Shadow data & IA : renforcer le contrôle et offrir un accès sécurisé à vos données via une data product marketplace

La technologie est au cœur du quotidien, personnel et professionnel, de tous. Grâce à des innovations comme le Cloud, l’accès aux logiciels s’est démocratisé, devenant moins cher et plus flexible. Parallèlement, les données peuvent être facilement stockées localement sur des ordinateurs portables, et les agents conversationnels d’IA générative publics sont accessibles très facilement. 

Ces évolutions favorisent l’essor du Shadow technology : des applications, des données et des outils IA utilisés par les employés sans l’approbation ni le contrôle de la direction informatique (DSI).

Si ces tendances peuvent apporter certains bénéfices individuels, le Shadow IT, le Shadow Data et le Shadow AI engendrent des défis majeurs en termes de conformité, de risques et de coûts. Comment les directeurs informatiques (CIO) et Chief Data Officer peuvent-ils s’attaquer aux causes de ce phénomène, et quel est le rôle d’une data product marketplace pour instaurer un meilleur contrôle et assurer la conformité ?

Au sein des organisations, les collaborateurs utilisent la technologie pour accomplir leurs missions et attendent que ces outils répondent à leurs besoins spécifiques. Souvent, ils estiment que les solutions informatiques existantes ne sont tout simplement pas adaptées, ou sont trop complexes à utiliser. Les données sont difficiles à trouver ou à comprendre. Les capacités IA sont inefficaces par rapport à ce qui est disponible sur Internet. Tout cela génère une frustration vis-à-vis de l’infrastructure et des processus informatiques de l’entreprise.

Étant donné que de nombreuses applications Cloud sont désormais gratuites ou peu coûteuses, les employés ou les managers préfèrent les acheter ou s’y abonner personnellement (via une carte de crédit d’entreprise) plutôt que de passer par l’informatique. De plus, la frontière entre les applications professionnelles et personnelles s’estompe : des conversations d’affaires ont lieu sur WhatsApp, des données sont stockées sur des Google Drive privés, etc.

Cette insatisfaction vis-à-vis des systèmes en place, couplée à la facilité d’accès à des outils alternatifs, provoque une explosion du Shadow Technology. Une enquête de Gartner en 2023 a révélé que 88 % des organisations ont constaté l’usage du Shadow IT, avec une moyenne de 1 200 applications non autorisées déployées par entreprise.

Le Shadow technology couvre désormais quatre domaines clés :

• Shadow IT : Il s’agit des applications, appareils ou systèmes utilisés sans l’approbation de la DSI. Par exemple, l’usage de Dropbox sans accord, l’inscription à des outils SaaS en ligne ou l’utilisation d’ordinateurs et de messageries personnels pour le travail. L’informatique n’a aucune visibilité sur ces outils, qui ne sont donc pas soumis aux politiques de sécurité et de conformité de l’entreprise.
• Shadow data : Ce sont les données qui existent au sein d’une organisation mais qui ne sont pas répertoriées, suivies ou régies par les systèmes officiels de data management. Il peut s’agir de données générées par le Shadow IT ou simplement de tableurs copiés depuis des systèmes partagés et stockés localement. Cela entraîne des risques de conformité et des incohérences lorsque des informations obsolètes sont utilisées par les employés ou l’IA.
• Shadow AI : À première vue, elle ressemble à une sous-catégorie du Shadow IT, avec l’usage d’outils d’IA générative publics (ChatGPT, Google Gemini). Une enquête de Gartner révèle que 69 % des organisations soupçonnent ou ont la preuve que leurs employés utilisent des outils d’IA publics interdits. Contrairement au Shadow IT traditionnel, la Shadow AI introduit de nouveaux risques d’exposition des données : des informations confidentielles ou de la propriété intellectuelle peuvent être partagées librement avec des modèles publics, potentiellement en violation du RGPD.
  • Shadow IT = utiliser des outils non approuvés
  • Shadow AI = utiliser des outils qui apprennent, traitent ou génèrent des données

• Dark data : Bien que ce terme soit moins connu, il représente un défi tout aussi important. Il s’agit des données qu’une organisation collecte et stocke, mais n’utilise ou n’analyse jamais (historiques de transactions, e-mails, fichiers journaux). Comme elles ne sont pas exploitées, elles n’apportent aucune valeur mais génèrent des coûts de stockage importants.

Souvent, les organisations font face à une combinaison de ces quatre problématiques :

• Shadow IT = outils inconnus
• Shadow data = données inconnues
• Dark data = données inutilisées
• Shadow AI = intelligence incontrôlée agissant sur les données

Un problème croissant est que le Shadow AI crée ou amplifie souvent les trois autres. Par exemple :

1. Un employé utilise des outils non approuvés (Shadow IT).
2. Les données issues de ces outils sont stockées hors des systèmes d’entreprise (Shadow data).
3. Ce contenu généré n’est ni suivi ni réutilisé (Dark data).
4. Les données sont injectées dans des chatbots d’IA générative publics (Shadow AI).

Les Shadow technology, incluant les données sombres, entraînent des risques et des coûts souvent mal compris par les utilisateurs.

• Risques de sécurité : des données sensibles peuvent être stockées hors des sauvegardes et des systèmes d’entreprise. En matière de Shadow AI, des informations propriétaires peuvent être saisies dans des chatbots et diffusées dans le domaine public, ce qui nuit fortement à l’avantage concurrentiel. Les données sur des appareils personnels sont également plus vulnérables au piratage et aux ransomwares.
• Problèmes de conformité : le stockage local ou l’usage de systèmes non autorisés peut aller à l’encontre des réglementations comme le RGPD. Les messages sur des comptes WhatsApp privés sont difficiles à archiver ou auditer. Avec le Shadow AI, il n’y a aucune piste d’audit sur la manière dont les décisions sont prises, ce qui contrevient aux attentes de gouvernance de l’IA et aux réglementations émergentes comme l’AI Act de l’UE.
• Coûts additionnels : ce qui semble gratuit pour l’employé coûte cher à l’entreprise. Beaucoup d’achats sont répercutés en notes de frais. Plusieurs personnes peuvent s’abonner au même service de manière isolée, et les systèmes existants restent sous-utilisés, réduisant le retour sur investissement (ROI). Les coûts de Cloud et de traitement peuvent exploser sans bénéfice réel pour l’organisation.
• Résultats incohérents et erronés : les données téléchargées sur des ordinateurs individuels deviennent rapidement obsolètes. Plusieurs « versions de la vérité » émergent alors, sans propriétaire clair de l’information. Sans vérification, la Shadow AI peut « halluciner » et fournir des résultats plausibles mais faux, entraînant de mauvaises décisions commerciales.
• Impact sur la valeur : les CDO s’efforcent de transformer les données en valeur. Les « Dark Data » invisibles freinent cet objectif. La Shadow data impacte également la valeur car elle n’est pas partagée ou devient indigne de confiance.

La gestion du Shadow IT nécessite un mélange de technologies, de contrôle, de politiques claires, de formation et d’écoute des besoins utilisateurs. Si les organisations offrent un accès fluide à des solutions utilisables et aux bonnes données au sein de leur infrastructure, la plupart des employés n’iront pas les chercher ailleurs.

• Détecter la technologie fantôme : pour identifier le Shadow IT et le Shadow AI, les entreprises peuvent utiliser la surveillance réseau et l’audit des notes de frais. Pour le Shadow data, les catalogues de données permettent d’inventorier les ressources, même locales. Concernant les Dark data, l’analyse du stockage et le lignage de données (data lineage) permettent de repérer les données inutilisées.
• Réduire la technologie fantôme : interdire sans proposer d’alternative est inefficace à long terme. Les équipes techniques doivent proposer des alternatives approuvées ou certifier les systèmes populaires s’ils respectent la sécurité. Créer des politiques de classification des données aide à réduire la Shadow data, tandis que les politiques de cycle de vie permettent d’archiver ou de supprimer les Dark data sans valeur.
• Former les employés : la plupart des employés ne voient pas le risque de leurs actions. La formation est donc cruciale pour montrer les enjeux de sécurité. L’ouverture aux suggestions de nouvelles applications doit compléter les audits réguliers.
• Instaurer des cadres de gouvernance : l’adoption de cadres spécifiques, comme le DAMA-DMBOK, permet de définir les processus et rôles adéquats autour de la donnée et de l’informatique, offrant une visibilité claire sur l’ensemble du patrimoine numérique.

Les organisations doivent répondre aux besoins de leurs collaborateurs, surtout concernant l’accès à des données de confiance. Les outils traditionnels, comme les catalogues de données, ne sont pas conçus pour des non-experts. Le risque est alors que les métiers n’utilisent pas la donnée ou la stocke localement.

Les data product marketplaces résolvent ce problème en connectant chaque collaborateur à des données fiables et compréhensibles. Il s’agit d’un espace centralisé, intuitif et en libre-service, offrant un accès audité à des data products certifiés.

La data product marketplace aide à combattre le Shadow IT grâce à :

• Une interface intuitive : basée sur l’expérience du e-commerce (notations, recherche par IA, recommandations).
• Un déploiement rapide : opérationnelle en quelques semaines pour garantir une adoption rapide. 
• Une source unique de vérité : évite le stockage local et les dark data.
• Une compréhension universelle : grâce aux métadonnées et aux descriptions claires pour les humains comme pour les IA.
• La scalabilité : capable de gérer de gros volumes de données avec une performance garantie.
• Un contrôle sécurisé : gestion granulaire des accès et flux d’approbation intégrés.
• Une collaboration accrue : réunit les propriétaires de données, l’IT et les utilisateurs dans un espace unique.
• Une gouvernance forte : offre un lignage complet et une piste d’audit pour la conformité.

L’usage généralisé de technologies fantômes entraîne un manque de contrôle sur le cycle de vie des données. En mettant en place les bonnes protections couplées à une Data Product Marketplace intuitive, les organisations sortent l’informatique et la donnée de l’ombre pour générer un impact commercial tangible.