L’essor fulgurant de l’intelligence artificielle générative transforme les pratiques professionnelles, mais il bouleverse aussi les équilibres de sécurité. Derrière la productivité qu’elle promet, l’IA s’impose désormais comme un vecteur majeur de fuite d’informations sensibles. Une étude publiée par Harmonic Security au premier trimestre 2025, relayée par L’Essentiel de l’Éco, révèle que 79,1 % des données exposées via des outils d’IA générative transitent par ChatGPT. Une statistique vertigineuse qui illustre l’ampleur d’un phénomène largement sous-estimé : l’usage incontrôlé de ces plateformes dans les environnements professionnels.
« Ce qui devait accélérer le travail devient un canal invisible d’exfiltration des données internes. »
L’étude de Harmonic Security met en lumière une tendance structurelle : les employés adoptent massivement les outils d’IA sans encadrement clair. Près d’un salarié sur deux y a recours, souvent pour des tâches bénignes — reformuler un courriel, synthétiser un rapport, rédiger un texte. Pourtant, une large majorité d’entre eux manipulent des informations sensibles dans leurs échanges, qu’il s’agisse de données clients, de contenus confidentiels ou de fragments de code propriétaires.
Le danger ne vient pas d’une attaque sophistiquée, mais d’un usage quotidien réalisé depuis des comptes personnels. En copiant et collant des données professionnelles dans des interfaces publiques, les utilisateurs sortent ces informations du périmètre de sécurité de l’entreprise. Elles deviennent alors inaccessibles au contrôle, voire stockées sur des serveurs étrangers soumis à d’autres législations.
« Le risque n’est plus dans le piratage, mais dans la banalisation des gestes. »
Les plateformes d’IA générative n’ont, en apparence, rien d’hostile. Elles fonctionnent à la demande, de manière fluide et intuitive. C’est précisément cette simplicité qui en fait un angle mort du dispositif de sécurité. Le rapport de Harmonic Security souligne que plus de 40 % des fichiers envoyés à ces services contiennent des données sensibles : informations à caractère personnel, identifiants clients, ou éléments soumis aux obligations de conformité PCI. La plupart de ces transferts échappent à toute supervision, car ils sont effectués via des connexions privées et des postes non gérés par les équipes IT.
Cette « Shadow AI » — ou IA de l’ombre — reproduit les mécanismes déjà connus du Shadow IT, mais à une échelle démultipliée. Chaque requête, chaque prompt, chaque fichier partagé peut potentiellement alimenter un modèle externe ou être intercepté dans la chaîne de traitement. Une fois la donnée transmise, il devient pratiquement impossible d’en maîtriser le cycle de vie.
« La donnée ne disparaît jamais, elle change simplement de mains. »
Harmonic Security estime que près d’un tiers des fuites de données internes vers des environnements non sécurisés proviennent désormais de l’usage d’outils d’IA générative. Ce phénomène d’exfiltration silencieuse se produit sans trace d’attaque : pas d’alerte, pas de malware, pas de signalement. Les barrières traditionnelles de protection — pare-feu, antivirus, segmentation réseau — n’ont aucun effet sur ce type de transfert.
Pour les entreprises, la difficulté réside autant dans la détection que dans la prévention. Bloquer les plateformes d’IA peut sembler une solution, mais elle se heurte à la réalité du terrain : les employés contournent souvent les restrictions pour conserver un gain de productivité. Interdire devient donc contre-productif. L’enjeu est ailleurs : encadrer, surveiller, et sensibiliser.
Les solutions émergent peu à peu. Certaines entreprises déploient des versions internes de modèles génératifs hébergés sur leurs propres serveurs, ou s’appuient sur des interfaces d’IA certifiées conformes aux politiques internes. D’autres adoptent des outils de Data Loss Prevention capables d’analyser les flux sortants pour repérer les transmissions de données sensibles vers des services externes. Ces dispositifs permettent d’alerter en temps réel, voire de bloquer automatiquement une requête suspecte.
« L’IA peut être un risque, mais elle peut aussi devenir une partie de la solution. »
Le véritable levier reste néanmoins humain. La plupart des incidents recensés par Harmonic Security résultent d’un manque d’information ou d’un excès de confiance. Former les collaborateurs à reconnaître les situations à risque, à distinguer les outils autorisés des services publics et à comprendre les implications légales du partage de données devient une priorité stratégique.
Les risques ne se limitent pas à la fuite immédiate : ils s’étendent aux conséquences réglementaires. Le transfert de données à caractère personnel vers un prestataire étranger, sans encadrement contractuel conforme au RGPD, peut exposer l’entreprise à des sanctions lourdes. De même, l’utilisation d’outils d’IA sans évaluation de conformité constitue une violation des bonnes pratiques de gouvernance des données.
Les directions de la sécurité doivent donc réviser leur approche. L’IA générative n’est pas une simple application : c’est un nouvel espace de travail. Comme le courrier électronique ou le cloud en leur temps, elle impose de repenser les frontières du système d’information. Une politique efficace doit articuler :
– la classification des données ;
– l’autorisation des outils ;
– la surveillance des échanges ;
– et une sensibilisation permanente des utilisateurs.
Certaines entreprises vont plus loin en intégrant des modèles d’IA internes, formés sur des jeux de données maîtrisés, sans exposition externe. Ces initiatives représentent une voie prometteuse pour concilier innovation et souveraineté numérique.
« L’enjeu n’est pas d’interdire l’IA, mais de lui imposer des règles du jeu compatibles avec la sécurité. »
En définitive, le rapport de Harmonic Security rappelle une évidence : plus les outils sont puissants, plus leur mésusage est risqué. L’intelligence artificielle générative, en rendant la manipulation de données aussi simple qu’une conversation, abolit les barrières psychologiques qui séparaient autrefois le domaine sensible du domaine public.
Les entreprises doivent désormais apprendre à vivre avec cette porosité nouvelle : former sans freiner, contrôler sans bloquer, innover sans s’exposer. Dans ce nouvel équilibre, la cybersécurité ne se joue plus uniquement dans les pare-feux ou les serveurs, mais dans les comportements, les politiques et la capacité collective à comprendre ce que l’on confie à la machine.
