Les utilisateurs métiers créent des agents IA sans validation de l’IT. La gouvernance n’a pas encore rattrapé leur retard. Voici ce que cela implique et comment y répondre.
Mai 2026 | 7 min de lecture
En un coup d’œil
1. Shadow AI Microsoft 365 : comment les agents non approuvés entrent dans votre tenant
Les équipes commerciales le font. La finance aussi. Et les chefs de projet qui n’en pouvaient plus d’attendre la DSI. Tous utilisent Copilot Studio, Power Automate et la nouvelle plateforme Microsoft 365 Agents pour créer des automatisations, des bots et des assistants capables d’interroger SharePoint, Exchange et des services externes. Sans ticket. Sans validation. Sans cadre de cycle de vie.
C’est le shadow AI Microsoft 365 : un problème de gouvernance que personne n’a encore totalement résolu, et qui progresse rapidement dans les tenants Microsoft 365.
Le rapport Cyber Pulse de Microsoft indique que 29 % des employés ont déjà utilisé des agents IA non approuvés dans le cadre de leur travail. Ce chiffre, publié au début de 2026, a très probablement augmenté depuis. Aujourd’hui, créer un agent dans Copilot Studio demande à peine quelques clics. Toute organisation équipée de Microsoft 365 dispose donc déjà de tout ce qu’il faut pour faire naître un agent ayant accès à ses données les plus sensibles.
2. Qu’est-ce que le shadow AI Microsoft 365 ? Du shadow IT avec un accès direct aux données
Le shadow IT existe depuis que les logiciels d’entreprise s’achètent en dehors des circuits IT. Les métiers adoptent des outils. La DSI l’apprend plus tard. Et l’écart de gouvernance n’est comblé qu’après coup, souvent une fois qu’un incident s’est déjà produit.
Le shadow AI suit la même logique, avec une différence majeure : les agents IA ne se contentent pas de stocker des données. Ils produisent des réponses à partir de ces données, les redistribuent dans leurs interactions et peuvent agir de manière autonome. Une application installée sur un serveur non approuvé représente un risque passif. Un agent IA qui accède au SharePoint RH et répond à des questions sur les dossiers des employés relève d’un autre niveau de risque.
Gartner estime que 41 % des employés peuvent être considérés comme des développeurs citoyens, c’est-à-dire des personnes qui créent ou personnalisent des applications hors du cadre formel de supervision IT. Lorsqu’ils construisent des agents IA dans Copilot Studio, ces agents héritent directement de leurs permissions. Sans autorisation distincte. Sans validation supplémentaire. Sans véritable piste d’audit au-delà de ce que le centre d’administration Microsoft 365 expose, ce qui reste limité.
Risque : les permissions d’un agent ne lui sont pas propres
Un agent créé par un responsable RH senior hérite de son accès à SharePoint, à Exchange et aux systèmes externes connectés. Si cet agent est ensuite partagé avec une équipe plus large, ses membres peuvent l’interroger et obtenir des réponses fondées sur les données auxquelles le créateur a lui-même accès. La DSI ne reçoit aucune alerte native lorsque cela se produit. Votre tenant Microsoft 365 exécute peut-être déjà des agents que la DSI n’a ni approuvés, ni réellement identifiés, ni la capacité d’auditer sans outils supplémentaires.
3. Power Platform : la gouvernance d’entreprise a déjà résolu ce problème
Les DSI ont déjà mené ce combat avec Power Platform. Lorsque Power Apps et Power Automate sont devenus accessibles aux utilisateurs métiers, l’environnement par défaut s’est rapidement rempli d’applications et de flux que personne n’avait documentés, que personne ne pilotait réellement et que personne ne désactivait. Les organisations dépourvues de gouvernance formelle ont vu proliférer les applications bien davantage que celles dotées d’un Centre d’excellence structuré.
La solution n’a pas consisté à interdire le développement citoyen. Il a fallu bâtir les structures de gouvernance qui le rendent sûr : environnements managés, politiques de prévention des pertes de données, gestion du cycle de vie, suivi des licences.
« La gouvernance du shadow AI Microsoft 365 et celle de Power Platform posent la même question, mais à un niveau d’enjeu supérieur. Les principes restent les mêmes. Les outils, eux, sont encore en train de rattraper leur retard. »
Le cadre de gouvernance qui a permis de maîtriser la crise Power Platform s’applique directement aux agents IA. Il faut tout inventorier. Examiner les permissions. Définir des politiques d’accès aux données. Établir des règles de cycle de vie. Surveiller les écarts. La différence, c’est que les outils restent encore immatures, incomplets et peinent à suivre la vitesse de prolifération des agents.
4. Ce que Microsoft Agent 365 peut faire… et ne pas faire contre le shadow AI
La réponse de Microsoft au shadow AI s’appelle Agent 365. Depuis le 1er mai 2026, l’offre est proposée à 15 dollars par utilisateur et par mois en version autonome, ou incluse dans Microsoft 365 E7.
Agent 365 propose une page Shadow AI dans le centre d’administration Microsoft 365. Les équipes IT peuvent y voir quels agents IA non gérés sont actifs, sur quels appareils ils fonctionnent, et appliquer des contrôles de politique fondés sur Intune. Pour les agents natifs Microsoft, c’est une avancée concrète.
Mais cette visibilité a ses limites. Les agents tiers qui se connectent aux données Microsoft 365 via OAuth sans enregistrement formel restent difficiles à détecter. Les outils IA accessibles dans le navigateur et authentifiés avec des identifiants Microsoft échappent souvent à ce périmètre. De même, les agents créés dans Azure AI Foundry par des développeurs individuels sans inscription dans le centre d’administration peuvent passer sous le radar.
Ce que Microsoft Agent 365 ne vous montre pas
Agent 365 affiche les agents qu’il connaît. En revanche, il ne révèle pas les failles d’accès aux données que ces agents peuvent exploiter. Un agent disposant d’un accès en lecture à un site SharePoint contenant des données sensibles non classifiées peut rester invisible du point de vue de la donnée. En réalité, le problème du shadow AI Microsoft 365 et celui de l’hygiène des permissions ne font qu’un.
5. Un cadre pratique de gouvernance shadow AI Microsoft 365 pour les équipes IT
Les responsables IT et les RSSI sont désormais interpellés par les comités de direction et les équipes financières : qu’entend-on exactement par gouvernance IA, et que faisons-nous concrètement à ce sujet ? Dans la plupart des organisations, la réponse honnête reste la même : pas assez, et sans savoir encore précisément ce qui sera suffisant.
Voici un cadre de départ pragmatique, fondé sur les mêmes principes que ceux qui ont permis de résoudre la crise de gouvernance de Power Platform.
Inventaire : sachez quels agents existent dans votre tenant. Utilisez Agent 365 comme point de départ pour les agents natifs Microsoft. Complétez ensuite avec les environnements Copilot Studio et les journaux d’audit de Power Platform. Vérifiez enfin les consentements OAuth dans Entra ID pour les outils IA externes.
Revue des permissions : chaque agent hérite des droits de son créateur ou de son compte de service. Un agent créé par un administrateur global puis partagé avec un utilisateur métier embarque des permissions qui n’ont rien à faire dans un outil conversationnel.
Périmètre d’accès aux données : quels sites SharePoint, quelles boîtes aux lettres Exchange et quels connecteurs externes les agents peuvent-ils atteindre ? Une gouvernance Microsoft 365 sérieuse impose de comprendre d’abord la surface de données exposée avant de prétendre gouverner l’outil.
Politiques de cycle de vie : les agents doivent avoir des propriétaires identifiés, des dates de revue et des critères de retrait. Traitez-les comme des comptes de service Entra ID : propriétaire nommé, objectif documenté, date d’expiration.
Surveillance : mettez en place des alertes pour la création de nouveaux agents. Examinez chaque semaine leurs journaux d’activité. Les comportements anormaux, les transferts massifs de données ou les appels inattendus vers des connecteurs externes doivent être traités comme de véritables signaux de sécurité.
« Les organisations qui appliquent dès aujourd’hui la discipline de gouvernance de Power Platform aux agents IA ne seront pas celles qui subiront demain une prolifération incontrôlée. »
Questions fréquemment posées
Qu’est-ce que le shadow AI, et en quoi diffère-t-il du shadow IT ?
Le shadow AI désigne l’usage d’outils et d’agents IA au sein d’une organisation sans approbation, sans politique de gouvernance claire et sans supervision IT. La différence avec le shadow IT est essentielle : les agents IA produisent activement des résultats à partir des données, peuvent agir de manière autonome et exposer des informations sensibles dans leurs réponses. Le risque n’est donc plus passif, il devient opérationnel.
Quel est le lien entre le shadow AI Microsoft 365 et la gouvernance?
La gouvernance du shadow AI et celle de Microsoft 365 relèvent en réalité du même sujet, à des niveaux différents. La plupart des agents non approuvés en entreprise accèdent à des données Microsoft 365 : sites SharePoint, boîtes aux lettres Exchange, canaux Teams. Les gouverner suppose donc la même exigence de visibilité sur les permissions, les accès et les surfaces de données exposées.
Que peut faire Microsoft Agent 365 contre le shadow AI dans mon tenant ?
Depuis mai 2026, Agent 365 affiche une page Shadow AI dans le centre d’administration Microsoft 365. Elle permet d’identifier les agents non gérés les plus visibles, les appareils sur lesquels ils fonctionnent, ainsi que certains contrôles Intune permettant de les restreindre. C’est utile pour les agents natifs Microsoft, mais la couverture reste limitée dès que l’on parle d’outils tiers ou d’applications connectées via OAuth.
Qu’est-ce que la gouvernance IA, et par où commencer ?
La gouvernance IA regroupe l’ensemble des politiques, processus et contrôles qui garantissent que les outils d’IA restent dans des limites définies en matière d’accès aux données, de sécurité et de conformité. Commencez par l’inventaire : identifiez les agents existants. Poursuivez avec une revue des permissions, puis mettez en place des politiques de cycle de vie et des mécanismes de surveillance.
En quoi le problème de prolifération dans Microsoft 365 s’applique-t-il aux agents IA ?
Le schéma est le même que pour la prolifération de Power Platform : adoption rapide, supervision minimale, risque accumulé. La différence tient à la vitesse. Les agents prolifèrent plus vite que les applications, parce qu’ils sont plus simples à créer et à partager. Le cadre de gouvernance qui a permis de maîtriser la prolifération de Power Platform s’applique donc directement à celle des agents IA.
À propos de TeamsFox
TeamsFox est la plateforme de gestion et d’optimisation Microsoft 365 qui offre aux équipes IT une visibilité à l’échelle du tenant sur l’utilisation des licences, les déchets de stockage et les risques d’accès. La surveillance continue fait remonter les agents shadow, les licences inactives et les identités orphelines avant qu’ils ne deviennent des incidents de sécurité ou des surprises budgétaires. Basée à Düsseldorf et présente dans plus de 20 pays, TeamsFox aide les organisations à réduire leurs coûts de licences jusqu’à 30 %, leurs coûts de stockage de 40 % et leur temps d’administration de 60 %.