Stéphane Clément, président de Tenexa, décrypte les risques de sécurité liés à l’usage non contrôlé de l’intelligence artificielle par les collaborateurs.

Le concept de « Shadow IT » est bien connu des Directeurs des Systèmes d’Information (DSI) : il désigne l’ensemble des logiciels et applications installés par les employés sans l’approbation de la direction informatique. Si ce phénomène posait déjà des problèmes de sécurité, une nouvelle variante, plus insidieuse, fait son apparition en ce début d’année 2026 : le « Shadow IA ».

Selon Stéphane Clément, président de Tenexa, le risque a changé d’échelle. « L’outil n’est plus seulement un logiciel : c’est un assistant qui écrit, résume, conseille, code, reformule… et qui, parfois, apprend ce qu’on lui confie », explique l’expert. C’est là que réside le danger d’une intelligence artificielle utilisée « sans cadre, sans traçabilité, sans filet ».

De la productivité à la fuite de données

Le paradoxe du Shadow IA réside dans les intentions des collaborateurs, qui sont généralement louables. La quête de productivité, le besoin de clarifier un email ou d’accélérer la rédaction d’une note poussent les équipes vers ces outils grand public. « C’est humain, et c’est même souvent un signe de dynamisme », concède Stéphane Clément.

Cependant, le danger survient lorsque l’usage devient un réflexe non sécurisé. « Copier-coller un extrait de contrat « juste pour résumer », coller un incident « juste pour comprendre », envoyer un bout de code « juste pour corriger » », cite le dirigeant. En quelques secondes, des informations confidentielles peuvent se retrouver sur des serveurs tiers, entraînant des modèles d’IA publics et créant une fuite de données irréversible. Le risque n’est pas théorique, il se loge « dans les usages, pas dans les intentions ».

Accompagner l’usage plutôt que l’interdire

Face à cette menace diffuse, la tentation du blocage total existe, mais elle est vouée à l’échec selon l’expert de Tenexa : « L’interdiction crée du contournement. Et le contournement crée de la Shadow IA ». La solution préconisée rejoint les meilleures pratiques de l’IT : il faut encadrer et industrialiser l’usage.

Pour les entreprises, cela implique de définir un cadre concret avec des outils autorisés, une gouvernance claire des données et des formations ciblées. « Il faut mettre de la méthode là où il y a de l’énergie », résume Stéphane Clément, plaidant pour offrir un « chemin sûr » aux collaborateurs plutôt que de les laisser bricoler avec des solutions potentiellement dangereuses.

La souveraineté numérique comme bouclier

Au-delà de la méthode, la question technique de la souveraineté redevient centrale. Savoir où sont traitées les données et sous quelle juridiction elles tombent n’est plus une posture politique, mais une « exigence opérationnelle ».

C’est dans cette optique que Tenexa oriente ses développements. L’entreprise travaille sur une approche « hyper souveraine », incluant une trajectoire vers la qualification SecNumCloud et des collaborations stratégiques, notamment avec Delos. L’objectif est de déployer des solutions comme Tenex-IA, qui permettent de bénéficier de la puissance de l’IA tout en conservant la maîtrise absolue des flux et des accès. « Pas comme un argument commercial : comme une réponse d’ingénieur à un sujet de dirigeant », conclut Stéphane Clément.