Shadow AI : trois questions à Tanguy Duthion, CEO d’Avanoo
Le Shadow AI ne cesse de prendre de l’ampleur. Comment expliquez-vous cela ?
La grande différence entre le Shadow IT et le Shadow AI, c’est l’origine du mouvement. Le Shadow IT, c’étaient des outils professionnels adoptés sans validation. Si l’entreprise les bloquait, le sujet était réglé.L’IA, les collaborateurs l’ont découverte chez eux, sur leur téléphone. Ils ont vu à quel point c’était puissant et ils l’ont ramené au travail. C’est un mouvement de la maison vers le bureau, et c’est ce qui rend le phénomène aussi massif.
L’autre particularité, c’est que plus on donne de contexte à une IA, meilleur est le résultat. Donc les utilisateurs ont naturellement tendance à y mettre des données clients, des documents internes, des informations stratégiques. Ce n’est pas de la malveillance, ce sont des gens qui veulent bien faire leur travail et gagner en vélocité et agilité. En parallèle, on voit arriver les agents IA qui interagissent directement avec les systèmes internes des entreprises. On passe du Shadow AI au Shadow Agentique, et c’est une couche de complexité supplémentaire.
Et puis il y a le volet réglementaire. NIS2, l’AI Act, DORA pour le secteur financier. Toutes ces réglementations exigent de cartographier l’ensemble de ses fournisseurs. Or un employé qui utilise un outil en Freemium (ex: Notion / ChatGPT / Wetransfer / Ilovepdf), c’est déjà un fournisseur au sens réglementaire. La majorité des organisations n’ont tout simplement pas cette visibilité aujourd’hui.
Quelles sont les spécificités d’Avanoo sur ce secteur et comment y répondez-vous avec vos solutions ?
Notre point de départ est qu’une entreprise qui bloque totalement l’IA en 2026 se tire une balle dans le pied d’un point de vue de la productivité et de l’innovation. Il faut accompagner les usages, et pas forcément les interdire (en tout cas pas tous, il faut laisser au minimum une ou plusieurs alternatives). Sinon les collaborateurs sortent leur téléphone personnel, prennent en photo l’écran et on n’a plus aucune visibilité.
Concrètement, Avanoo fonctionne en quatre temps:
D’abord la détection : via une extension navigateur, Avanoo cartographie tous les SaaS, les outils d’IA, les extensions, les services en ligne utilisés dans l’organisation. Tout ce que personne ne voit aujourd’hui.
Ensuite la sécurisation : chaque application est enrichie avec son origine géographique, ses certifications, ses sous-traitants, la présence d’IA embarquée.
Le troisième volet est la sensibilisation contextuelle. Plutôt que des formations classiques que tout le monde oublie au bout d’une semaine, Avanoo intervient au moment exact où le collaborateur utilise un outil non approuvé. Un message dans le navigateur lui propose l’alternative validée par l’entreprise et lui rappelle les bonnes pratiques. C’est du nudge, pas du blocage.
Et enfin la gouvernance : on transforme toute cette donnée en actions concrètes (ex: plan de remédiation).
Un RSSI peut demander en langage naturel ses utilisateurs les plus à risque ou l’évolution de son Shadow AI, et recevoir un rapport (toujours en langage naturel) à présenter par exemple lors du comex.
Ce qui fait qu’Avanoo est choisie face aux gros acteurs américains ou israéliens, c’est qu’elle est une solution européenne, moins chère car spécialisée et aussi moins intrusive. On se concentre sur ce qui présente un risque cyber réel.
Quelles sont les prochaines étapes marquantes de votre stratégie de croissance sur les douze prochains mois ?
Notre vision, c’est que pendant vingt ans, les équipes cyber se sont équipées de CASB, de DLP, d’outils de classification. Des investissements considérables. Et aujourd’hui, les données les plus sensibles sortent du périmètre par une porte que personne ne surveille, non pas à cause d’attaques extérieures, mais parce que les employés utilisent des outils de leur époque en toute bonne foi. C’est ce problème-là qu’Avanoo résout, et notre ambition est d’en devenir la référence européenne.
Avanoo a trois chantiers majeurs en cours :
Le premier, c’est l’enrichissement de notre extension navigateur. D’ici cet été, nous serons capables de détecter les connexions aux serveurs MCP, ce qui permet de révéler l’existence d’agents IA déployés en interne avant même que les équipes cyber ne le sachent. Et on ajoute une première couche d’alertes DLP directement dans l’extension quand un collaborateur insère des données sensibles dans un prompt.
Le deuxième chantier, c’est notre MCP Proxy pour sécuriser l’IA agentique. Les agents IA se multiplient et aucun outil de cybersécurité classique n’a été conçu pour voir ce qui se passe entre un agent et les systèmes internes. C’est exactement l’objectif de cet outil.
Le troisième, c’est l’AI DLP de nouvelle génération. L’objectif est de pouvoir lire les prompts en temps réel et remplacer à la volée les informations confidentielles. Aujourd’hui les acteurs présents sur ce marché sont américains / israélien et sont beaucoup trop intrusifs. Il manque une alternative européenne qui respecte le RGPD et les exigences de la CNIL tout en fournissant une solution tout aussi puissante d’un point de vue cyber. Une AI DLP par les européens, pour les européens.
Pour en savoir plus sur Avanoo : avanoo.ai