Agentic AI : le nouveau Shadow IT qui met les DSI au défi de gouverner l'invisible

Agentic AI : le nouveau Shadow IT qui met les DSI au défi de gouverner l'invisible

Les agents IA ne sont pas une simple extension des assistants conversationnels. Ils inaugurent une nouvelle couche opérationnelle, capable d'agir, d'orchestrer et d'accéder à des systèmes critiques.

Pendant longtemps, le Shadow IT a été considéré comme un irritant classique des DSI. Une application SaaS choisie sans validation. Un outil collaboratif adopté en marge du cadre officiel. Une prolifération discrète, mais connue, de solutions métiers déployées plus vite que les processus de gouvernance.

Avec l’agentic AI, nous changeons de catégorie.

Car un agent IA ne se contente pas d’assister un collaborateur. Il peut lire un contexte, appeler des outils, déclencher une action, enchaîner plusieurs étapes, interagir avec des données sensibles, produire une décision intermédiaire et, parfois, influencer directement un processus métier. En d’autres termes, il ne s’agit plus seulement d’un problème d’outillage non référencé. Il s’agit d’un système d’action qui peut se diffuser dans l’entreprise avant même que ses règles de supervision, de traçabilité et de responsabilité ne soient stabilisées.

C’est ce qui rend le moment actuel si stratégique. Les chiffres récemment relayés dans l’écosystème montrent que 82 % des CIO considèrent que les agents et applications IA se déploient plus vite que leur capacité à les gouverner. Plus de la moitié déclarent avoir déjà identifié des usages non autorisés, et 89 % redoutent que cette prolifération non encadrée n’alimente une nouvelle dette technologique. Nous ne sommes donc plus face à une simple phase d’expérimentation enthousiaste. Nous sommes face à une tension de gouvernance à l’échelle.

Le vrai sujet n’est pas que l’IA avance vite. L’histoire de la technologie est faite d’accélérations. Le vrai sujet est que l’entreprise entre dans une phase où ses mécanismes classiques de contrôle - sécurité, architecture, conformité, gouvernance des données, auditabilité, ownership - ont été pensés pour des applications, pas pour des entités semi-autonomes capables d’orchestrer des actions. Cette différence est fondamentale.

Un agent bien gouverné peut devenir un levier majeur de productivité, de qualité de service et de réduction des frictions opérationnelles. Un agent mal gouverné devient rapidement une zone grise : on ne sait plus exactement ce qui tourne, sur quelles données, avec quels droits, dans quel but, ni avec quel niveau de supervision humaine. À partir de là, l’innovation cesse d’être un avantage. Elle devient une exposition.

C’est précisément pour éviter cette dérive que les grands référentiels de gestion du risque insistent sur une approche structurée. Le NIST AI Risk Management Framework rappelle que la maîtrise de l’IA ne relève pas uniquement de la performance des modèles, mais aussi d’une capacité organisationnelle à gouverner, cartographier, mesurer et gérer les risques dans la durée. L’enjeu n’est pas uniquement technique ; il est opérationnel, managérial et systémique.

Cette exigence devient encore plus forte dans le contexte européen. Le cadre de l’AI Act précise que certains systèmes d’IA sont soumis à des obligations de transparence, tandis que les systèmes à haut risque doivent répondre à des exigences renforcées en matière de gestion des risques, de documentation, de traçabilité, de supervision humaine, de robustesse et de conformité. Le texte rappelle également que les déployeurs doivent, dans certains cas, surveiller l’usage, informer les personnes concernées et organiser un véritable contrôle humain. Autrement dit, l’époque où l’on pouvait industrialiser d’abord et cadrer ensuite se referme rapidement.

C’est là que se situe, à mon sens, la vraie rupture de l’agentic AI. Nous ne parlons plus seulement de transformation numérique. Nous parlons de gouvernance de comportements automatisés.

Et cela change profondément le rôle des DSI, CTO, CDO et responsables de la sécurité. Leur mission n’est plus seulement de fournir des plateformes, de sécuriser des flux ou d’arbitrer des architectures. Elle consiste désormais à instaurer un cadre dans lequel l’autonomie reste visible, pilotable et révocable. Le débat ne porte plus uniquement sur le “build”. Il porte sur le “run”, sur l’accountability et sur la capacité à démontrer, à tout moment, qu’un agent agit dans un périmètre maîtrisé.

Cette pression est d’ailleurs renforcée par une autre réalité : la fin de l’indulgence autour du ROI de l’IA. Les promesses générales ne suffisent plus. Les directions générales, les boards et les métiers attendent des résultats observables, des arbitrages assumés et des trajectoires de valeur documentées. Le problème n’est donc pas seulement d’identifier les agents ; c’est aussi de savoir lesquels produisent réellement un impact, lesquels dégradent la complexité, et lesquels introduisent plus de risque que de valeur. Plusieurs signaux récents montrent d’ailleurs que les CIO entrent dans une phase de responsabilité plus directe, marquée par des demandes accrues d’explicabilité, de justification budgétaire et d’auditabilité.

Dans ce contexte, les entreprises les plus mûres ne seront pas nécessairement celles qui lanceront le plus grand nombre d’agents. Ce seront celles qui sauront répondre à quatre questions simples, mais structurantes :

• Quels agents sont réellement actifs ?
• À quelles données, applications et workflows ont-ils accès ?
• Qui en porte la responsabilité opérationnelle et métier ?
• Et quelle valeur mesurable produisent-ils effectivement ?

Tant qu’une organisation ne sait pas répondre clairement à ces questions, elle n’a pas industrialisé l’IA. Elle a simplement déplacé son Shadow IT vers une couche plus puissante, plus rapide et plus difficile à voir.

Le véritable enjeu des prochains mois ne sera donc pas seulement de déployer des agents. Il sera de construire les conditions de leur maîtrise. Car dans l’économie de l’IA, la vitesse crée l’opportunité. Mais seule la gouvernance transforme cette opportunité en avantage durable.