Shadow AI : quand tes collaborateurs utilisent l'IA dans ton dos
54% des PME romandes expérimentent l'IA sans cadre officiel. Les 5 risques et la méthode pour canaliser le Shadow AI.
Lire l'articleUn e-mail anodin. Pas de pièce jointe suspecte, pas de lien bizarre. Juste un message de ton fournisseur habituel. Sauf que ce message vient de reprogrammer ton assistant IA pour envoyer tes données confidentielles à un inconnu. Ce n'est pas de la science-fiction. C'est l'attaque EchoLeak, documentée contre Microsoft 365 Copilot en 2025. Et ce n'est que le début.
En 18 mois, le paysage a basculé. L'IA n'est plus seulement un outil que tu utilises. C'est aussi un outil que les attaquants utilisent contre toi. Les trois organismes de référence en cybersécurité (l'OWASP pour les risques applicatifs, le NIST pour les normes fédérales américaines, et MITRE ATLAS pour le catalogue des techniques d'attaque IA) ont tous mis à jour leurs cadres entre fin 2024 et début 2026 pour intégrer ces nouvelles menaces. Le constat est unanime : les systèmes IA en production sont devenus des cibles à part entière.
Concrètement, qu'est-ce que ça change pour toi ? Tout. Et pour que ce soit clair dès maintenant, voici les 7 types d'attaques que tu vas découvrir dans cet article :
- Injection de prompts : quelqu'un donne des ordres à ton IA à ta place.
- Jailbreaking : quelqu'un retourne ton IA contre toi en désactivant ses garde-fous.
- Empoisonnement des données : quelqu'un corrompt ce que ton IA a appris.
- Extraction de données : quelqu'un force ton IA à recracher des informations confidentielles.
- Supply chain IA : tu utilises un composant IA qui a été piégé à la source.
- Hallucinations armées : ton IA invente des faits qui deviennent des pièges.
- Attaques multimodales : une image apparemment normale reprogramme ton IA.
À la fin de cet article, tu sauras lesquelles de ces attaques sont réellement probables dans une PME de 20 à 200 personnes, et tu auras un plan d'action concret à lancer sans budget ni équipe sécu dédiée.
Pour t'aider à naviguer, chaque attaque est associée à une lettre du framework T.R.A.C.E. d'UnlockAI (Transparence, Risques, Accès, Contrôle, Éducation), mon cadre de gouvernance IA conçu pour les PME romandes. Tu retrouveras le plan d'action complet en fin d'article.
Avant de plonger dans les détails, laisse-moi te présenter Sophie. Sophie dirige une fiduciaire de 30 personnes à Lausanne. Son équipe utilise un assistant IA pour résumer des e-mails clients, préparer des brouillons de courriers et extraire des chiffres de documents PDF. Sophie ne se considère pas comme "tech". Elle considère l'IA comme un gain de temps. Et elle a raison. Sauf que Sophie n'a jamais posé une seule question sur la sécurité de ces outils. Tu vas la retrouver tout au long de cet article.
1. Injection de prompts : quand ton IA obéit à quelqu'un d'autre
T.R.A.C.E. → A (Accès)
Pourquoi ça te concerne d'abord : si ton équipe utilise un assistant IA connecté à ses e-mails, ses fichiers ou son CRM, chaque document externe qui entre dans l'entreprise peut potentiellement donner des ordres à ton IA. Sans que personne ne s'en aperçoive.
L'injection de prompts, c'est exactement ça. Quelqu'un glisse une instruction cachée dans un contenu que ton IA va lire (un e-mail, une page web, un fichier), et l'IA l'exécute comme si c'était ta propre consigne.
Le risque numéro un selon l'OWASP
L'OWASP, l'organisme mondial de référence pour les risques applicatifs, classe cette attaque en tête de son Top 10 IA 2025. La grande majorité des systèmes en production sont vulnérables, et moins d'un tiers des organisations ont mis en place des défenses dédiées. Même avec des protections avancées, les taux de succès des attaquants restent élevés : entre 50 et 84% selon les configurations.
Le cas réel : EchoLeak. Un simple e-mail, envoyé à une boîte connectée à Microsoft 365 Copilot, a suffi pour exfiltrer des données. Pas besoin de cliquer. L'e-mail est lu par l'assistant, l'instruction cachée s'exécute, les données sortent. Chez Sophie, ça aurait pu être les bilans de ses clients.
En pratique. Applique le principe du moindre accès à ton IA. Limite ses permissions au strict nécessaire. Et pose cette question à ton prestataire IT dès lundi : "Quelles données notre assistant IA peut-il consulter, et qui a décidé de cette liste ?"
2. Jailbreaking : quand ton IA oublie ses limites
T.R.A.C.E. → C (Contrôle)
Les IA ont des garde-fous : des règles qui les empêchent de produire du contenu dangereux ou de révéler des informations sensibles. Le jailbreaking, c'est l'art de contourner ces garde-fous.
Plus simple qu'on ne le pense
Un jeu de rôle bien formulé, un texte encodé d'une certaine manière, une conversation en plusieurs étapes : les techniques sont variées et les benchmarks de sécurité montrent des taux de réussite supérieurs à 80% pour certaines classes d'attaques. Le problème de fond : plus tu verrouilles l'IA, moins elle est utile. Les mesures défensives actuelles créent un compromis douloureux entre sécurité et utilisabilité.
Le cas réel : l'IA qui hacke toute seule. Lors de tests de sécurité en 2025, un agent IA a réussi à exploiter un formulaire web mal sécurisé pour exfiltrer une base de données, sans aucune intervention humaine après le lancement. On ne parle plus d'un humain qui bricole des prompts. On parle d'une IA qui attaque d'autres systèmes de manière autonome.
Pourquoi ça te concerne : si tu déploies un chatbot client ou un assistant interne, un utilisateur malin peut potentiellement lui faire révéler tes tarifs internes, tes processus ou tes conditions particulières. Pour la fiduciaire de Sophie, imagine un chatbot de support qui divulgue des informations sur les dossiers d'autres clients.
En pratique. Sépare clairement les capacités à haut risque derrière des mécanismes de validation humaine. Ton IA propose un e-mail, un humain l'envoie. Ton IA suggère un rabais, un humain le valide. Jamais d'action automatique sur des données sensibles.
3. Empoisonnement des données : le poison dans la source
T.R.A.C.E. → R (Risques)
Pourquoi ça te concerne d'abord : si tu fais personnaliser un modèle IA avec tes propres données (un chatbot formé sur ta documentation interne, par exemple), la qualité et la sécurité de ces données déterminent directement la fiabilité de ton IA.
Pense à une fontaine publique. Tout le monde boit la même eau. Si quelqu'un empoisonne la source, tout le monde est touché, et personne ne s'en rend compte avant les premiers symptômes.
Comment ça fonctionne
Un acteur malveillant introduit des données corrompues dans les phases d'apprentissage d'un modèle IA, que ce soit lors du pré-entraînement, du fine-tuning (l'adaptation du modèle à un usage spécifique), ou de la construction des bases de connaissances. L'objectif : dégrader les performances, introduire des biais, ou implanter des portes dérobées (des accès cachés exploitables plus tard).
Les résultats d'un empoisonnement ciblé sont spectaculaires. Sur un modèle de taille équivalente à ceux utilisés en entreprise, le taux d'échec face aux attaques passe de 9% à 69% après un fine-tuning avec des données piégées. Le modèle continue de bien fonctionner en apparence. Mais sa résistance aux attaques s'est effondrée.
Le cas réel : PoisonGPT. Un modèle modifié, publié sur Hugging Face (la plus grande plateforme de partage de modèles IA), a propagé de la désinformation tout en affichant de bons scores sur les tests de qualité. Il avait l'air fiable. Il ne l'était plus. Si Sophie avait utilisé ce modèle pour son chatbot interne, ses collaborateurs auraient reçu des informations fausses sans le savoir.
En pratique. Exige de ton prestataire IA une traçabilité complète des données utilisées pour entraîner ou personnaliser ton modèle. D'où viennent-elles ? Qui les a vérifiées ? Comment sont-elles mises à jour ? Si ton prestataire ne sait pas répondre, c'est un signal d'alarme.
4. Extraction de données : ton IA crache tes secrets
T.R.A.C.E. → R (Risques) + T (Transparence)
Les modèles de langage ont une fâcheuse tendance : ils mémorisent des morceaux de leurs données d'entraînement. Et avec les bonnes techniques, un attaquant peut les faire régurgiter.
Deux familles d'attaques existent. L'inversion de modèle (reconstruire des informations sensibles à partir des réponses de l'IA). Et l'inférence d'appartenance (déterminer si une donnée spécifique a été utilisée pendant l'entraînement, ce qui peut révéler des informations confidentielles sur tes clients ou tes processus).
Des travaux de Google présentés en 2025 ont confirmé la faisabilité de ces attaques sur des modèles de grande taille. Le plus préoccupant : la simple mise en conformité du modèle ne suffit pas. Des adversaires peuvent défaire ces protections, puis forcer le modèle à recracher ses données.
Le cas réel : le risque LPD/RGPD. Pour Sophie, le scénario est limpide. Si le modèle utilisé par sa fiduciaire a été entraîné avec des données clients et qu'un attaquant extrait ces données, c'est une violation de la LPD (la loi suisse sur la protection des données) et potentiellement du RGPD pour ses clients européens. Avec des amendes à la clé et une perte de confiance irréparable.
Pourquoi ça te concerne : en Suisse, avec la LPD révisée entrée en vigueur en septembre 2023, la responsabilité du traitement des données repose sur toi, pas sur ton fournisseur IA.
En pratique. Pose la question frontalement : "Mes données d'entreprise sont-elles utilisées pour entraîner le modèle ?" Et va plus loin : demande si tes données sont en mode "single-tenant" (isolées, dédiées à toi) ou "multi-tenant" (mélangées avec celles d'autres clients). En Suisse romande, les solutions hébergées localement (infrastructure Infomaniak, par exemple) offrent un contrôle supplémentaire sur la souveraineté des données.
5. Supply chain IA : tu fais confiance au mauvais fournisseur
T.R.A.C.E. → T (Transparence)
Tu ne construis pas ta propre IA. Tu utilises des modèles, des bibliothèques, des services développés par d'autres. C'est normal. Mais chaque maillon de cette chaîne est un point de vulnérabilité.
L'ampleur du problème
Des chercheurs ont identifié plus de 3 300 modèles capables d'exécuter des opérations malveillantes sur Hugging Face, la principale plateforme de modèles open source. Plusieurs analyses récentes montrent que la majorité des dépôts IA open source audités présentaient au moins une vulnérabilité critique dans leur chaîne d'intégration. Et le nombre de modèles piégés a été multiplié par cinq en un an.
L'attaque du faux fournisseur
Une technique particulièrement vicieuse s'appelle le "namespace reuse" (la réutilisation de nom). Un attaquant réenregistre une organisation supprimée sur une plateforme de modèles, republie un modèle sous le même nom, et tous les systèmes qui tiraient automatiquement des mises à jour se retrouvent infectés. C'est comme si quelqu'un rachetait le nom de ton fournisseur après sa faillite et t'envoyait des colis piégés sous sa marque.
Le cas réel : le prestataire de Sophie. Sophie ne télécharge pas de modèles elle-même. Mais son prestataire informatique utilise des composants open source pour faire tourner ses outils IA. Si l'un de ces composants est piégé, les données de Sophie et de ses clients sont exposées, sans qu'elle n'ait rien fait de mal.
En pratique. Demande à ton prestataire : "Quels modèles et bibliothèques utilisez-vous ? Comment les vérifiez-vous avant déploiement ?" C'est l'équivalent de demander la liste des ingrédients avant de manger un plat. Basique, mais vital.
6. Hallucinations armées : quand l'IA ment avec aplomb
T.R.A.C.E. → C (Contrôle) + E (Éducation)
Pourquoi ça te concerne d'abord : si tes équipes utilisent l'IA pour rédiger des communications clients, vérifier des informations ou préparer des documents, chaque hallucination non détectée est un risque pour ta crédibilité, ta conformité ou ta responsabilité.
Tu connais les hallucinations de l'IA : ces moments où elle invente des faits avec une assurance déconcertante. C'est agaçant quand elle cite un livre qui n'existe pas. C'est dangereux quand elle crée des opportunités d'attaque.
Les URLs fantômes
Une étude de Netcraft (un acteur reconnu de la sécurité web) a révélé qu'un tiers des URLs de connexion fournies par un modèle de langage pour 50 grandes marques ne menaient pas au bon site. Des domaines non enregistrés, des pages tierces, des sites parkés. Chaque URL fausse est un cadeau pour un attaquant : il suffit d'enregistrer le domaine inventé par l'IA et d'y installer une fausse page de connexion.
Quand l'IA est utilisée directement par les attaquants pour générer des e-mails de phishing (des e-mails de hameçonnage qui imitent des expéditeurs légitimes), les taux de clic dépassent 30%, avec un niveau de personnalisation bien supérieur aux campagnes humaines.
Le cas réel : faux cas juridiques. Des avocats ont soumis à un tribunal des jurisprudences entièrement inventées par une IA. Numéro de dossier, date, juridiction, résumé : tout avait l'air authentique. Tout était faux. Les avocats ont fait l'objet de sanctions disciplinaires et ont perdu toute crédibilité auprès du tribunal. Pour Sophie, imagine qu'un collaborateur utilise l'IA pour vérifier une disposition fiscale et que la réponse est une invention.
En pratique. Instaure la règle du "jamais seule" : aucune sortie IA n'est publiée, envoyée ou utilisée pour une décision sans relecture humaine. Pour les usages critiques (juridique, fiscal, médical), couple ton IA avec des bases de connaissances vérifiées, une technique appelée RAG (Retrieval-Augmented Generation : l'IA va chercher dans des sources fiables avant de répondre, au lieu d'inventer).
7. Attaques multimodales : l'image qui pirate ton assistant
T.R.A.C.E. → A (Accès)
Ce dernier type d'attaque est le plus récent et le plus contre-intuitif. Les modèles IA modernes ne traitent plus seulement du texte. Ils analysent des images, de l'audio, de la vidéo. Chaque modalité supplémentaire est une porte d'entrée supplémentaire.
Le poison invisible
Le framework AnyAttack, présenté à la conférence CVPR 2025 (la référence mondiale en vision par ordinateur), a démontré qu'il est possible de générer à grande échelle des images qui semblent parfaitement normales à l'oeil humain mais qui reprogramment le comportement de l'IA. Le principe : deux ingrédients inoffensifs qui deviennent toxiques une fois mélangés. Une image anodine, combinée à un texte neutre, déclenche un comportement dangereux que ni l'un ni l'autre ne provoquerait seul.
Ces images sont transférables : une attaque conçue pour un modèle fonctionne sur d'autres, y compris des assistants commerciaux comme Gemini, Claude, Copilot ou ChatGPT.
Pourquoi ça te concerne
Concrètement : un client envoie à ton équipe une "simple photo de facture" pour vérification. Mais l'image contient un signal caché qui désactive les garde-fous de ton assistant IA. Ton collaborateur ne voit rien d'anormal. L'IA, elle, a changé de comportement.
Le cas réel : jailbreak par l'image. Des chercheurs ont montré que des images et vidéos peuvent servir de vecteurs de contournement génériques, désactivant les protections textuelles en injectant des signaux invisibles dans la composante visuelle. La surface d'attaque des outils multimodaux est systémique.
En pratique. Pour les traitements d'images sensibles (documents financiers, pièces d'identité, contrats), utilise des flux dédiés et validés plutôt que de tout envoyer dans un assistant généraliste. Et surveille les comportements anormaux après traitement de documents externes.
Diagnostic express : es-tu exposé ?
Avant de passer au plan d'action, fais ce test rapide. Si tu coches 3 cases ou plus, tu as un angle mort sérieux.
- 🔴 Ton assistant IA a accès à tous les e-mails ou fichiers de l'entreprise sans restriction
- Tu ne sais pas quels modèles ou bibliothèques open source ton prestataire utilise
- 🔴 Tes équipes utilisent des IA grand public (ChatGPT, Gemini) pour traiter des contrats, des données clients ou des informations RH
- Tu n'as aucune règle interne définissant ce qu'on peut ou ne peut pas soumettre à une IA
- 🔴 Les sorties de ton IA (e-mails, rapports, réponses clients) sont parfois envoyées sans relecture
- Tu n'as jamais demandé à ton fournisseur IA où tes données sont hébergées
- Personne dans ton équipe n'a reçu de formation sur les limites et risques de l'IA
Les items marqués 🔴 représentent les risques les plus critiques : accès non restreint, données sensibles dans des outils grand public, et absence de relecture humaine.
Sophie coche 5 cases. Et toi ?
Tableau récapitulatif
| Attaque | Probabilité PME | Impact | Exemple concret | Action #1 | T.R.A.C.E. |
|---|---|---|---|---|---|
| Injection de prompts | Élevée | Fuite de données, actions non autorisées | E-mail fournisseur piégé | Limiter les permissions de l'IA | A |
| Jailbreaking | Moyenne | Contournement des règles, fuite d'infos | Chatbot client manipulé | Validation humaine sur actions sensibles | C |
| Empoisonnement | Faible (si pas de fine-tuning) | Dégradation silencieuse | Modèle Hugging Face corrompu | Exiger la traçabilité des données | R |
| Extraction de données | Moyenne | Violation LPD/RGPD | Données clients reconstituées | Vérifier la politique données fournisseur | R · T |
| Supply chain IA | Moyenne | Backdoor, code malveillant | Composant open source piégé | Auditer les composants IA | T |
| Hallucinations armées | Élevée | Désinformation, phishing, erreurs | IA invente URL de login | Relecture humaine systématique | C · E |
| Attaques multimodales | Faible (en croissance) | Jailbreak via images | Photo de facture piégée | Flux dédiés pour documents sensibles | A |
Plan d'action T.R.A.C.E. : 5 choses à faire lundi matin
Pas besoin d'un budget cybersécurité à six chiffres. Ces cinq actions sont gratuites et immédiatement applicables.
T : Transparence, fais l'inventaire
Dresse la liste de tous les outils IA utilisés dans ton entreprise. Pas seulement ceux que tu as achetés : ceux que tes équipes utilisent de leur propre initiative aussi. ChatGPT sur un téléphone personnel, un plugin IA dans le navigateur, un assistant intégré à un logiciel métier.
Tu ne peux pas protéger ce que tu ne connais pas.
Livrable concret : un tableur simple avec 4 colonnes : Outil / Qui l'utilise / Quelles données il touche / Hébergement (Suisse, EU, US, inconnu).
R : Risques, identifie tes données sensibles
Pour chaque outil identifié, classe les données en trois niveaux. Vert : données publiques, pas de risque. Orange : données internes, risque modéré. Rouge : données clients, RH, financières, contrats, risque élevé.
Les données rouges ne devraient jamais transiter par un outil IA dont tu ne maîtrises pas l'hébergement et les conditions d'utilisation. En Suisse romande, la LPD révisée (en vigueur depuis septembre 2023) te rend directement responsable.
Livrable concret : une matrice données/outils à 3 couleurs, partagée avec ton équipe.
A : Accès, applique le moindre privilège
Réduis les permissions de chaque outil IA au strict minimum. Commence par les profils les plus puissants : direction, RH, finances. Ton assistant de rédaction n'a pas besoin d'accéder à ta base clients. Ton outil d'analyse n'a pas besoin de lire tes e-mails.
Chaque permission inutile est une surface d'attaque.
Livrable concret : une revue des accès IA avec ton prestataire IT, une fois par trimestre.
C : Contrôle, instaure la validation humaine
Pour toute action à impact (envoi d'e-mail, modification de données, communication client, décision financière), un humain valide. Toujours. L'IA propose, l'humain dispose. C'est la règle non négociable.
Livrable concret : une politique interne d'une page : "Ce que l'IA peut faire seule / ce qui nécessite une validation humaine."
E : Éducation, forme tes équipes
Tes collaborateurs doivent savoir reconnaître une hallucination, vérifier une source, et comprendre que l'IA n'est pas infaillible. Une session de 30 minutes suffit pour poser les bases. L'objectif n'est pas de les rendre paranoïaques, mais de leur donner les bons réflexes.
Livrable concret : une session d'équipe de 30 minutes avec 3 exercices pratiques (identifier une hallucination, vérifier une source, repérer un e-mail de phishing généré par IA).
"L'IA ne laisse pas de traces de risques, mais une empreinte durable." Le framework T.R.A.C.E. t'aide à transformer cette empreinte en un avantage plutôt qu'en une faille.
5 questions à envoyer à ton prestataire IT dès lundi
Copie-colle cet e-mail. Sérieusement.
Objet suggéré : Questions sur la sécurité de nos outils IA
- Quels outils et modèles IA sont utilisés dans les services que vous nous fournissez ?
- Nos données d'entreprise sont-elles utilisées pour entraîner ou améliorer un modèle ? Si oui, lequel et avec quelles protections ?
- Où sont hébergées nos données quand elles transitent par vos outils IA (pays, fournisseur cloud) ?
- Comment vérifiez-vous la sécurité des modèles et bibliothèques open source que vous utilisez ?
- Avez-vous un plan de réponse en cas d'incident de sécurité lié à l'IA ?
Si ton prestataire ne sait pas répondre à ces questions, ce n'est pas grave. Mais c'est important que tu les poses. Ça ouvre le dialogue et ça met le sujet sur la table.
Conclusion
Trois points à retenir.
Premièrement, les attaques ciblant les systèmes IA ne sont plus théoriques. Elles sont documentées, en croissance rapide, et concernent les outils que tes équipes utilisent au quotidien.
Deuxièmement, tu n'as pas besoin d'être expert en cybersécurité pour agir. Les cinq actions du plan T.R.A.C.E. sont accessibles à tout manager, sans budget ni compétence technique particulière. Les livrables concrets (inventaire, matrice, politique, formation) tiennent sur une demi-journée de travail.
Troisièmement, il n'existe pas de solution miracle. Tous les cadres de référence convergent sur un même constat : la résilience dépend d'une combinaison de choix d'architecture, de contrôles humains et de maturité organisationnelle. Pas d'un seul outil magique.
La bonne nouvelle ? En tant que manager, tu es exactement la bonne personne pour piloter ça. Tu n'as pas besoin de comprendre chaque technique d'attaque dans le détail. Tu as besoin de poser les bonnes questions, d'instaurer les bons réflexes, et de traiter l'IA comme ce qu'elle est : un outil puissant qui mérite le même niveau de supervision que n'importe quel autre processus critique.
Sophie a commencé par le T de T.R.A.C.E. Son inventaire lui a pris 45 minutes. Elle a découvert que 4 outils IA différents avaient accès à des données clients sans qu'elle le sache. Elle a désactivé l'accès aux boîtes mail partagées pour son assistant IA. Et elle a envoyé ses 5 questions à son prestataire le jour même. Tu commences quand ?
Tu veux aller plus loin ? Découvre le framework T.R.A.C.E. complet, des modèles de politiques IA prêts à l'emploi et des cas concrets de PME romandes dans les formations UnlockAI. Tu trouveras aussi d'autres guides pratiques sur la gouvernance IA dans le blog UnlockAI.
