Light vs Shadow usage dans l'IA : le nouveau challenge des DSI et des CISO leur rappelle l’usage des smartphones il y a quelques années. Et pendant que les usages officiels de l’IA et ceux officiellement interdit s'affrontent, c'est “Gandalf le Gris” qui fait avancer la quête de l’adoption. Et souvenons-nous : il finit par devenir le Blanc.

Définition et (re-)émergence du Grey IT avec l’IA générative

Avez-vous fait évoluer votre définition du « grey IT » face à l'adoption mainstream de l'IA générative par la majorité des collaborateurs ?

Ni vraiment du shadow IT, pas toujours formellement interdit mais jamais clairement autorisé : la zone grise est pourtant celle que l'usage quotidien de l'IA fait grandir bien plus vite que les règles censées l'encadrer.

Les grandes organisations ont de bonnes raisons de verrouiller l'accès aux modèles : sécurité, confidentialité, conformité. On privilégie des modèles « offline », figés dans leur base de connaissance, sans accès direct à Internet. L'intégration au flux de travail est réduite, souvent limitée aux organisations utilisant Copilot — les autres assistants restant à la porte.

Le problème ? Le rythme de mise à jour de l'IA rend ce décalage de plus en plus difficile à accepter pour les utilisateurs… mais aussi pour les organisations, plus que jamais à la recherche de valeur mesurable « at scale » sur l'IA.

Les utilisateurs ont donc trouvé eux-mêmes une solution : ce que j'appelle l'« IA grey zone ». On évoque un sujet « de façon fictive », sur son outil perso, pour obtenir un conseil sur une situation… qui est en réalité bien concrète. On en envoie le résultat sur sa messagerie professionnelle. J'appelais déjà à « clarifier ces zones grises » dans un article récent ; quelques mois plus tard, elle est devenue « mainstream ».

Limites et ecosystèmes de l’IA


Deux angles morts principaux avec cette approche :
1. Notre outil de genAI préféré nous connaît. Il fait le lien immédiatement.
2. La fuite est réelle : préparer sa position sur un appel d'offres… et voir l'IA vous restituer les éléments de langage de vos concurrents. Du vécu.

Plus préoccupant encore : ce que l'organisation s'interdit, ses prestataires le font sans état d'âme, afin de survivre. On passe donc par un fournisseur pour du « vibe coding » ou pour accéder à des licences IA : la responsabilité est transférée, mais le risque, lui, reste entier.

À l'heure où le dossier « Mythos » (la dernière classe de modèles d'Anthropic, dont les capacités en cybersécurité font trembler les grands dirigeants de la planète) est sur le bureau de la plupart des grands groupes, l'attentisme habituel face à l'innovation et la peur d'être « first mover » ne tiendront plus très longtemps.

Il y a 20 ans, dans la banque en ligne, un simple email de phishing nous incitait à bloquer l'espace client « par précaution »… parfois une journée entière. Ça n'a pas tenu longtemps. Les contrôles qui ignorent la réalité d'usage ne survivent jamais à cette réalité : il est urgent de cadrer la zone grise plutôt que de pousser au contournement, car il est devenu mainstream.

Alors, votre définition du grey IT a-t-elle bougé ? Qu'allez-vous ajuster ?