Shadow IT et Shadow AI : les risques invisibles qui menacent votre PME suisse

Introduction

Vos collaborateurs utilisent ChatGPT pour rédiger des emails, DeepL pour traduire des documents, ou leur Dropbox personnel pour partager des fichiers. Ces pratiques semblent anodines, mais elles représentent l'un des risques de cybersécurité les plus sous-estimés : le Shadow IT et sa nouvelle variante, le Shadow AI.

Le terme peut sembler technique, mais la réalité est simple : vos données d'entreprise circulent sur des outils que vous ne contrôlez pas, dont vous ignorez parfois l'existence, et qui échappent à toute politique de sécurité. Pour une PME suisse qui doit respecter la nLPD et protéger sa réputation, cette situation représente une vulnérabilité majeure.

Dans cet article, vous allez découvrir ce qu'est réellement le Shadow IT et le Shadow AI, quels risques concrets ils font peser sur votre activité, et surtout comment reprendre le contrôle sans brider la productivité de vos équipes.

Qu'est-ce que le Shadow IT et comment a-t-il évolué ?

Le Shadow IT désigne l'ensemble des logiciels et services que vos collaborateurs utilisent sans que votre direction informatique en ait connaissance ou ait donné son autorisation. WhatsApp pour échanger avec des clients, Google Drive personnel pour stocker des documents, applications de gestion trouvées sur Internet : autant d'exemples courants.

Ce phénomène s'est considérablement amplifié avec la démocratisation du cloud et l'explosion des applications SaaS. Vos collaborateurs ne cherchent pas à contourner les règles par malveillance. Ils veulent simplement être plus efficaces. Si l'outil officiel est lent ou inadapté, ils chercheront naturellement une solution plus pratique ailleurs.

En 2025, ce Shadow IT a pris une nouvelle dimension avec l'arrivée massive de l'intelligence artificielle générative. On parle désormais de Shadow AI. ChatGPT, Claude, Gemini, DeepL et des dizaines d'autres outils d'IA sont utilisés quotidiennement pour rédiger des rapports, résumer des réunions, traduire des documents ou analyser des données. Ces assistants boostent la productivité, mais leur usage non encadré crée une fuite de données à une échelle jamais vue.

Les risques cachés de l'IA générative pour votre PME

La plupart des services d'IA gratuits fonctionnent selon un modèle simple : vous utilisez l'outil gratuitement, mais vos données sont utilisées pour entraîner et améliorer les modèles d'intelligence artificielle.

Lorsque votre directeur financier copie-colle votre bilan prévisionnel dans ChatGPT pour en obtenir une synthèse, ces données confidentielles quittent l'environnement sécurisé de votre entreprise. Elles sont transmises vers des serveurs souvent situés aux États-Unis, puis intégrées à la base de connaissances de l'IA. Il existe un risque que ces informations sensibles puissent être restituées par l'IA en réponse à une question d'un autre utilisateur, y compris un concurrent.

Au-delà de la perte de propriété intellectuelle, cette pratique pose des problèmes juridiques. La nLPD impose des règles strictes sur le transfert de données personnelles à l'étranger. En utilisant des outils d'IA publics sans garanties contractuelles, votre entreprise viole potentiellement la loi. Si vos clients vous ont confié des données en vertu d'un contrat de confidentialité, leur transmission à une IA tierce constitue une violation de ce contrat.

Cette problématique est renforcée par le Cloud Act américain, une loi fédérale adoptée en 2018 qui permet aux autorités judiciaires américaines, sur présentation d'un mandat, d'exiger l'accès aux données détenues par des entreprises américaines comme OpenAI (ChatGPT), Google ou Microsoft, même lorsque ces données sont stockées physiquement en Europe. Contrairement aux procédures d'entraide judiciaire internationale classiques, cette loi s'applique de manière extraterritoriale et les personnes concernées ne sont pas nécessairement informées de cet accès.

Pour une PME suisse, utiliser ChatGPT ou Google Drive personnel pour des données sensibles expose donc votre entreprise à un double risque : d'une part, une potentielle violation de la nLPD qui impose des règles strictes sur les transferts de données personnelles à l'étranger ; d'autre part, un accès possible par des autorités étrangères à vos informations stratégiques ou confidentielles. Même si le Swiss-U.S. Data Privacy Framework (entré en vigueur en septembre 2024) encadre mieux ces transferts pour les entreprises américaines certifiées, le Cloud Act reste applicable et représente un risque réel pour les données sensibles.

Scénario concret : une PME suisse active dans le conseil RH. Un consultant utilise ChatGPT pour résumer des entretiens d'évaluation. Il copie des notes contenant noms, commentaires sur les performances et données salariales. Ces informations se retrouvent entre les mains d'un tiers non autorisé, avec tous les risques : atteinte à la réputation, poursuites, perte du client, sanctions du Préposé fédéral à la protection des données. Appliquer le principe du moindre privilège aurait pu limiter considérablement l'exposition.

Pourquoi interdire n'est pas la solution

Face à ces risques, vouloir interdire purement et simplement ces outils est compréhensible, mais rarement efficace. Une interdiction totale pousse les pratiques dans la clandestinité. Vos collaborateurs continueront à utiliser ces outils en le cachant, vous empêchant de mesurer et de gérer les risques.

Si vos équipes utilisent ChatGPT, c'est parce qu'ils en tirent un bénéfice réel : gagner du temps, produire du contenu de meilleure qualité, se concentrer sur des tâches à plus forte valeur. L'approche recommandée est celle de l'accompagnement et de la gouvernance.

Les gestes simples que vos collaborateurs peuvent adopter

Si vos équipes utilisent des outils d'IA publics et que vous ne pouvez pas leur fournir immédiatement des alternatives sécurisées, il existe des pratiques qui réduisent considérablement les risques.

La première règle est l'anonymisation systématique. Avant de copier un texte dans ChatGPT, vos collaborateurs doivent supprimer ou remplacer toutes les informations sensibles : noms de personnes, téléphones, emails, adresses, noms d'entreprises clientes, noms de projets, montants financiers précis.

Une méthode efficace consiste à utiliser des alias génériques. Au lieu de "Entreprise Dupont SA", écrire "Client A". Au lieu d'un nom de projet confidentiel, "Projet X". Cette habitude demande un effort minimal mais protège considérablement vos données.

Ne jamais soumettre de secrets d'affaires, codes sources critiques, mots de passe, clés d'API ou toute information donnant accès à vos systèmes. Ces données ne doivent jamais quitter votre environnement sécurisé.

Comment reprendre le contrôle en tant que dirigeant

Votre rôle n'est pas seulement de sensibiliser, mais aussi de fournir les outils permettant de travailler efficacement en respectant les règles de sécurité.

Solutions d'IA sécurisées pour remplacer ChatGPT

La première étape consiste à proposer des alternatives suisses ou européennes aux outils d'IA grand public. Euria d'Infomaniak est l'assistant IA souverain spécialement conçu pour répondre à cette problématique. Entièrement hébergé en Suisse, Euria garantit que vos données ne quittent jamais les datacenters suisses d'Infomaniak et ne sont jamais utilisées pour entraîner des modèles d'IA. L'outil propose même un mode éphémère pour les données ultra-sensibles : aucune trace n'est conservée, même par Infomaniak. Gratuit dans sa version de base, Euria offre des fonctionnalités similaires à ChatGPT (rédaction, traduction, analyse de documents, transcription audio) tout en étant conforme à la nLPD.

Pour les entreprises qui utilisent déjà l'écosystème Microsoft ou qui préfèrent des solutions américaines avec garanties contractuelles, des services comme ChatGPT Enterprise ou Microsoft Copilot for Microsoft 365 incluent des garanties essentielles : vos données ne sont pas utilisées pour entraîner les modèles, elles restent confidentielles et sont traitées conformément aux réglementations. Ces versions offrent des fonctionnalités de gestion centralisée vous permettant de contrôler les accès.

Pour les PME recherchant une alternative européenne, Mistral AI (entreprise française présente en Suisse depuis décembre 2024) propose "Le Chat Enterprise", déployable sur cloud public ou privé, avec une approche souveraine conforme au RGPD.

Cette approche a un coût, mais il doit être mis en balance avec les risques d'une fuite de données. Perdre la confiance d'un client majeur peut avoir des conséquences bien plus graves que l'investissement dans des outils sécurisés. Pour garantir une protection renforcée des données, ces solutions professionnelles constituent un investissement indispensable.

Reprendre le contrôle sur le stockage et le partage de fichiers

Le Shadow IT concerne aussi WeTransfer, Dropbox personnel, Google Drive personnel. Ces solutions échappent à votre contrôle : aucune visibilité sur les accès, aucune sauvegarde centralisée, souvent aucune authentification multi-facteurs. Si un collaborateur quitte l'entreprise, les fichiers partent avec lui.

Règle claire : les données de l'entreprise doivent résider exclusivement sur les outils de l'entreprise. kDrive d'Infomaniak offre une alternative suisse à Dropbox et Google Drive : stockage jusqu'à 106 To, synchronisation multi-appareils, collaboration en temps réel sur documents Office, hébergement exclusif en Suisse conforme à la nLPD. Pour les entreprises privilégiant Microsoft, SharePoint et OneDrive Entreprise restent des solutions éprouvées.

Pour les données nécessitant un niveau de confidentialité maximal, Proton Drive offre une approche radicale : le chiffrement zero-access garantit que personne, pas même Proton, ne peut accéder à vos fichiers. Basée à Genève, l'entreprise suisse bénéficie d'une souveraineté juridique complète, à l'abri des lois américaines (Cloud Act) et des réglementations de l'Union européenne.

Pour les transferts ponctuels de fichiers volumineux, privilégiez des solutions sécurisées. SwissTransfer permet d'envoyer gratuitement jusqu'à 50 Go avec un hébergement exclusif en Suisse, chiffrement AES-256, et une durée de conservation jusqu'à 30 jours. C'est l'alternative directe à WeTransfer pour les PME suisses soucieuses de souveraineté des données.

Pour les sauvegardes professionnelles, Swiss Backup d'Infomaniak offre une protection contre les ransomwares avec réplication sur trois supports dans deux datacenters suisses distincts et chiffrement AES-256.

Mettre en place une politique claire et accompagner le changement

Formalisez votre politique d'utilisation dans un document accessible à tous. Cette charte doit expliquer quels outils sont autorisés, lesquels sont interdits, et pourquoi. Elle précise les bonnes pratiques et les conséquences en cas de non-respect.

Mais une politique écrite ne suffit pas. Organisez des sessions de formation expliquant les risques avec des exemples réels adaptés à votre secteur. Montrez comment utiliser les outils professionnels. Si vos collaborateurs comprennent pourquoi ces règles existent, ils seront plus enclins à les respecter. Un audit de sécurité adapté à votre PME peut vous aider à identifier les zones de risque et à prioriser vos actions.

Instaurez un dialogue continu. Encouragez vos équipes à vous signaler les outils qu'ils souhaiteraient utiliser. Évaluez ces demandes et trouvez des alternatives sécurisées. Cette approche collaborative transforme la sécurité d'une contrainte en démarche partagée.

Conclusion : sécurité et productivité ne sont pas incompatibles

Le Shadow IT et le Shadow AI ne disparaîtront pas. Ils reflètent une réalité : vos collaborateurs cherchent à être efficaces. Votre rôle n'est pas de freiner cette dynamique, mais de la canaliser de manière sécurisée.

En comprenant les risques, en sensibilisant vos équipes, en fournissant des outils professionnels adaptés et en instaurant une gouvernance claire, vous transformez une menace invisible en avantage compétitif.

Deux actions concrètes dès maintenant : évaluez quels outils d'IA et de stockage sont utilisés dans votre entreprise, puis identifiez les versions professionnelles ou les alternatives suisses qui peuvent les remplacer. Ensuite, communiquez clairement avec vos équipes et accompagnez-les dans cette transition. Pour aller plus loin dans la sensibilisation, PhishTrainer peut vous aider à former vos collaborateurs aux risques cyber de manière interactive.

La cybersécurité de votre PME suisse passe aussi par là. Bexxo peut vous accompagner dans cette démarche de gouvernance et de sécurisation.