Les employés combinent couramment plusieurs outils d'IA au sein d'un même flux de travail. Ils jonglent entre chatbots, moteurs de recherche IA, assistants de programmation, copilotes intégrés et fonctionnalités SaaS basées sur l'IA, selon leurs objectifs. Il en résulte un écosystème d'IA dont l'inventaire devient plus difficile que celui des solutions SaaS.

Il ne s'agit pas d'une seule application malveillante, mais d'une longue traîne croissante d'outils d'IA que les équipes de sécurité ont souvent du mal à repérer, à suivre ou à contrôler. 

L'utilisation de l'IA en entreprise est bien plus personnelle que vous ne le pensez.

Près de la moitié des activités liées à l'IA en entreprise se déroulent via des identités personnelles plutôt que via des comptes gérés par l'entreprise. C'est ce constat qui nous a le plus surpris.

Les employés utilisent des comptes ChatGPT et Gemini personnels. Parfois, ils utilisent même des licences d'IA personnelles tout en se connectant avec leurs identifiants professionnels. Du point de vue de la gouvernance, c'est un véritable cauchemar. Les organisations perdent toute visibilité sur les politiques de conservation des données, l'auditabilité, les contrôles de conformité et la manière dont les données d'entreprise sont traitées par ces outils d'IA. 

Cela signifie que le défi de l'IA en entreprise ne se limite plus à la gouvernance des applications d'IA. Il s'agit de plus en plus de gouverner l'usage personnel de l'IA au sein de ces applications.

Des données sensibles sont déjà intégrées aux outils d'IA 

Notre étude révèle que plus de 6 % des conversations entre entreprises et systèmes d'IA contiennent déjà des données sensibles. Les employés partagent quotidiennement des informations personnelles, financières et techniques avec ces systèmes. 

DeepSeek a enregistré le taux d'exposition de données sensibles le plus élevé, soit 12.63 % des conversations. ChatGPT suit avec 8.38 %. Copilot M365 affiche un taux d'exposition nettement inférieur, à 3.65 %.

La question n'est plus de savoir si les employés partageront des données sensibles avec les systèmes d'IA. Ils le font déjà. Le véritable enjeu est de comprendre où cela se produit, à quelle fréquence et par quels biais (identités et plateformes).

La surface de risque de l'IA s'étend au-delà des fenêtres de chat avec les extensions et connecteurs d'IA.

Le rapport met également en lumière deux canaux d'IA à forte croissance que de nombreuses organisations suivent à peine aujourd'hui : les extensions de navigateur IA et les connecteurs IA.

Environ 15 % des utilisateurs en entreprise utilisent déjà au moins une extension de navigateur basée sur l'IA. Près de 75 % de ces extensions requièrent des autorisations de navigateur élevées, voire critiques. Plus de 16 % présentent déjà des vulnérabilités connues. Parallèlement, les connecteurs d'IA relient de plus en plus les systèmes d'IA directement aux applications d'entreprise telles que SharePoint, GitHub, Slack, Atlassian et Google Workspace.

Cela signifie que les systèmes d'IA ne se limitent plus à la saisie manuelle d'informations par les employés dans les fenêtres de chatbot. Ils bénéficient de plus en plus d'un accès direct aux données, documents, plateformes collaboratives et bases de connaissances internes de l'entreprise. Ce changement modifie fondamentalement la nature des risques liés à l'IA en entreprise.

Que faire à ce sujet

La première étape est la visibilité. On ne peut pas contrôler l'utilisation de l'IA sans la voir. Ensuite, les organisations doivent identifier les zones où les risques liés à l'IA sont les plus importants : les utilisateurs experts, l'utilisation personnelle non encadrée et les systèmes d'IA ayant un accès direct aux données de l'entreprise. L'objectif n'est pas de bloquer l'IA, mais de comprendre comment elle est utilisée et d'appliquer des contrôles là où ils sont les plus pertinents.

Nous avons rassemblé tous ces éléments, y compris les données, les analyses détaillées des plateformes, l'analyse de l'exposition des données sensibles et les recommandations pratiques, dans notre rapport. Rapport sur l'état de l'utilisation de l'IA 2026.

Télécharger le rapport complet ici.

• Partagez :