L’IA générative est déjà utilisée dans les entreprises, souvent sans cadre clair : rédaction, résumé de documents, aide au code, recherche d’information, préparation de livrables ou assistance à la décision. Le sujet dépasse donc largement l’IT : il concerne aussi les métiers, les RH, la cybersécurité, la conformité et la gouvernance des données.

Dans ce 8e épisode d’APItime, Christophe BANDINI reçoit Keren BISMUTH, spécialiste cybersécurité / CTI, et Roméo CARECCHIO, consultant API / cybersécurité chez Naoplay. Ensemble, ils abordent un enjeu devenu central pour les organisations : comment évaluer les risques du Shadow AI sans tomber dans une logique d’interdiction inefficace ?

À partir d’exemples concrets, nous verrons notamment comment :

• identifier les usages réels de l’IA dans l’entreprise

• comprendre pourquoi le risque ne se limite pas au prompt visible par l’utilisateur

• classifier les données avant de les exposer à des outils IA

• évaluer les risques selon plusieurs axes : données, conformité, sécurité, fiabilité, impact métier et maîtrise opérationnelle

• rendre la gouvernance adoptable avec un point d’entrée clair, des règles simples et des usages guidés

• centraliser les usages IA, encadrer l’accès aux outils internes et rendre les appels auditables

• connecter l’IA au système d’information via des API, des tools et MCP, sans perdre le contrôle

Roméo présente également Shyrka, un POC interne développé par Naoplay pour illustrer cette approche : un assistant IA accessible depuis Google Chat, connecté au SI via Gravitee, MCP et des tools internes, avec suivi des usages, des coûts, des routages et des appels dans Grafana.

Une session concrète pour comprendre comment passer du Shadow AI à une IA gouvernée, utile et acceptable par les utilisateurs.