Cartographier l’IA que l’entreprise ne contrôle pas officiellement.

L’Audit Shadow AI définit une fuite comme toute donnée, dépense, qualité, responsabilité ou dépendance fournisseur qui sort du cadre opérationnel sans visibilité.

Le travail ne consiste pas à produire une note de plus. Il sert à transformer une dépense, un usage ou un risque IA en décision lisible : ce qui doit être arrêté, ce qui doit être réparé, ce qui mérite plus de budget et ce qui doit rester sous contrôle avant d’être étendu.

Cette page s’adresse aux dirigeants, finance, opérations, IT et métiers qui ont déjà des usages IA visibles mais pas assez de preuve pour décider. Le symptôme typique n’est pas l’absence d’IA : c’est l’excès d’activité sans ownership, sans coût complet et sans seuil de qualité partagé.

Elle est utile quand les renouvellements approchent, quand plusieurs équipes achètent des outils similaires, quand les pilotes restent en démonstration permanente, ou quand personne ne sait dire si l’IA améliore réellement le workflow qui compte.

Nous partons des Four Leaks of AI ROI : dépense, adoption, fuites et dérive des rôles. Chaque signal est relié à un coût, un owner, un risque et une décision. Cette structure évite de confondre enthousiasme, usage et retour mesurable.

Le framework force aussi une discipline simple : un usage IA doit avoir un périmètre, une référence avant IA, un seuil de qualité, une mesure de valeur et une date de revue. Sans ces cinq éléments, l’entreprise finance une histoire plutôt qu’un actif opérationnel.

Les livrables sont conçus pour être utilisés en comité, pas seulement lus. Ils séparent les preuves disponibles, les hypothèses raisonnables, les risques à réduire et les mesures à installer. Chaque élément doit pouvoir déclencher une décision concrète.

• Inventaire shadow AI par équipe et classe de données
• Carte des fuites data, coût, fournisseur et qualité
• Écarts de politique et chemins d’usage sûrs
• Contrôles prioritaires pour workflows sensibles
• Plan exécutif avec quick wins et backlog de gouvernance

Heatmap des données exposées, outils non encadrés et workflows sans owner.

Backlog de contrôle avec owner, effort, impact et urgence.

Le rapport évite les grandes recommandations abstraites. Il montre les workflows concernés, la preuve derrière chaque conclusion, les limites de confiance et le prochain arbitrage attendu. Un bon rapport Harmondale doit rendre la prochaine réunion plus courte.

10-18 jours ouvrés

La première partie rassemble inventaire, coûts, décisions passées et exemples terrain. La deuxième partie qualifie les workflows prioritaires, vérifie les hypothèses avec les owners et sépare les sujets de dépense, de qualité, de risque et d’adoption. La fin transforme l’analyse en backlog de décisions.

7k€-20k€ selon la sensibilité et les départements couverts

Le budget dépend surtout du nombre d’équipes, de la qualité des traces disponibles, de la sensibilité des données et du niveau d’analyse attendu. Un périmètre court peut suffire si la décision est urgente ; un périmètre plus large se justifie quand plusieurs budgets ou départements sont engagés.

Les objections sont normales parce que l’audit touche à des budgets, à des habitudes d’équipe et parfois à des outils que les personnes aiment réellement. Le rôle de l’audit est de rendre les arbitrages défendables, pas de transformer l’IA en chasse aux coupables.

• L’audit ne culpabilise pas les équipes ; il rend le travail caché pilotable.
• On part de l’exposition concrète, pas de la panique juridique.
• On distingue expérimentation faible risque et workflow sensible à encadrer.