L’utilisation d’outils de GenAI sans validation ni supervision par les équipes IT ou juridiques, autrement dit le shadow AI, est un nouveau casse-tête pour les organisations. La récente étude de Neskope qui repose sur les détections signalées, montre que six utilisateurs sur dix utilisent beaucoup d'IA parallèles, un phénomène qui continue de s'étendre.
Autre tendance forte et porteuse de risques, celle de l’utilisation accrue de l’IA Agentique dans les divers métiers d’une entreprise, à savoir les IA autonomes. En cause, les espoirs sans doute irréalistes induits par les agents d’IA. Côté développement, GitHub Copilot est désormais utilisé dans 39 % des entreprises, et dans 5,5 % d’entre elles, les utilisateurs exécutent des agents d’IA. Un type d’IA particulièrement difficile à gérer, car les déploiements sur site posent des problèmes de détection et de sécurisation.
L’étude note une hausse de moitié dans l’utilisation des plateformes d’IA générative (GenAI) en entreprise au cours du trimestre terminé en mai 2025. À ce jour, les organisations utilisent environ 15 applications GenAI (contre 13 en février 2025). Et d’un trimestre à l’autre, la quantité de données téléchargées mensuellement vers des applications GenAI est passée de 7,7 Go à 8,2 Go. Une hausse sensible.
Autre information, les deux tiers des entreprises utilisent des interfaces, telles Ollama qui se place nettement en tête avec 33 % des utilisateurs. D’autre part, ils téléchargent des ressources depuis Hugging Face, acteur majeur de l’IA Open source dans la majorité
(67 %) des entreprises.
De plus, les agents sur site parviennent à récupérer davantage de données à partir des services SaaS et accèdent ainsi à plus de terminaux API. Deux tiers (66 %) des entreprises comptent des utilisateurs qui effectuent des appels API vers api.openai.com et 13 % vers api.anthropic.com.
ChatGPT moins populaire auprès des entreprises
L’IA d’Open AI a connu son premier déclin de popularité auprès des entreprises depuis que Netskope a commencé à la suivre en 2023. L'utilisation de l'IA en SaaS se concentrerait désormais autour de solutions plus adaptées aux flux de travail des entreprises, comme Gemini de Google et Copilot de Microsoft.Les plateformes d'IA telles Amazon Bedrock, Azure OpenAI ou Google Vertex AI ont le vent en poupe, permettant aux utilisateurs de créer des applications et des agents personnalisés qui interagissent directement avec les bases de données des entreprises. De quoi donner du fil à retordre aux équipes de la DSI et des RSSI en matière d'IA fantôme.
Deepseek fait l’objet d’une grande méfiance pour les organisations qui sont près de la moitié (46%) à l’interdire. En revanche Paradox et Grok sont les moins pénalisées par les entreprises. Le graphique ci-dessous donne un aperçu de cette situation.
Les défis et recommandations pour les RSSI
L’évaluation de l’environnement de GenAI est la première étape et suppose un inventaire complet des applications SaaS, plateformes et outils hébergés localement. L’Identification des utilisateurs et leurs usages des différents services et workflows est la deuxième étape.
Autre recommandation de Netskope, renforcer les contrôles des applications d'IA générative et bloquer les modèles LLM non approuvés. Une évidence, mais qui ne l’est pas pour tous. En conséquence, il faut mettre en place des politiques de prévention des pertes et de collecte de données sensibles par les applications exclues du périmètre.
Une véritable sensibilisation suivie d’une formation aux nouveaux risques liés à l'IA fantôme agentique est devenue indispensable.
