Shadow AI agentique : quand des agents IA non gouvernés agissent déjà dans l'entreprise
Le shadow AI a changé de nature. Ce ne sont plus des chatbots utilisés en douce pour reformuler un e-mail. Ce sont des agents IA autonomes, connectés aux systèmes de l’entreprise, capables d’agir en continu — et invisibles pour la DSI.
Pendant deux ans, le shadow AI désignait un problème relativement balisé : des collaborateurs qui utilisaient ChatGPT, Gemini ou Claude à titre personnel pour rédiger des e-mails, résumer des documents, ou préparer des présentations. La DSI savait que le phénomène existait. Elle le tolérait, faute de mieux.
Ce qui a changé depuis fin 2025, c’est la nature même des outils utilisés. Les chatbots cèdent progressivement la place à des agents IA autonomes : des systèmes capables de recevoir un objectif, de décomposer les étapes, de se connecter à des outils internes, et d’exécuter des actions en boucle sans intervention humaine. La différence n’est pas de degré. Elle est de nature.
Cet article propose une analyse structurée du phénomène : définition précise, facteurs d’accélération, risques documentés, cadre réglementaire applicable, et pistes d’action concrètes pour les organisations qui veulent gouverner ces usages plutôt que les subir.
Ce qu’on appelle le shadow AI agentique
Le shadow AI agentique désigne l’utilisation, par des collaborateurs, d’agents IA autonomes non approuvés ni encadrés par l’organisation. Le terme combine deux réalités distinctes.
Le shadow AI recouvre tout usage d’outils d’intelligence artificielle en dehors du périmètre validé par la DSI ou le RSSI. Ce n’est pas un phénomène nouveau : il s’inscrit dans la continuité du shadow IT, qui existe depuis l’arrivée des services SaaS grand public dans les entreprises.
L’adjectif agentique désigne une catégorie spécifique de systèmes IA : ceux qui ne se contentent pas de répondre à une instruction, mais qui agissent de manière autonome pour atteindre un objectif. Un agent IA peut enchaîner des décisions, utiliser des outils, accéder à des API, modifier des fichiers, envoyer des messages — le tout sans validation humaine à chaque étape.
La convergence de ces deux phénomènes crée un risque d’un ordre différent. Le shadow AI classique exposait des données par copier-coller. Le shadow AI agentique expose des systèmes entiers, en continu, par connexion directe.
Chatbot, assistant, agent : une taxonomie nécessaire
Pour évaluer correctement le risque, il faut distinguer précisément les catégories d’outils en jeu. Les confusions terminologiques entre « chatbot », « assistant IA » et « agent autonome » brouillent la perception du danger.
| Critère | Chatbot classique | Agent IA autonome |
|---|---|---|
| Mode d’opération | Attend une instruction, répond, s’arrête | Reçoit un objectif, décompose, agit en boucle |
| Durée d’activité | Session ponctuelle, fermée par l’utilisateur | Continu, persistant, actif sans surveillance |
| Accès aux données | Copier-coller manuel | Connexion directe (CRM, e-mail, fichiers) |
| Traçabilité | L’utilisateur sait ce qu’il a envoyé | Décisions intermédiaires opaques |
| Conséquence d’une erreur | Incident isolé, réversible | Incident systémique potentiel |
| Surface d’attaque | Une conversation | Tous les systèmes connectés |
Entre ces deux extrêmes, il existe des positions intermédiaires : l’assistant connecté (qui accède à des données mais ne modifie rien) et l’agent supervisé (qui agit mais demande une validation humaine avant chaque action critique). Le risque principal du shadow AI agentique concerne la dernière catégorie : l’agent pleinement autonome, déployé sans cadre.
Pourquoi le phénomène s’accélère maintenant
Le shadow AI agentique n’est pas un problème de discipline individuelle. C’est une réponse structurelle à un décalage croissant entre ce que l’IA rend possible et ce que l’entreprise autorise formellement. Trois facteurs convergent.
La barrière technique a disparu
Les agents IA ne sont plus réservés aux développeurs. Des plateformes no-code permettent de créer des workflows agentiques en quelques clics, avec des connexions directes à Google Workspace, Microsoft 365, Slack, Notion ou des CRM. N’importe quel collaborateur peut désormais configurer un agent connecté à ses outils professionnels en quelques minutes.
Les outils approuvés ne suffisent pas
Selon une enquête Cybernews menée en août 2025 auprès de 1 003 salariés américains, seuls 33 % estiment que les outils IA approuvés par leur employeur répondent à leurs besoins[1]. Parallèlement, une étude BlackFog/Sapio Research de novembre 2025 montre que 63 % des salariés jugent acceptable d’utiliser des outils IA non validés si aucune alternative satisfaisante n’est proposée[2].
Le signal vient du sommet
L’enquête Cybernews révèle également que 59 % des collaborateurs utilisent des outils non approuvés ; chez les cadres dirigeants, cette proportion atteint 93 %[1]. Quand la direction générale contourne ses propres règles, le message envoyé à l’ensemble de l’organisation est sans ambiguïté.
Ce que l’IA agentique change dans l’équation du risque
La différence entre un collaborateur qui colle un document confidentiel dans un chatbot et un collaborateur qui déploie un agent autonome connecté aux systèmes internes n’est pas quantitative. Elle est qualitative. Quatre caractéristiques distinguent le risque agentique du risque conversationnel classique.
Un agent opère à la vitesse machine. Une erreur de configuration peut provoquer des centaines d’actions incorrectes en quelques minutes : e-mails envoyés à tort, données écrasées, fichiers partagés avec les mauvais destinataires.
Un chatbot s’arrête quand l’utilisateur ferme son navigateur. Un agent peut tourner en continu pendant des jours, accédant à des données sans que personne ne s’en aperçoive. Les tokens d’accès restent actifs. Les connexions ne sont pas auditées.
Un collaborateur qui utilise un chatbot sait ce qu’il a envoyé. Un agent qui enchaîne des actions intermédiaires prend des décisions que même son créateur ne maîtrise pas toujours. Il peut accéder à des données RH, financières ou client que le collaborateur n’aurait jamais consultées lui-même.
Fin 2024, 35 extensions de navigateur liées à l’IA ont été compromises via du phishing ciblant les développeurs, exposant plus de 3,7 millions d’utilisateurs. Début 2025, 16 extensions supplémentaires ont été identifiées[3]. Quand un agent dispose de permissions étendues, une compromission ne donne pas accès à une conversation. Elle donne accès à tout ce que l’agent pouvait atteindre.
L’ampleur mesurable du risque
Plusieurs études publiées entre 2025 et début 2026 permettent de quantifier le phénomène.
Part des données sensibles insérées dans des outils d’IA fin 2025, contre 10,7 % deux ans plus tôt[4]. Avec l’arrivée d’agents connectés directement aux systèmes internes, cette surface d’exposition a vocation à augmenter mécaniquement.
Surcoût moyen d’une fuite de données liée au shadow AI[6]
Par rapport à une fuite liée à l’IA sanctionnée. Source : IBM, juillet 2025.
Des salariés ont déjà collé des données d’entreprise dans des services d’IA[5]
82 % via des comptes personnels. Source : LayerX, 2025.
Des entreprises subiront un incident lié au shadow AI d’ici 2030[7]
Projection d'incidents de sécurité ou conformité. Source : Gartner, novembre 2025.
Précision importante : la projection Gartner a été établie avant la montée en puissance récente des agents autonomes. Bien que l'étude ne détaille pas explicitement l'impact de ces nouveaux usages, la dimension agentique pourrait aggraver considérablement ce chiffre.
Ce que disent réellement les textes
Le cadre réglementaire européen n’a pas été conçu spécifiquement pour le shadow AI agentique. Mais plusieurs dispositions existantes s’y appliquent directement.
Le règlement européen sur l’intelligence artificielle impose, à compter du 2 août 2026, des obligations de traçabilité, de gouvernance des données, de documentation technique et de supervision humaine pour les systèmes IA classés à haut risque. Parmi eux : les systèmes utilisés en recrutement, évaluation et gestion des performances (Annexe III, section 4). Le non-respect de ces obligations spécifiques expose l’entreprise à des sanctions pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial (l’amende maximale de 35 millions étant réservée aux pratiques interdites)[8].
Le RGPD s’applique également. Un agent IA qui accède à des données personnelles (dossiers RH, e-mails clients, fichiers partagés) sans base juridique valide et sans analyse d’impact constitue une violation potentielle du règlement, indépendamment de l’AI Act.
Côté CNIL : l’autorité a publié en février 2025 des recommandations actualisées sur l’articulation entre IA et RGPD[9]. La CNIL place l’IA au cœur de son plan stratégique 2025-2028, avec une vigilance particulière sur le respect du RGPD dans les traitements automatisés touchant aux droits des personnes.
Concrètement : un agent IA déployé par un collaborateur sans validation DSI, sans analyse d’impact, sans inscription au registre des traitements, s’expose potentiellement à une double non-conformité (RGPD et AI Act).
Note de prudence : le paquet Digital Omnibus actuellement en discussion pourrait conditionner certaines obligations de l’AI Act à la disponibilité de normes harmonisées, avec un décalage possible vers décembre 2027 ou août 2028 pour certains cas[10]. L’échéance d’août 2026 reste la référence dans le texte en vigueur.
Trois situations plausibles en entreprise
Pour rendre le risque concret, voici trois scénarios plausibles. Aucun n’est fictif au sens strict : chacun est une extrapolation raisonnable de situations documentées.
Scénario 1 — Direction commerciale
Un directeur commercial configure un agent connecté à son CRM et à sa messagerie pour automatiser le suivi de ses prospects. L’agent envoie des relances personnalisées, met à jour les fiches client, et génère des comptes-rendus. Problème : l'agent accède à l’ensemble du CRM, y compris les données des autres commerciaux et des clients inactifs. Les données transitent par un service tiers non référencé par la DSI.
Scénario 2 — Ressources humaines
Une responsable RH utilise un agent pour pré-trier des candidatures. L’agent analyse les CV reçus par e-mail, les croise avec la fiche de poste, et classe les candidats par pertinence. L’outil n’est ni déclaré ni documenté. Or, un système IA utilisé dans le recrutement est explicitement classé « haut risque » par l’AI Act (Annexe III, section 4).
Scénario 3 — Marketing
Un chef de projet marketing déploie un agent de veille concurrentielle connecté à Slack, Google Drive et un outil d’e-mailing. L’agent scrape des sites concurrents, synthétise les données dans un document partagé, et envoie un résumé hebdomadaire à l’équipe. Un jour, l’agent inclut par erreur des données clients internes dans le document partagé avec un prestataire extérieur.
Ce qu’une entreprise doit faire dans les 90 jours
Interdire ne fonctionne pas. La seule stratégie viable est un cadre de gouvernance qui canalise l’usage sans le brider. Cinq mesures prioritaires, classées par ordre d’urgence.
1. Cartographier les usages existants
Quels outils d’IA sont connectés aux systèmes de l’entreprise ? Quels tokens d’accès ont été générés ? Quelles extensions de navigateur sont installées ? Quelles applications tierces ont été autorisées sur Google Workspace ou Microsoft 365 ? Un audit BYOAI révèle systématiquement des usages insoupçonnés.
2. Rédiger une politique agentique
La charte IA de l’entreprise, si elle existe, couvre probablement les chatbots. Elle ne couvre vraisemblablement pas les agents autonomes. Il faut un cadre distinct : types d’agents autorisés, données accessibles, supervision requise, journalisation des actions, procédure de déclaration.
3. Proposer des alternatives encadrées
Le meilleur antidote au shadow AI est un catalogue interne d’outils qui fonctionnent, qui sont sécurisés, et qui répondent aux vrais besoins des métiers. Si le marketing a besoin d’un agent de veille, il vaut mieux le fournir dans un cadre maîtrisé que de découvrir six mois plus tard qu’un outil non référencé accède à l’ensemble du système de fichiers. farweb.fr conçoit ce type de solutions sur mesure.
4. Former le management intermédiaire
Le premier levier de gouvernance est le manager de proximité. Sans sensibilisation, il ne peut ni détecter les usages non encadrés, ni orienter ses équipes vers des outils validés. Une formation IA ciblée est un préalable à toute politique de gouvernance.
5. Instaurer un cycle d’audit régulier
Un audit ponctuel ne suffit pas. Les outils évoluent rapidement, les usages se renouvellent. Un dispositif de gouvernance crédible inclut des revues trimestrielles des outils connectés, des permissions actives et des incidents détectés.
La question de la responsabilité
Qui est responsable quand un agent autonome, configuré par un collaborateur sur son compte personnel, agissant sur les données de l’entreprise, provoque un préjudice ?
Le collaborateur, qui n’avait pas conscience de la portée de son agent ? La DSI, qui n’avait pas détecté l’usage ? La direction générale, qui n’avait pas mis en place de cadre ?
Cette question n’est pas théorique. Elle sera tranchée par des juges, des régulateurs et des assureurs. Et la réponse dépendra largement de ce que l’entreprise pourra démontrer : existence d’une politique, actions de formation, démarche de cartographie, registre de traitements, analyse d’impact. Les entreprises qui auront documenté leur démarche de gouvernance seront en position de démontrer leur diligence raisonnable. Les autres subiront.
La conférence BYOAI traite précisément ces enjeux auprès des équipes dirigeantes.
Questions fréquentes
Qu’est-ce que le shadow AI agentique ?
Le shadow AI agentique désigne l’utilisation par des collaborateurs d’agents IA autonomes non approuvés par l’entreprise. Contrairement au shadow AI classique (chatbots utilisés ponctuellement), ces agents reçoivent un objectif, décomposent les étapes et exécutent des actions sur les systèmes de l’entreprise (CRM, e-mail, fichiers) de manière autonome et persistante.
En quoi un agent IA est-il plus risqué qu’un chatbot ?
Un chatbot attend une instruction et s’arrête. Un agent IA agit en continu, accède directement aux systèmes de l’entreprise, et prend des décisions intermédiaires que même son créateur ne maîtrise pas toujours. IBM estime que le surcoût d’une fuite liée au shadow AI dépasse de 670 000 dollars celui d’une fuite liée à l’IA sanctionnée.
Que prévoit l’AI Act pour les agents IA non encadrés ?
L’AI Act impose, à compter d’août 2026, des obligations strictes de conformité et de supervision pour les systèmes IA classés à « haut risque » (dont le recrutement). Le non-respect de ces obligations expose l’entreprise à des amendes de 15 millions d’euros ou 3 % du chiffre d’affaires mondial. Les amendes de 35 millions d’euros (ou 7 %) s'appliquent, elles, aux pratiques d'IA formellement interdites.
Comment détecter le shadow AI agentique dans mon entreprise ?
En cartographiant les tokens d’accès actifs, les extensions de navigateur installées, les applications tierces autorisées sur vos plateformes collaboratives, et les connexions API non référencées. La plupart des DSI découvrent des usages qu’elles ne soupçonnaient pas. Un audit BYOAI structure cette démarche.
Faut-il une charte spécifique aux agents IA autonomes ?
Oui. La charte IA générale couvre généralement les chatbots. Les agents autonomes posent des questions spécifiques : types d’agents autorisés, données accessibles, supervision humaine requise, journalisation des actions. Sans politique agentique explicite, chaque collaborateur définit ses propres règles.
Qui est responsable si un agent IA non autorisé cause un préjudice ?
La question est encore largement ouverte juridiquement. Le collaborateur, la DSI et la direction générale peuvent tous être mis en cause. Ce qui fera la différence : la capacité de l’entreprise à démontrer qu’elle avait mis en place un cadre de gouvernance (politique, formation, cartographie, analyse d’impact).
Par où commencer concrètement ?
Trois actions immédiates : cartographier les outils IA déjà connectés aux systèmes de l’entreprise, rédiger une politique agentique minimale (même provisoire), et sensibiliser le management intermédiaire à la détection des usages non encadrés.
Sources et références
- Cybernews — 59% of employees use unapproved AI tools at work — enquête menée en août 2025 auprès de 1 003 salariés américains, publiée le 30 septembre 2025.
- BlackFog / Sapio Research — Shadow AI Threat Research — enquête menée en novembre 2025 auprès de 2 000 répondants (US et UK), publiée le 27 janvier 2026.
- Spin.AI / analyse GitLab Threat Intelligence — The Escalating Threat of Malicious Browser Extensions — incident Cyberhaven de décembre 2024 (35 extensions, 3,7M utilisateurs) et vague complémentaire de février 2025 (16 extensions).
- Cyberhaven — AI Data Security Report 2025 — analyse des données sensibles insérées dans les outils IA, fin 2025.
- LayerX — Enterprise AI & SaaS Data Security Report 2025 — publié en octobre 2025.
- IBM — Cost of a Data Breach Report 2025 — publié le 30 juillet 2025. Coût moyen d’une fuite liée au shadow AI estimé à 4,63 M$.
- Gartner — Critical GenAI Blind Spots That CIOs Must Urgently Address — communiqué du 19 novembre 2025. Prévoit que plus de 40 % des entreprises subiront un incident lié au shadow AI d’ici 2030.
- Règlement européen sur l’intelligence artificielle (AI Act) — Articles 6, 9, 99, Annexe III. Application progressive des obligations (août 2025 / août 2026), sous réserve d'évolutions législatives complémentaires.
- CNIL — IA et RGPD : la CNIL publie ses nouvelles recommandations — février 2025.
- Crowell & Moring — Artificial Intelligence and Human Resources in the EU: A 2026 Legal Overview — analyse juridique.
Ce sujet concerne votre organisation ? Un premier échange de 15 minutes permet d’évaluer la situation et de décider de la suite.
Échanger avec Raphaël UhlrichSans engagement · 15 min · Strasbourg ou visio