Shadow AI : Identification de 214 outils IA non déclarés

Shadow AI
Shadow AI
Shadow AI

Introduction


Face à l’explosion de l’IA générative, de nombreux collaborateurs adoptent spontanément des outils d’IA grand public pour accélérer leur travail.


Dans les secteurs les plus réglementés, cette pratique représente un risque majeur mais reste extrêmement difficile à détecter.


C’est ce qui se produisait dans ce groupe bancaire international jusqu’à l’arrivée d’Avanoo.



Contexte


Le DSI et le RSSI du groupe soupçonnaient l’existence d’un Shadow AI important.


Ils observaient l’utilisation d’outils d’IA non approuvés, des pièces jointes transférées dans des outils IA pouvant contenir des données sensibles, une absence de contrôle sur les plateformes génératives utilisées et une impossibilité d’auditer ou d’encadrer ces usages.


Avec NIS2, DORA et les exigences internes, la banque avait besoin d’une visibilité totale mais ne disposait d’aucun outil capable de voir les usages réels en dehors des accès SSO ou d'un CASB sur lequel il faudrait passer des heures pour trouver une partie des infos qui sont intéressantes à analyser.



Action déployée


Le déploiement de l’extension navigateur Avanoo a été réalisé sur 9000 postes, avec une installation silencieuse et la captation sécurisée des interactions avec les IA génératives, permettant d’identifier les prompts, les sites et les flux utilisés.


Avanoo a ensuite détecté automatiquement le Shadow AI en analysant tous les outils IA visités, en catégorisant et sous-catégorisant les plateformes et en détectant les usages non conformes afin d’y associer un label indiquant s’ils étaient approuvés ou à risque.



Une analyse avancée du risque a été effectuée via un audit automatisé basé sur les données Avanoo incluant score, localisation des data centers et certifications.


Enfin, une sensibilisation active des usages dangereux a été mise en place avec une liste noire dynamique classant les plateformes en risque de sécurité, un nudging sur plus de cent quarante plateformes considérées critiques avec redirection vers la charte IA et un mécanisme automatique orientant les utilisateurs vers les outils validés par la DSI.



Résultats


La découverte a été massive avec 214 outils IA identifiés contre seulement 7 recensés par l’IT, dont 37 outils classés comme haut risque qui ont été immédiatement bloqués.


La conformité a été rétablie avec une mise en conformité immédiate aux politiques DLP et NIS2, une traçabilité complète des usages IA et la création d’un registre Shadow AI intégré à l’audit annuel.



La gouvernance a été renforcée grâce à l’adoption rapide d’une politique IA officielle co-construite avec Avanoo, à la sensibilisation automatisée des collaborateurs via nudging et à la mise en place d’un comité IA interne basé sur les données collectées.



Conclusion


En moins de 140 jours, Avanoo a transformé une zone d’ombre en un espace totalement maîtrisé.


Cette grande banque a pu non seulement identifier et neutraliser le Shadow AI mais aussi bâtir une stratégie IA responsable, sécurisée et alignée avec les réglementations.

Reprenez le contrôle, aujourd'hui

Découvrez comment Avanoo peut simplifier votre cartographie SaaS, réduire vos risques et optimiser vos coûts. Le tout avec une plateforme robuste et un support humain dédié.

Prendre RDV

Cta-Image
Pattan-Image

Reprenez le contrôle, aujourd'hui

Découvrez comment Avanoo peut simplifier votre cartographie SaaS, réduire vos risques et optimiser vos coûts. Le tout avec une plateforme robuste et un support humain dédié.

Prendre RDV

Cta-Image
Pattan-Image

Reprenez le contrôle, aujourd'hui

Découvrez comment Avanoo peut simplifier votre cartographie SaaS, réduire vos risques et optimiser vos coûts. Le tout avec une plateforme robuste et un support humain dédié.

Prendre RDV

Cta-Image
Pattan-Image