Un employé qui installe un assistant de rédaction intelligent, connecte un copilote de codage à son IDE ou utilise un nouvel outil de navigateur pour synthétiser des réunions fait exactement ce qu’un collaborateur productif devrait faire. Il cherche des moyens plus rapides pour travailler.
Dans la plupart des organisations aujourd’hui, les employés utilisent quotidiennement trois à cinq outils d’intelligence artificielle. La majorité ne fut jamais examinée par le département informatique. Une part importante se connecte aux données de l’entreprise via des tokens OAuth ou des sessions de navigateur, ce qui donne accès aux dossiers partagés, aux emails et aux documents internes que l’employé ne souhaitait pas exposer. Les équipes de sécurité n’en ont souvent aucune visibilité.
Ce phénomène constitue la lacune de l’intelligence artificielle clandestine, et elle s’agrandit rapidement. La plupart des outils de sécurité surveillent le trafic des emails et du réseau qui passe par le réseau de l’entreprise. Un outil d’intelligence artificielle basé sur navigateur, qui se connecte aux données de l’entreprise via une approbation rapide de connexion, contourne ces contrôles car il ne traverse jamais le réseau de l’entreprise.
Selon les recherches de Adaptive Security, 80% des employés utilisent actuellement des applications d’intelligence artificielle générative non autorisées au travail, et seulement 12% des entreprises ont une politique formelle de gouvernance de l’intelligence artificielle. Cela crée un fossé qui s’accroît entre la manière de travailler des employés et ce que les équipes de sécurité peuvent observer.
Un programme qui canalise l’adoption de l’intelligence artificielle vers un chemin sûr, visible et approuvé donne aux équipes de sécurité la visibilité nécessaire et aux employés les outils qu’ils souhaitent. Les cinq étapes suivantes montrent précisément comment bâtir ce programme.
Étape 1 : Établir une vision complète des outils utilisés
Un programme de sécurité peut seulement gérer ce qu’il voit. La première étape consiste à découvrir quels outils d’intelligence artificielle sont employés dans l’organisation. La réponse surprendra probablement la plupart des équipes de sécurité.
Trois domaines concentrent l’activité principale de l’intelligence artificielle clandestine.
-
Connexions OAuth. La plupart des outils d’intelligence artificielle sollicitent un accès à Google Workspace ou Microsoft 365 via OAuth, ce qui leur octroie des permissions de lecture ou écriture sur les données de l’entreprise. Un audit trimestriel des applications tierces connectées, trié par champ de permission, révèle généralement des dizaines d’outils que l’équipe de sécurité n’a jamais examinés.
-
Extensions de navigateur. De nombreux outils d’intelligence artificielle fonctionnent comme des extensions de navigateur et ne touchent jamais le système d’exploitation. Les outils traditionnels de gestion des terminaux ne les détectent donc pas. Une solution de gestion des navigateurs ou un agent léger installé sur les appareils des employés peut analyser et identifier les extensions actives dans l’organisation.
-
Fonctions d’intelligence artificielle intégrées dans des outils déjà approuvés. Microsoft Copilot, Google Gemini et Salesforce Einstein sont des exemples de capacités d’intelligence artificielle qui peuvent avoir été introduites après l’évaluation initiale du fournisseur, souvent sans une revue de sécurité distincte.
Une simple enquête auprès des employés est aussi utile. Une enquête centrée sur l’aide aux employés pour travailler plus sûrement tend à obtenir des réponses sincères. De nombreux outils clandestins apparaissent dans les enquêtes alors que la détection automatisée les ignore complètement.
L’objectif de cette étape est un inventaire précis et actuel : chaque outil d’intelligence artificielle utilisé, qui l’emploie et quel type de données il peut accéder.
Étape 2 : Écrire une politique qui fonctionne avec les employés
La plupart des politiques d’utilisation acceptable de l’intelligence artificielle stagnent pour la même raison : elles donnent aux employés une liste d’outils interdits sans aucune orientation sur le chemin approuvé. Une politique conçue comme un guide pratique, qui identifie les outils autorisés et offre un processus clair pour demander de nouveaux outils, constitue la base que les employés requièrent pour prendre des décisions correctes.
Une politique de gouvernance de l’intelligence artificielle efficace couvre cinq éléments.
-
Des règles de classification des données claires, qui spécifient quelles catégories de données, comme les fichiers clients, le code source et les informations financières, ne doivent jamais être saisies dans un outil d’intelligence artificielle.
-
Un statut vérifié d’exclusion de l’entraînement des données pour chaque outil approuvé. De nombreux outils d’intelligence artificielle utilisent les saisies de l’entreprise pour améliorer leurs modèles par défaut, sauf si les paramètres de l’entreprise sont explicitement configurés autrement. L’approbation doit nécessiter une exclusion confirmée pour tout outil qui manipule des données sensibles.
-
Un processus défini pour solliciter de nouveaux outils, avec un délai de traitement objectif.
-
Une explication en langage simple des raisons des directives.
Ce dernier élément est plus important qu’il paraît. Les employés qui comprennent pourquoi les connexions OAuth comportent un risque d’exposition de données appliquent ce raisonnement à chaque décision sur les outils. La politique devient une forme d’éducation quand le raisonnement est inclus.
Étape 3 : Créer un chemin rapide pour les nouvelles demandes d’outils
L’intelligence artificielle clandestine se développe le plus rapidement dans les organisations où le processus officiel d’approbation ne peut suivre le rythme des lancements de produits d’intelligence artificielle. Un employé qui nécessite un outil aujourd’hui et rencontre un délai de six semaines pour une revue de sécurité trouvera une solution de contournement en quelques jours. L’objectif de cette étape est de supprimer cette friction.
-
La plupart des demandes d’outils d’intelligence artificielle ne méritent pas une revue d’acquisition complète. Une fiche d’accueil structurée avec des critères d’évaluation définis suffit pour la majorité des outils à faible risque.
-
Une fiche d’accueil structurée et un ensemble défini de critères d’évaluation rendent les décisions rapides possibles. Pour les outils avec un accès limité aux données, de nombreuses organisations trouvent un délai de traitement plus court envisageable quand les critères d’évaluation sont documentés et appliqués de manière cohérente.
-
Les critères d’évaluation doivent couvrir le champ d’accès aux données, les pratiques de sécurité du fournisseur, le statut d’exclusion de l’entraînement des données, les certifications de conformité et si l’outil possède déjà un équivalent fonctionnel sur la liste approuvée.
Les équipes de sécurité qui publient ouvertement leur liste d’outils approuvés et la maintiennent à jour observent généralement une réduction significative de l’utilisation de l’intelligence artificielle clandestine. Quand les employés savent où trouver les bons outils, ils les emploient.
Étape 4 : Utiliser la surveillance comme une couche de sécurité commune
Une visibilité continue sur l’utilisation des outils d’intelligence artificielle dans une organisation sert deux groupes simultanément.
-
Les équipes de sécurité obtiennent le tableau en temps réel nécessaire pour identifier et traiter une exposition avant qu’elle devienne un incident.
-
Les employés bénéficient d’une forme de protection qu’ils n’ont souvent pas eux-mêmes : un signal quand un outil qu’ils utilisent peut mettre leurs identifiants ou les données de l’entreprise en danger.
Une approche de surveillance native au navigateur donne aux équipes de sécurité une visibilité sur l’activité d’intelligence artificielle sans réorienter le trafic web des employés ou ajouter de friction au travail quotidien. Les signaux capturés alimentent le profil de risque plus large de chaque employé, et ils se placent au même endroit que les résultats des simulations de phishing et les données de fin de formation.
Cette vue combinée est importante car les comportements risqués s’additionnent. Un employé qui clique sur des liens de phishing, ignore les formations et utilise des outils d’intelligence artificielle non approuvés avec accès aux données sensibles représente un risque beaucoup plus élevé qu’un seul comportement pourrait indiquer. Observer le tableau complet en un seul lieu aide les équipes de sécurité à se concentrer sur les employés qui nécessitent le plus d’attention.
Étape 5 : Rendre le comportement de sécurité facile
Les programmes de sécurité qui font du choix sécurisé le choix le plus simple sont ceux que les employés suivent. Dans le contexte de la gouvernance de l’intelligence artificielle, deux éléments alimentent cela : un coaching immédiat et une formation qui explique le raisonnement derrière les règles.
Le coaching immédiat délivre un bref signal contextuel quand un employé tente d’utiliser un outil non sanctionné. Ceci est plus efficace que les modules de formation trimestriels car l’intervention se produit au moment de la décision. Un signal bien conçu indique à l’employé la raison du souci, le dirige vers une alternative approuvée, et demande moins de trente secondes à lire.
Une formation qui explique le raisonnement derrière les politiques de gouvernance de l’intelligence artificielle bâtit le type de discernement que les employés peuvent appliquer à toute situation qu’ils rencontrent, incluant les outils et les menaces qui émergent longtemps après la formation elle-même. Le panorama des outils d’intelligence artificielle change assez vite pour que aucun programme de formation puisse anticiper chaque cas spécifique.
Un employé qui comprend que les connexions OAuth au Google Workspace de l’entreprise peuvent exposer le dossier partagé entier à un fournisseur tiers appliquerait cette compréhension aux outils qui n’existaient pas six mois avant.
Bâtir un programme de sécurité basé sur la manière de travailler des équipes
L’adoption de l’intelligence artificielle est un signal des équipes productives qui accomplissent bien leur travail. Les entreprises qui bâtissent des programmes pratiques autour de cette dynamique, avec des chemins clairs vers les outils approuvés et une visibilité en temps réel pour les équipes de sécurité, tendent à le gérer de la meilleure manière.
Les équipes de sécurité qui comblent cette lacune constatent que l’utilisation de l’intelligence artificielle clandestine diminue naturellement avec le temps. La visibilité native au navigateur, les chemins clairs vers les outils approuvés et le coaching immédiat au moment du risque rendent cela possible.
Quand les employés ont accès à des outils efficaces et approuvés, et un chemin rapide et transparent pour obtenir une revue de nouveaux outils, l’incitation à contourner le système disparaît largement.
Le produit de gouvernance de l’intelligence artificielle d’Adaptive Security donne aux équipes de sécurité une visibilité en temps réel sur chaque outil d’intelligence artificielle et application clandestine utilisés dans leur organisation, avec des politiques automatisées et un coaching immédiat des employés intégré.