Tu l’as sûrement déjà fait sans vraiment y penser. Tester un outil d’IA pour gagner du temps, automatiser un devoir, reformuler un mail. Le problème, c’est que dans les entreprises, ce réflexe prend de l’ampleur… sans toujours passer par la DSI. Derrière ce phénomène, un sujet concret émerge : comment gérer l’usage de l’IA quand elle s’installe en dehors des règles internes ?
Ce que cache vraiment le shadow IT aujourd’hui
Le shadow IT n’a rien de nouveau. À la base, c’est simple : des outils utilisés sans validation du service informatique. Avant, ça pouvait être un logiciel téléchargé ou un stockage cloud perso. Aujourd’hui, ce sont surtout des plateformes d’IA générative. Ce qui change, c’est la vitesse. En quelques minutes, un salarié peut créer un compte, importer des données et obtenir un résultat exploitable. Pas de ticket IT, pas de validation. Juste un besoin immédiat et une solution trouvée en ligne.
Dans les faits, ça part rarement d’une mauvaise intention. Tu veux aller plus vite, mieux produire, éviter une tâche répétitive. Le problème, c’est que certaines informations utilisées ne devraient jamais sortir de l’entreprise. Et pourtant, elles se retrouvent injectées dans des outils externes.
C’est là que la notion de cybersécurité entreprise devient concrète. Ce n’est plus seulement une question technique, c’est une question d’usage.
L’IA, un accélérateur difficile à cadrer
Ce qui complique la situation, c’est que l’IA est à la fois un gain de productivité et un risque potentiel. Les directions le savent. Interdire complètement ces outils n’est pas réaliste. Les collaborateurs continueront à les utiliser, parfois même depuis leur téléphone personnel. Dans certains cas observés, des extraits de contrats, des données clients ou des éléments stratégiques ont été copiés dans des interfaces d’IA pour générer des synthèses. Une fois envoyées, ces données échappent au contrôle interne. La question n’est donc plus « faut-il autoriser l’IA ? », mais plutôt « comment encadrer son usage sans casser la dynamique ? ». On retrouve ici un équilibre proche de celui du pilotage des systèmes informatiques appris lors d'un BTS SIO. Trop de rigidité freine les équipes. Trop de liberté expose l’entreprise.
Des DSI sous pression entre contrôle et confiance
Du côté des DSI, le sujet est sensible. Tu dois garantir la sécurité, assurer la conformité, mais aussi accompagner les usages. Et là, tu fais face à une réalité terrain : les outils évoluent plus vite que les politiques internes.
Certains choisissent de bloquer l’accès à certaines plateformes. D’autres préfèrent référencer des outils autorisés. Mais dans tous les cas, le défi reste le même : garder de la visibilité sur ce qui est réellement utilisé. Un point revient souvent dans les retours terrain. Le manque de pédagogie. Beaucoup de collaborateurs ne savent pas précisément ce qu’ils peuvent ou non partager. Pour eux, une IA reste un outil comme un autre.
Sans accompagnement, le risque est simple : multiplier les usages non maîtrisés, tout en donnant l’impression que tout va bien.
Former plutôt qu’interdire
Ce qui ressort progressivement, c’est que la réponse passe par la formation. Pas uniquement technique, mais aussi sur les usages. Comprendre où vont les données, ce que devient une requête, ce que signifie « hébergement externe »… ce sont des bases qui changent la manière d’utiliser ces outils.
C’est exactement le type de compétences que tu retrouves dans des parcours comme le BTS SIO. On y aborde à la fois la gestion des infrastructures, la sécurité et les pratiques concrètes liées aux outils numériques. Dans un contexte où les usages évoluent en continu, cette approche permet de ne pas subir les outils, mais de les comprendre. Et ça change tout dans la prise de décision.
Encadrer sans freiner
Concrètement, certaines entreprises commencent à poser un cadre plus souple. Elles définissent des règles simples : types de données autorisées, outils validés, bonnes pratiques à respecter. Rien de bloquant, mais un cadre clair.
D’autres vont plus loin en intégrant directement des solutions d’IA internes. L’idée, c’est de proposer une alternative sécurisée plutôt que de lutter contre les usages externes.
Dans les deux cas, on retrouve une logique proche de la gestion des données sensibles. Ce n’est pas l’outil qui pose problème, c’est ce qu’on en fait.
Et c’est là que le rôle des profils techniques devient central. Savoir analyser un usage, comprendre les flux de données, anticiper les risques… ce sont des compétences recherchées, surtout dans des environnements où tout va vite.
Pourquoi ça concerne les futurs pro de l'IT ?
Tu pourrais te dire que ça reste un sujet d’entreprise. En réalité, pas vraiment. Si tu utilises déjà des outils d’IA dans tes études, tu es déjà confronté à ces questions. Qu’est-ce que tu peux partager ? Où vont tes données ? Est-ce que l’outil que tu utilises est fiable ?
Ce sont exactement les réflexes attendus demain en entreprise. Et ils ne s’improvisent pas. Se former à ces enjeux via un BTS SIO, comprendre les logiques derrière les systèmes, ça devient un vrai levier. C’est aussi ce que propose IPAC, école de commerce à Annecy, notamment à travers des formations qui croisent technique et usage concret du digital.
Parce qu’au final, le sujet n’est pas seulement technologique. Il est humain. Et dans cette histoire de shadow IT et d’IA, tout part souvent d’un simple réflexe : vouloir aller plus vite… sans toujours voir ce que ça implique derrière.