Dévoiler l'invisible : votre guide pour maîtriser l'IA fantôme avec Cloudflare One

Le panorama numérique des environnements d'entreprise est depuis toujours un champ de bataille sur lequel s'opposent l'efficacité et la sécurité. Pendant des années, cette bataille s'est manifestée au travers de « l'informatique fantôme » (Shadow IT), c'est-à-dire de l'utilisation par le personnel d'ordinateurs portables ou de services cloud non autorisés pour effectuer plus rapidement son travail. Les équipes de sécurité sont passées maîtres dans la traque de ces systèmes non autorisés, déployant des pare-feu et des politiques afin de rétablir l'ordre dans le chaos.

Cependant, la nouvelle frontière est différente, et sans doute bien plus subtile et dangereuse.

Imaginez une équipe d'ingénieurs, impliquée dans le développement d'un nouveau produit révolutionnaire. Les délais sont serrés et un ingénieur débutant, cherchant à optimiser son flux de travail, colle un extrait d'un algorithme propriétaire dans un célèbre chatbot d'IA public, en lui demandant de refactoriser le code afin d'en améliorer les performances. L'outil renvoie rapidement le code révisé, et l'ingénieur, satisfait du résultat, l'enregistre. Ce dont il n'a pas conscience, c'est que sa requête et le fragment de code font désormais partie des données d'apprentissage du service d'IA, ou qu'ils ont peut-être été enregistrés et stockés par le fournisseur. Sans que personne ne s'en aperçoive, une composante essentielle de la propriété intellectuelle de l'entreprise vient d'échapper au contrôle de l'organisation, entraînant une fuite de données silencieuse et non surveillée.

Il ne s'agit pas d'un scénario hypothétique, mais de la nouvelle réalité. Les collaborateurs, s'appuyant sur ces outils d'IA incroyablement puissants, les utilisent désormais pour effectuer de nombreuses tâches, de la synthèse de documents confidentiels à la génération de textes marketing – et même pour l'écriture de code. Les données transférées hors de l'entreprise lors de ces interactions sont souvent invisibles aux outils de sécurité traditionnels, qui n'ont jamais été conçus pour comprendre les subtilités de l'interaction d'un onglet de navigateur avec un grand modèle linguistique. Cette utilisation silencieuse, non gérée, est appelée IA fantôme (« Shadow AI ») et représente un nouvel angle mort critique dans le domaine de la sécurité.

Pour combattre ce phénomène, nous devons adopter une nouvelle approche qui offre une visibilité sur cette nouvelle catégorie d'applications et fournisse aux équipes de sécurité le contrôle indispensable, sans toutefois grever l'innovation qui rend ces outils si précieux.

C'est ici qu'intervient le service Shadow IT Report de Cloudflare. Il ne s'agit pas d'une liste de menaces à bloquer, mais plutôt d'un outil de visibilité et d'analyse de données conçu pour vous aider à comprendre le problème avant qu'il ne devienne une crise. Au lieu de devoir se fier à des suppositions ou d'essayer d'identifier manuellement chaque application non autorisée, les clients Cloudflare One peuvent utiliser les informations issues du trafic de données de leur entreprise pour obtenir une représentation claire, fondée sur des données, de l'utilisation des applications au sein de leur organisation.

Le rapport offre une vue détaillée et catégorisée de l'activité liée à vos applications, et peut être facilement restreint aux activités liées à l'IA. Nous avons tiré parti des capacités de notre réseau et de notre corpus d'informations sur les menaces pour identifier et catégoriser les services IA, en identifiant des modèles à usage général tels que ChatGPT, les assistants de génération de code tels que GitHub Copilot et les outils spécialisés utilisés pour le marketing, l'analyse de données ou d'autres tâches de création de contenu, tels que Leonardo.ai. Cette vue granulaire permet non seulement aux équipes de sécurité de voir qu'un collaborateur utilise une application IA, mais également d'identifier de quelle application IA il s'agit et quels utilisateurs y accèdent.

Les utilisateurs extrêmement attentifs ont peut-être remarqué que nous proposons depuis longtemps une fonctionnalité Shadow IT ; alors, qu'est-ce qui a changé ? Si Cloudflare Gateway, notre passerelle web sécurisée (SWG, Secure Web Gateway), enregistre certaines de ces données depuis un certain temps déjà, les utilisateurs ont souhaité bénéficier d'informations plus approfondies et de rapports sur l'utilisation des applications au sein de leur entreprise. Cloudflare Gateway traite chaque jour des centaines de millions de lignes de données concernant l'utilisation des applications pour nos plus gros utilisateurs. Or, cette ampleur entraînait des problèmes lors du traitement de requêtes comportant des fenêtres temporelles plus larges En outre, le déploiement d'origine ne proposait pas les capacités de filtrage et de personnalisation permettant d'examiner correctement l'utilisation des applications IA. Nous savions que nos clients adoraient ces informations, mais la manière dont nous leur présentions ces données était insatisfaisante.

La résolution de ce problème a nécessité un effort impliquant plusieurs équipes, ainsi qu'une refonte intégrale par nos ingénieurs spécialistes de l'analyse de données et de la production de rapports. Peut-être avez-vous récemment pris connaissance de notre travail dans cet article de blog de juillet 2025, qui examine comment nous avons adopté TimescaleDB pour soutenir notre plateforme d'analyse de données. Ceci a permis de libérer le potentiel de nos données analytiques, nous permettant ainsi d'agréger et de compresser les données à long terme afin d'améliorer considérablement les performances des requêtes. Cette approche a résolu le problème que constituait initialement notre ampleur, en permettant à nos plus gros clients d'interroger leurs données sur de longues périodes. Notre robot d'indexation collecte les données de trafic HTTP d'origine depuis Gateway, et celles-ci sont ensuite stockées dans une base de données Timescale.

Une fois les données intégrées dans notre base de données, nous avons développé dans celle-ci des vues matérialisées spécifiques dédiées aux scénarios d'utilisation de l'informatique fantôme (« Shadow IT ») et de l'IA, afin de prendre en charge les données analytiques pour cette fonctionnalité. Les données analytiques HTTP existantes que nous avons développées sont centrées sur les requêtes HTTP associées à un compte, tandis que ces vues spécifiques sont centrées sur les informations pertinentes pour les applications ; par exemple : quels utilisateurs accèdent à des applications non approuvées ? Quelle quantité de bande passante consomment-ils ? Un utilisateur final dans une localisation géographique inattendue interagit-il avec une application non vérifiée ? Quels appareils consomment le plus de bande passante ?

Au cours de l'année écoulée, l'équipe a établi un cadre pour les données analytiques que nous présentons. Nos graphiques de séries chronologiques et graphiques des n premières valeurs peuvent tous être filtrés par durée et en fonction des points de données pertinents présentés, permettant aux utilisateurs d'approfondir l'examen de points de données spécifiques et d'afficher les détails du trafic de données de leur entreprise. Pour mettre en oeuvre une refonte de la fonctionnalité Shadow IT, nous avons examiné les données dont nous disposions et avons étudié les complexités liées à la visibilité des applications IA pour les clients. Nous avons ensuite tiré parti de notre cadre existant et avons construit le tableau de bord Shadow IT, qui offre la visibilité des applications indispensable à nos clients.

Au cœur du système se trouve Cloudflare Gateway, un filtre et proxy intégré pour l'ensemble du trafic Internet de votre entreprise, où que soient vos utilisateurs. Lorsqu'un collaborateur tente d'accéder à une application IA, le trafic de données associé transite sur le réseau mondial de Cloudflare. Cloudflare peut inspecter le trafic, y compris le nom d'hôte, et associer le trafic à nos définitions d'application. L'inspection TLS est facultative pour les clients Gateway, mais elle est requise pour les données analytiques de Shadow IT.

Les interactions sont consignées et liées à l'identité de l'utilisateur, au niveau de sécurité de l'appareil, à la bande passante consommée et même à la localisation géographique. Ce contexte riche est crucial pour comprendre quels utilisateurs utilisent quels outils d'IA, à quel instant et à quel endroit.

Toutes ces données granulaires sont ensuite présentées dans notre service Shadow IT Report, dans le tableau de bord Cloudflare One. Il suffit de filtrer les applications IA pour bénéficier des avantages suivants :

• Vue d'ensemble de haut niveau : évaluez immédiatement l'adoption de l'IA par votre entreprise. Visualisez les principales applications IA utilisées, les tendances générales d'utilisation et le volume de données traitées. Ces informations vous aideront à identifier et à cibler vos initiatives en matière de sécurité et de gouvernance.

• Examens détaillés : besoin d'informations plus détaillées ? Cliquez sur n'importe quelle application IA pour visualiser les utilisateurs ou les groupes spécifiques qui accèdent à celle-ci, leur fréquence d'utilisation, leur emplacement et le volume de données transférées. Ces informations détaillées vous aident à identifier les équipes utilisant l'IA dans l'ensemble de l'entreprise, ainsi que le volume de données circulant vers ces applications.

_{Tableau de bord de données analytiques de Shadow IT}

Nous sommes conscients que tous les outils IA ne se valent pas et que le niveau de confort de votre entreprise est susceptible de varier. Le service Shadow AI Report introduit un cadre flexible pour l'état d'approbation des applications, vous permettant de catégoriser formellement chaque application IA détectée :

• Approuvée : il s'agit des applications IA qui ont passé l'examen de sécurité interne et sont conformes à vos politiques, dont l'utilisation est officiellement autorisée. 

• Non approuvées : il s'agit des applications dont l'utilisation est interdite. Peut-être comportent-elles des politiques de confidentialité des données problématiques ou un historique de vulnérabilités, ou peut-être ne sont-elles simplement pas conformes aux objectifs de votre entreprise.

• En cours d'examen : cet état permet à vos équipes de prendre connaissance de l'utilisation d'applications en cours d'examen ou d'outils récemment découverts, tout en réalisant une vérification approfondie. Il vous laisse ainsi le temps de prendre une décision bien informée, sans causer de perturbations immédiates.

^{Examinez et identifiez les états des applications dans le tableau de bord}

Ces états d'approbation prennent tout leur sens lorsqu'ils sont intégrés aux politiques de Cloudflare Gateway. Ceci vous permet d'appliquer automatiquement vos décisions concernant l'IA à la périphérie du réseau de Cloudflare, et ainsi, de garantir une sécurité cohérente pour chaque collaborateur, où qu'il se trouve.

Voici comment vous pouvez traduire vos décisions en protection intégrée :

• Bloquer les IA non approuvées : l'action la plus simple et la plus directe. Créez; dans Gateway, une politique HTTP qui bloque l'ensemble du trafic vers toute application IA marquée comme « Non approuvée ». Cela met immédiatement fin à l'exfiltration de données comportant un risque.

• Limitez l'exposition « En cours d'examen » : pour les applications encore en cours d'évaluation, vous pouvez ne pas préférer un blocage strict, mais plutôt une restriction flexible des risques potentiels :

• Prévention des pertes de données (DLP) : le service DLP de Cloudflare inspecte et analyse le trafic à la recherche d'indicateurs de données sensibles (par exemple, numéros de carte de paiement, informations d'identification personnelle, noms de projets internes, code source) et peut ensuite bloquer le transfert de données. En appliquant DLP aux applications IA « En cours d'examen », vous pouvez interdire les invites IA contenant ces données propriétaires et informer l'utilisateur des raisons pour lesquelles l'invite a été bloquée. Ceci aurait pu éviter à notre ingénieur débutant de commettre une erreur bien intentionnée. 

• Restreindre des actions spécifiques : bloquez uniquement les transferts de fichiers, mais autorisez les interactions de base, afin d'empêcher l'exfiltration massive de données. 

• Isoler les sessions à risque : acheminez le trafic des applications « En cours d'examen » via le service d'isolement de navigateur de Cloudflare. Le service d'isolement de navigateur exécute la session de navigation dans un conteneur sécurisé et distant, isolant ainsi toutes les interactions de données de votre réseau d'entreprise. Il vous permet de contrôler les transferts de fichiers et les actions du presse-papiers, de restreindre les saisies au clavier et bien davantage, et ainsi, de restreindre les interactions avec l'application pendant l'examen.

• Audit de l'utilisation d'applications « Approuvées » : même pour les outils IA de confiance, vous pouvez souhaiter consigner toutes les interactions à des fins d'audit de conformité ou appliquer des règles spécifiques de traitement des données afin de garantir le respect continu des politiques internes.

Ce flux de travail permet à votre équipe d'auditer de manière cohérente l'utilisation de l'IA au sein de votre entreprise et de facilement mettre à jour les politiques afin d'atténuer rapidement et facilement les risques liés à la sécurité.

Bien que le service Shadow AI Report fournisse d'excellentes informations, les équipes de sécurité doivent souvent réaliser des examens après incident plus approfondis. Pour ces scénarios avancés, nous proposons la solution Cloudflare Log Explorer.

Log Explorer vous permet de stocker et d'interroger vos journaux Cloudflare directement dans le tableau de bord de Cloudflare ou via une API, éliminant ainsi la nécessité de transmettre d'immenses volumes de journaux à des plateformes SIEM tierces lors de chaque enquête. Il fournit des données de journal brutes, non échantillonnées, avec un contexte complet, permettant une analyse rapide et détaillée.

Les clients utilisateurs de Log Explorer peuvent réaliser un examen détaillé des journaux du service Shadow AI à l'aide de requêtes SQL préremplies de Cloudflare Analytics, permettant des investigations approfondies sur l'utilisation de l'IA :

_{Interface de requêtes SQL de Log Search}

Comment examiner l'utilisation de l'IA fantôme avec Log Explorer :

• Suivez l'activité d'utilisateurs spécifiques : si le service Shadow AI Report signale un utilisateur présentant une activité élevée sur une application IA « En cours d'examen» » ou « Non approuvée », vous pouvez accéder à Log Explorer et interroger le service par utilisateur, par catégorie d'application ou par service IA spécifique. 

• Analysez les tentatives d'exfiltration de données : si vous avez configuré des politiques DLP, vous pouvez rechercher des correspondances DLP en conjonction avec les catégories d'applications IA. Cela aide à identifier les tentatives de transfert de données sensibles vers les applications IA et à déterminer exactement quelles données ont été transmises.

• Identifiez l'utilisation anormale de l'IA : le service Shadow AI Report peut indiquer une augmentation de l'utilisation pour une application IA particulière. Dans Log Explorer, vous pouvez filtrer par état de l'application (« En cours d'examen »  ou « Non approuvée »), en fonction d'une plage de temps spécifique. Vous pouvez ensuite rechercher des schémas inhabituels, notamment un nombre élevé de requêtes provenant d'une adresse IP source unique ou des origines géographiques inattendues pouvant indiquer l'utilisation de comptes compromis ou des tentatives de contournement de politiques.

Si la visibilité de l'IA est un défi pour votre organisation, le service Shadow AI Report est maintenant disponible pour les clients Cloudflare One, dans le cadre de nos capacités élargies de découverte de l'informatique fantôme (« Shadow IT »). Connectez-vous à votre tableau de bord pour commencer à regagner de la visibilité et à façonner votre stratégie de gouvernance de l'IA dès aujourd'hui. 

Prêt à moderniser la façon dont vous sécurisez l'accès aux applications IA ? Demandez une consultation avec les experts en sécurité de Cloudflare One pour découvrir comment regagner la visibilité et le contrôle. 

Ou, si vous n'êtes pas encore prêt à échanger avec quelqu'un, presque toutes les fonctionnalités de Cloudflare One sont disponibles gratuitement pour un maximum de 50 utilisateurs. Bon nombre de nos plus grands clients entreprises commencent par explorer eux-mêmes les produits dans le cadre de notre offre gratuite, et vous pouvez commencer ici.

Si vous avez des commentaires ou vous souhaitez contribuer à définir de quelle manière Cloudflare améliore la visibilité de l'IA fantôme (« Shadow AI »), veuillez envisager de rejoindre notre programme de recherche utilisateur.