Shadow AI
Adoption d'outils ou de comptes IA non validés par l'organisation — comptes personnels, prompts contenant du code propriétaire, extensions non auditées.
Définition
Le shadow AI désigne l'usage d'outils IA en dehors de tout cadre organisé : compte gratuit personnel utilisé sur du code d'entreprise, extension IDE installée sans validation, prompts qui envoient du code propriétaire ou des données sensibles vers un provider tiers sans contrôle sur la rétention. Le terme calque le "shadow IT" — la pratique existe, elle est juste invisible pour ceux qui devraient en avoir la visibilité.
Point de vue postcursors
Le shadow AI est un symptôme d'un manque d'offre interne légitime, plus qu'un problème de discipline individuelle. Quand aucun outil validé n'est disponible ou que le processus de validation est trop lent, les devs trouvent leur propre solution — parce que l'IA dans le code produit de la valeur immédiate et qu'ils ne vont pas attendre un feu vert. La réponse efficace est un cadre et des outils validés, pas une interdiction qui pousse juste l'usage plus loin sous le radar.
En pratique
Sans cadre équipe posé collectivement, chaque dev aurait testé son propre compte gratuit avec des modèles variables, sans traçabilité sur les données envoyées. Poser des critères ensemble (multi-IDE, multi-modèle, pas de boîte noire, facturation à l'usage) et fournir un accès unifié — d'abord via OVH AI Gateway, puis l'API Anthropic directe — a remplacé l'usage individuel non gouverné par un choix collectif traçable.
Confusions fréquentes
- ✗ Traiter le shadow AI comme un problème de discipline à sanctionner, plutôt que comme un signal qu'il manque une offre interne compétitive
- ✗ Interdire sans proposer d'alternative — ça ne supprime pas l'usage, ça le rend juste invisible et plus risqué