Shadow IA : comment les PME belges sacrifient leur sécurité et souveraineté sur l'autel de la productivité
Une étude SAS/IDC dresse un constat inquiétant de la maturité des PME face à l'intelligence artificielle. Alors que 70% des entreprises l’expérimentent encore à des stades précoces de leurs processus opérationnels, une menace plus importante émerge en coulisses. Celle d'une perte progressive de contrôle de leurs données, de leurs processus décisionnels et de leur capacité à opérer en toute indépendance numérique. Ce paradoxe révèle au grand jour les enjeux de sécurité et de souveraineté des données qui se dessinent dans les entreprises belges.
L’IA crée une surface d’attaque inédite pour les cybercriminels
Une étude mondiale menée par IDC (« AI for SMBs: Closing the Readiness-Reality Gap ») pour le compte du géant informatique SAS analyse la maturité de 1.600 petites et moyennes entreprises face aux outils d'intelligence artificielle. Son constat : 70% des PME restent bloquées dans les deux premiers stades de maturité (expérimental et opportuniste). A peine 9% d’entre-elles ont atteint un niveau d'intégration mature où l'IA est intégrée dans la stratégie et les processus opérationnels.
Mais cette étude révèle surtout que 37% des PME expérimentent l'IA de façon isolée, sans gouvernance ni aucune vue structurée de leur exploitation. Pire encore, 45% d’entre-elles disposent de données dispersées sans propriété clairement définie. Cette immaturité crée ainsi un environnement où la cybersécurité semble inexistante.
Le paradoxe est déstabilisant : l'absence même de gouvernance qui caractérise ces déploiements hâtifs d'IA crée une surface d'attaque sans précédent pour les cybercriminels, tandis que la dépendance croissante aux géants technologiques non-européens consacre une forme de vassalité numérique pour les entreprises européennes. Pour les responsables de la cybersécurité belges, ce n'est plus une question de conformité, c'est un véritable enjeu de survie opérationnelle.
L'illusion du contrôle : le danger que vous ne voyez pas !
Interrogez les patrons de PME belges sur leur adoption de l'IA, et la plupart vous diront qu'elle est en marche. C'est d’ailleurs ce que confirme l'étude SAS : les outils d'intelligence artificielle prolifèrent dans les applications métier, les expérimentations fleurissent, les expériences pilots se multiplient. L'IA figure désormais en haut de l'agenda stratégique de la majorité des leaders.
Mais en creusant un peu, on découvre une réalité moins rassurante. Les chiffres mondiaux parlent d'eux-mêmes et concernent les entreprises en Belgique : 37% des PME expérimentent l'IA de manière isolée, sans gouvernance transverse. Et seules 9% des entreprises ont véritablement intégré l'IA dans leur stratégie opérationnelle et leurs processus décisionnels
Autrement dit, les organisations sont présentes sur le front de l'IA, mais ne contrôlent ni vraiment la profondeur de leur engagement, ni les implications de leurs choix.
Shadow IA : le suicide des entreprises
Pour les responsables de la cybersécurité des PME belges, cette immaturité d'exécution crée un cauchemar opérationnel. Car devant l'absence de directives claires et de gouvernance structurée, les équipes de travailleurs adoptent des solutions d'IA grand public (ChatGPT, des outils de GenAI non approuvés, plugins non validés) pour accélérer leur processus de travail.
Le phénomène, baptisé « Shadow AI », crée un flux de données non contrôlé vers des infrastructures externes.
Concrètement, cela signifie que vos données stratégiques, codes source, spécifications produit, données clients, informations financières, peuvent finir sur les serveurs de fournisseurs externes sans même que vous le sachiez. Non seulement c'est une violation directe du RGPD, mais c'est aussi l'effondrement de votre périmètre de sécurité.
L'étude SAS confirme cette fragilité : la quasi moitié (44.8%) des PME n'ont pas de vue structurée de leurs cas d'usage IA. Les activités restent isolées, dispersées, sans propriété claire. Comment, dans cet environnement, maintenir une gouvernance des données ? Comment contrôler quoi que ce soit ?
La chaîne d'approvisionnement logicielle : le maillon faible !
Lorsqu'une PME belge intègre un modèle d'IA tiers (souvent américain, hébergé dans le cloud public), elle crée une dépendance technologique en cascade. Ce n'est pas juste un outil : c'est un point d'ancrage qui relie ses systèmes d'information critiques à des tiers dont elle n'a qu'une compréhension partielle. Cette interconnexion ouvre ainsi de nouveaux vecteurs d'attaque :
-Injections de requêtes (prompt injections) : un attaquant peut manipuler l'IA pour contourner ses garde-fous et extraire des données sensibles
-Empoisonnement des données d'entraînement : un accès au pipeline de données peut corrompre les modèles, créant des biais ou des défaillances inattendues
-Exploitation de vulnérabilités spécifiques à l'IA : les modèles comportent souvent des failles non documentées que seul le créateur connaît
Pour une PME qui n'a pas les ressources pour auditer ces systèmes en profondeur, le risque est existentiel. Vous hébergez un allié technologique qui pourrait devenir une arme contre vous.
Absence totale de traçabilité et de contrôle
L'étude révèle une autre lacune vertigineuse : la moitié des PME ne mesurent pas l'impact de leurs initiatives IA. Seuls 11% utilisent systématiquement les données d'impact pour orienter les investissements futurs.
Pour la cybersécurité, cela signifie l'absence totale de traçabilité. Si un incident se produit, comme par exemple une fuite de données, une manipulation d'algorithme, une corruption de modèle, comment la détecter ou comment prouver la conformité ?
Autrement dit, sans mesure, pas de visibilité. Sans visibilité, pas de contrôle de sécurité possible.
La rançon de la dépendance : verrouillage technologique et perte de souveraineté
Mais derrière le risque de cybersécurité se profile une menace encore plus insidieuse : la perte progressive de souveraineté technologique et le piège du « vendor lock-in ».
Les PME belges manquent cruellement de ressources pour développer leurs propres infrastructures d'IA ou pour héberger des modèles de pointe en interne. Par conséquent, elles externalisent massivement vers les plateformes des géants américains OpenAI, Google Cloud, Microsoft Azure et autres AWS.
Cette externalisation crée ainsi un verrouillage propriétaire (vendor lock-in) qui, une fois engagé, est quasi impossible à défaire. Vos données, vos modèles, vos workflows vivent dans l'écosystème du fournisseur. Envisager une migration devient extrêmement coûteux, techniquement complexe et risqué. Ce qui conduit souvent les PME à accepter les conditions que le fournisseur lui impose.
Souveraineté des données à l’épreuve du Cloud Act
Pire encore : en hébergeant ses données stratégiques chez un fournisseur américain, une PME belge accepte qu’elles tombent potentiellement sous la juridiction du Cloud Act américain. En théorie, le gouvernement américain peut exiger l'accès à ces données sans mandat, sans que l'entreprise soit informée.
Pour une PME travaillant avec des données sensibles (données clients, R&D, stratégie commerciale), c'est un transfert volontaire de contrôle vers une juridiction étrangère. Même si le risque réel d'une saisie gouvernementale demeure faible, il reste bien réel.
Le fossé des compétences : qui contrôle vraiment votre IA ?
L'étude SAS permet en outre de mettre en lumière une asymétrie des compétences au sein des PME, étant donné qu’un petit pourcentage de PME seulement dispose d'une capacité interne solide pour auditer les algorithmes qu'elles utilisent, comprendre les biais cachés dans leurs modèles, valider la qualité et la provenance des données d'entraînement ou encore d’interpréter les résultats produits par l'IA.
En effet, l’étude SAS/IDC relève que 45.6% des PME n'ont aucun expert interne ou externe dédié à l'IA. Pour ces organisations, utiliser une IA c'est accepter de travailler avec une boîte noire. Les utilisateurs peuvent voir l'entrée (les données) et la sortie (les recommandations ou les décisions), mais pas les processus internes qui se jouent au sein des algorithmes des outils IA.
Autrement dit, les PME ne sont pas en mesure de contrôler totalement leurs propres processus décisionnels. Etant donné qu’elles délèguent à une entité tierce (le fournisseur de l'IA) le pouvoir de décider de ce qui se passe à l'intérieur de entreprise.
La tempête approche
Pour les responsables de la cybersécurité, le déploiement actuel de l'IA au sein des PME crée une accumulation de risques en cascade. Et préfigure trois chocs à venir:
- Le choc de la conformité réglementaire: l'Union européenne prépare une vague réglementaire sur l'IA avec l'AI Act. Les PME qui ont déployé des systèmes sans gouvernance, sans audit, sans documentation, découvriront trop tard que leur approche est hors-normes. Dans l’immédiat, le RGPD s'applique déjà. Envoyer des données à une IA non approuvée, c'est violer la règlementation. Une seule plainte d'un client, et c'est une amende pouvant représenter 4% du chiffre d'affaires global de l’entreprise.
- Le choc de la résilience opérationnelle: si l’IA de l’entreprise est hébergée chez un fournisseur unique, et que ce fournisseur subit un incident de sécurité (une exfiltration de données massif), elle est directement affectée. Ses opérations peuvent s'arrêter. Sa conformité s'écrouler.
-Le choc stratégique: dépendance technologique asymétrique crée une vulnérabilité stratégique. Si les PME en Europe, et en particulier en Belgique, cèdent le contrôle de leurs technologies d'IA aux États-Unis, nous créons une situation où nos décisions futures seront prises en fonction des intérêts technologiques et géopolitiques des États-Unis, pas des nôtres. C'est une forme de colonialisme numérique : les territoires développent une dépendance technologique envers les puissances dominantes, perdant progressivement leur autonomie décisionnelle.
Une roadmap pour les RSSI belges
Cette analyse de l’étude SAS/IDC orientée cybersécurité, offre aux responsables de la cybersécurité belges une direction à prendre pour ne pas tomber dans les pièges tendus par les IA non souveraines.
Les RSSI comprendront tout l’enjeu stratégique qui consiste à reprendre le contrôle des outils technologiques et définir leur stratégie IA en exigeant une gouvernance explicite avant tout déploiement : contrôle de la chaîne d'approvisionnement logicielle de chaque outil d'IA envisagé, préférer les données hébergées en Europe (idéalement en Belgique ou dans une juridiction européenne), construire une gouvernance de données structurée, inventorier les données avec catalogue de données centralisé et accessible, imposer des contrôles d'accès stricts pour chaque flux vers une IA externe et tracer chaque utilisation.
Promouvoir des alternatives souveraines.
Il existe heureusement de nombreuses solutions alternatives européennes aux technologies étrangères : modèles d'IA ouverts, infrastructures souveraines, outils locaux.
Le « Shadow AI » doit être traité comme une menace active. Il convient donc de mettre en place des stratégies de détections des outils d'IA non approuvés (monitoring des connexions sortantes, audit des agents utilisateur), des procédures pour les isoler, et offrir des formations continues des équipes sur les risques de l'IA non gouvernée.
Les PME belges ont encore une fenêtre pour reprendre le contrôle. Mais elle se ferme vite. Plus vous attendez, plus les dépendances s'accumulent, plus il devient coûteux et risqué de changer de direction.
L'étude SAS montre que seules les organisations qui bâtissent des fondations solides en matière de gouvernance, de données et de stratégie, dès maintenant, parviendront à tirer parti de l'IA de manière sûre et profitable.
Conclusion : pour les RSSI, le message est clair : l'absence de gouvernance n'est pas une option provisoire qui sera corrigée plus tard. C'est un risque de sécurité actif, une violation réglementaire potentielle, et une perte de souveraineté qu'il sera extrêmement difficile de récupérer.
Sources : Étude SAS/IDC « AI for SMBs: Closing the Readiness-Reality Gap », Mai 2026 (1.600 PME interrogées dans 28 pays, dont 640 en Europe) https://www.sas.com/content/dam/sasdam/documents/20260302/ai-for-smbs-closing-the-readiness-reality-gap-full-report.pdf