Selon l’étude AI Agents at Work 2026 publiée par Okta, il y a un décalage croissant entre perception des dirigeants et réalité des usages de l’IA en entreprise. Si la majorité des décideurs affirment avoir une bonne visibilité sur les outils d’IA utilisés et confiance dans leur gouvernance, plus de la moitié des employés utilisent activement des outils de « shadow AI » non approuvés, souvent en contournant les contrôles de sécurité en place.
Les données pour l’Europe révèlent une situation particulièrement préoccupante. Même dans les pays où l’adoption du shadow AI reste relativement limitée, les taux d’incidents liés à l’IA demeurent très élevés. En France, où 31 % des salariés utilisent du shadow AI, 59 % des entreprises déclarent avoir subi un incident de sécurité corrélé. En Allemagne, le taux d’adoption du shadow AI atteint 32 %, mais le taux d’incidents grimpe à 68 %, avec un taux de compromission de 44 %, supérieur à celui des États-Unis, où l’usage du shadow AI est pourtant plus de deux fois plus élevé (67 %).
Ces résultats montrent que les permissions trop larges, les accès mal contrôlés et les erreurs de configuration dans des systèmes pourtant approuvés constituent eux aussi des facteurs de risque majeurs. Les impacts sont déjà visibles : 58 % des entreprises dans le monde ont connu au moins un incident de sécurité lié à l’IA ou un incident évité de justesse au cours des 12 derniers mois.
L’étude souligne ainsi une évolution majeure : les agents IA ne peuvent plus être considérés comme de simples outils mais gérés comme de véritables identités numériques, avec les mêmes exigences de contrôle, de gouvernance et de sécurité que les utilisateurs humains. Si les organisations ont pris conscience de cet enjeu, leur niveau de protection reste encore en retard sur la vitesse d’adoption de l’IA.
Pour Xavier Mathis, directeur général d’Okta en France, « on ne peut gérer ce que l’on ne voit pas, ni sécuriser ce que l’on ne considère pas comme une véritable identité. En France, le paradoxe est là : le taux de shadow AI est le plus bas soit 30,8 % mais 59,3 % des organisations ont déjà été confrontées à un incident de sécurité lié à l’IA ces douze derniers mois. La menace ne vient pas des comportements déviants mais de l’intérieur des systèmes approuvés. Les agents IA doivent donc être traités comme des identités à part entière, avec les mêmes contrôles de sécurité que ceux appliqués aux employés. Sans cela, les organisations continueront à sous-estimer leur exposition réelle même quand elles pensent avoir la situation en main. »