L’IA crée son propre Shadow IT : les entreprises perdent déjà la trace de leurs agents
📩 Pour nous contacter: redaction@fw.media
Pendant près de deux décennies, les directions informatiques ont tenté de reprendre le contrôle d’un phénomène devenu familier : le Shadow IT. Derrière cette expression se cachait une réalité simple. Des collaborateurs adoptaient des outils, applications ou services cloud sans validation préalable des équipes informatiques. Les entreprises découvraient alors qu’une partie croissante de leurs infrastructures numériques leur échappait.
L’histoire semble aujourd’hui se répéter, à une différence près, ce ne sont plus des applications qui prolifèrent dans l’organisation, mais des agents d’intelligence artificielle.
L’essor rapide des plateformes agentiques transforme progressivement la nature même des systèmes d’information. Après les assistants conversationnels, les entreprises déploient désormais des agents capables d’accéder à des bases de données, d’interagir avec des logiciels métiers, de lancer des processus automatisés ou encore de prendre certaines décisions de manière autonome. Ces systèmes ne se contentent plus de répondre à des questions, ils agissent.
Cette évolution ouvre de nouvelles perspectives de productivité, mais elle fait également apparaître une zone d’ombre grandissante. Dans de nombreuses organisations, personne n’est aujourd’hui capable de recenser précisément l’ensemble des agents déployés, leurs accès, leurs privilèges ou leurs comportements réels.
Le phénomène rappelle les débuts du cloud computing, à mesure que les équipes adoptaient de nouveaux services SaaS, les directions informatiques perdaient progressivement en visibilité sur leurs actifs numériques. Cette perte de contrôle avait donné naissance à une industrie entière consacrée à l’inventaire, à la gouvernance et à la sécurisation des environnements cloud.
Les agents IA semblent suivre une trajectoire similaire, mais avec une complexité supplémentaire. Une application SaaS exécute un périmètre fonctionnel relativement défini. Un agent autonome, lui, peut modifier son comportement en fonction du contexte, utiliser plusieurs outils, accéder à différentes sources de données et interagir avec d’autres systèmes sans intervention humaine directe.
Le problème ne réside donc plus uniquement dans l’accès aux données, mais dans la capacité à comprendre les décisions prises par ces nouveaux acteurs numériques.
Cette mutation est déjà observable sur le terrain. La société de biotechnologie spécialisée dans l’intelligence artificielle Owkin a récemment constaté que ses inventaires internes sous-estimaient massivement la présence d’agents au sein de son environnement technologique. Lors d’un projet pilote, plus de trois fois plus d’agents ont été identifiés que ce qui était initialement recensé. L’opération a également permis de détecter plusieurs vulnérabilités critiques, notamment des risques d’injection de commandes, des fuites d’identifiants et des expositions potentielles de données confidentielles. Selon l’entreprise, les risques évités représentaient une exposition estimée à 13 millions de dollars.
Ces chiffres illustrent l’émergence d’un nouveau défi pour les entreprises. À mesure que les agents se multiplient, la question n’est plus seulement de savoir quels modèles d’IA utiliser, mais comment superviser des systèmes capables d’agir de manière autonome à l’intérieur des infrastructures critiques.
Cette problématique pourrait rapidement devenir un enjeu de gouvernance autant que de cybersécurité. Les réglementations européennes, à commencer par l’AI Act, imposent déjà des exigences croissantes en matière de traçabilité, d’auditabilité et de maîtrise des systèmes d’intelligence artificielle. Les entreprises devront être en mesure de démontrer non seulement quels outils elles utilisent, mais également comment ces derniers prennent leurs décisions et interagissent avec les données.
Pour les directions générales, la question dépasse désormais le simple cadre technologique. Les organisations capables de déployer des agents à grande échelle tout en conservant une visibilité complète sur leurs actions pourraient bénéficier d’un avantage compétitif majeur. À l’inverse, celles qui laisseront proliférer ces nouveaux systèmes sans gouvernance adaptée pourraient découvrir, trop tard, l’étendue des risques accumulés.
C’est sur ce constat que Geordie AI entend bâtir sa croissance. La startup britannique développe une plateforme dédiée à l’inventaire, à la sécurisation et à la gouvernance des agents IA au sein des entreprises. Son objectif est de fournir une visibilité en temps réel sur les agents existants, leurs accès, leurs comportements et les risques associés, tout en permettant aux organisations d’encadrer leurs actions sans ralentir les déploiements. Pour accélérer son développement, renforcer sa plateforme et étendre sa présence aux États-Unis, Geordie AI vient de lever 30 millions de dollars en série A auprès de Balderton Capital, avec la participation de Crosspoint Capital ainsi que de ses investisseurs historiques General Catalyst et Ten Eleven Ventures. Cette opération porte le financement total de l’entreprise à 36,5 millions de dollars.
