Passer au contenu principal

PARIS : Etienne DELOUVRIER (Avanoo) : « Le Shadow AI rend l…

Partager :

PARIS : Etienne DELOUVRIER (Avanoo) : « Le Shadow AI rend la cyber-sécurité traditionnelle obsolète »

Dans une tribune, le COO d’Avanoo alerte sur l’IA « fantôme », dont l’usage non contrôlé par les salariés rend caduques les défenses des banques.

Vingt ans de construction méticuleuse d’une forteresse numérique, réduits à néant en trente secondes par un simple copier-coller. C’est le constat alarmant que dresse Etienne Delouvrier, COO de la société Avanoo, face à la montée en puissance du « Shadow AI » dans le secteur de la banque et de l’assurance. Cette utilisation non maîtrisée d’intelligences artificielles génératives par les employés, souvent à des fins de productivité, crée une faille béante dans des systèmes de sécurité pourtant réputés inviolables.

Le phénomène est simple et déconcertant. Un chargé de clientèle, pour reformuler un courriel complexe, colle des extraits d’un dossier client confidentiel dans une IA en ligne accessible via un simple navigateur. En quelques secondes, des données sensibles quittent le périmètre sécurisé de l’entreprise sans déclencher la moindre alerte.

« Le Shadow AI ne ressemble à aucune menace précédente. Il n’est pas malveillant, il n’exploite pas de vulnérabilité, il ne contourne pas un pare-feu, il passe par la porte qu’on a soi-même installée », analyse Etienne Delouvrier.

La fin d’un modèle de sécurité

Pendant des décennies, la cyber-sécurité du secteur financier reposait sur un principe simple : les données sensibles sont à l’intérieur, la menace vient de l’extérieur, et des barrières technologiques les séparent. L’IA générative pulvérise ce postulat. Les fuites ne sont plus des fichiers malveillants attachés à des courriels, mais des phrases et des paragraphes entiers saisis dans les champs de centaines de services en ligne, souvent hébergés hors de l’Union européenne et utilisés via des comptes personnels.

L’ampleur du phénomène est vertigineuse. Selon les observations d’Etienne Delouvrier, des cartographies internes révèlent parfois l’utilisation de plusieurs centaines d’outils d’IA différents au sein d’un même groupe, alors qu’à peine une dizaine sont officiellement validés par la Direction des Systèmes d’Information (DSI). Chaque outil non maîtrisé représente une porte de sortie potentielle pour des informations que les équipes de conformité ont mis des années à classifier et à protéger.

Le blocage : une fausse bonne idée

Face à cette prolifération, le premier réflexe des entreprises est souvent de bloquer l’accès à la catégorie « IA générative » sur leurs serveurs proxy. Une mesure qui, selon l’expert, procure un faux sentiment de sécurité et s’avère contre-productive. D’une part, les listes de blocage sont constamment en retard sur l’apparition de nouveaux outils. D’autre part, l’IA est désormais intégrée dans des logiciels déjà autorisés et utilisés au quotidien, comme la suite Office 365, rendant le blocage par domaine inefficace.

Cette stratégie du blocage total engendre trois effets pervers : elle incite les salariés à utiliser leurs téléphones personnels, hors de tout contrôle ; elle dégrade les relations entre la DSI et les métiers, qui favorisent le contournement discret ; et surtout, elle prive l’entreprise de gains de productivité majeurs que la concurrence, elle, exploite déjà.

Vers une gouvernance des usages

La solution, selon Etienne Delouvrier, ne réside pas dans l’interdiction, mais dans la gouvernance. Il prône une approche plus fine, qui consiste à observer les flux au niveau du poste de travail et non plus seulement du réseau. L’objectif est de comprendre les usages réels, de sensibiliser les équipes sans les culpabiliser, et de définir des règles différenciées selon la sensibilité de la donnée et la fiabilité du fournisseur d’IA.

« La vraie réponse n’est pas binaire, elle est gouvernancielle. […] Sécuriser les usages plutôt que les interdire tous », insiste le COO d’Avanoo.

L’enjeu de la souveraineté technologique

Un paradoxe émerge de cette nouvelle donne : la majorité écrasante des outils permettant de sécuriser l’usage de l’IA sont eux-mêmes développés par des entreprises américaines. Pour les banques et assureurs européens, soumis à des réglementations strictes comme DORA, NIS2 ou le RGPD, se protéger des IA américaines avec des solutions américaines pose une question fondamentale de souveraineté.

Le secteur financier européen, historiquement pionnier en matière de cyber-sécurité, est de nouveau à la croisée des chemins. L’autonomie technologique dans la gouvernance de l’IA s’annonce comme un enjeu stratégique et réglementaire majeur des cinq prochaines années. Le défi est clair : écrire les règles de cette transition ou la subir.

via Presse Agence (rédigé à partir d’un communiqué de presse transmis à la rédaction).