Agents autonomes dans le SI : quand le Shadow IT décide à la place des DSI européens

# Agents autonomes dans le SI : quand le Shadow IT décide à la place des DSI européens

Pendant des années, le Shadow IT, c'était un collaborateur qui installait Dropbox parce que le réseau interne était trop lent, ou une équipe marketing qui souscrivait à un SaaS américain avec sa carte bleue pro. Problème réel, mais circonscrit. On pouvait cartographier, bloquer, négocier.

Ce que nous vivons depuis dix-huit mois dans les entreprises européennes est d'une autre nature. Les agents IA autonomes — ces processus capables d'agir, de chaîner des décisions, de solliciter des API externes, de générer et d'envoyer des documents sans validation humaine intermédiaire — ont pénétré les systèmes d'information par la porte de service. Et contrairement à l'ancienne génération de Shadow IT, ils ne sont pas passifs. Ils agissent.

Ce n'est plus de la désobéissance, c'est de la délégation non consentie

Il faut être précis sur ce qui se passe réellement dans les ETI et PME européennes en 2026. Ce ne sont plus seulement des outils consommés en dehors du contrôle IT. Ce sont des workflows entiers qui s'automatisent, pilotés par des agents déployés par des équipes métier — finance, RH, commercial — qui ont eu accès à des plateformes d'orchestration via des abonnements individuels ou des licences d'équipe achetées sans passage par la DSI.

Le DSI découvre souvent la situation ex post : quand un agent a transmis des données contractuelles à une API externe pour synthèse, quand un processus de relance client a été délégué à un modèle hébergé on ne sait où, quand le budget consommé en tokens dépasse ce qui était prévu en bout de mois. Ce dernier point mérite qu'on s'y arrête.

Un risque budgétaire structurel, pas conjoncturel

La consommation d'inférence IA n'est pas linéaire. Un agent autonome qui tourne en continu sur des flux de données d'entreprise peut générer des volumes de requêtes que personne n'a anticipés dans le budget IT initial. Les acteurs américains qui fournissent les modèles sous-jacents ont structuré leurs offres en conséquence : tarification à l'usage, élasticité apparente, puis ajustements tarifaires périodiques que les ETI européennes n'ont aucune capacité à anticiper ni à négocier.

On a vu ce mécanisme à l'œuvre dans le cloud infrastructure ces dix dernières années. Les PME qui ont migré massivement vers les hyperscalers américains entre 2015 et 2020 se retrouvent aujourd'hui face à des coûts de sortie prohibitifs et une dépendance structurelle. Avec les agents IA, la mécanique est identique mais le cycle est plus court et la couche de données engagée est plus sensible : conversations internes, données contractuelles, historiques RH, flux financiers.

La différence avec le Shadow IT classique, c'est que personne — ni le métier, ni parfois l'éditeur lui-même — ne peut prédire la facture à trois mois. C'est une variable que les DSI ne savent pas mettre dans un budget.

Où sont les acteurs européens dans tout ça ?

C'est là que le sujet bascule d'un problème de gouvernance vers une question de souveraineté économique.

Les plateformes d'orchestration d'agents qui ont capté l'essentiel de ce marché émergent sont américaines. Elles hébergent les modèles, gèrent les mémoires persistantes des agents, centralisent les logs d'exécution. Ce qui signifie concrètement que les données de processus des entreprises européennes — pas seulement les données métier transmises en entrée, mais les patterns de travail, les séquences de décision, les volumes traités — alimentent des infrastructures soumises au droit américain.

Le CLOUD Act n'a pas disparu. Le Privacy Shield 2.0 reste fragile juridiquement. Et les discussions en cours au niveau européen sur la responsabilité des systèmes d'IA autonomes ne changent rien au fait que les données sont, elles, déjà parties.

Il existe des alternatives européennes sérieuses dans l'espace des modèles ouverts et des infrastructures d'inférence souveraines — je pense notamment à ce que construisent certains acteurs autour des modèles open-weight couplés à des infrastructures certifiées SecNumCloud. Mais ces solutions restent en dehors du radar des équipes métier qui déploient des agents, précisément parce qu'elles nécessitent une implication de la DSI. C'est le paradoxe central : les solutions souveraines supposent une gouvernance centralisée que le Shadow IT, par définition, contourne.

La reprise de contrôle n'est pas une question technique

On me dira qu'il faut cartographier les agents, mettre en place des politiques de validation, créer des sandboxes internes. C'est vrai. Mais réduire ce sujet à un problème de gouvernance IT, c'est passer à côté de son enjeu réel.

Le Shadow IT d'agents autonomes s'est développé aussi vite parce que les équipes métier ont trouvé dans ces outils une réponse concrète à des besoins que la DSI n'avait pas satisfaits. Rapidité de déploiement, interfaces accessibles, résultats immédiats. Les acteurs américains ont optimisé l'expérience utilisateur au point de rendre la gouvernance IT perçue comme un obstacle.

La réponse européenne ne peut pas être purement défensive. Une politique d'interdiction sans alternative crédible ne fera que pousser les usages vers encore plus d'opacité. Ce dont les DSI ont besoin, c'est d'une offre européenne d'agents IA qui soit aussi simple à déployer, aussi performante sur les cas d'usage courants, et qui permette de garder la main sur les données, les coûts et les logs d'exécution.

Certains éditeurs européens travaillent précisément sur ce terrain — des plateformes d'automatisation pensées pour s'intégrer dans des environnements souverains avec des modèles open-source à paramétrage local. Le chemin est là. Mais tant que les budgets de ces projets restent dans la ligne "exploration" et non dans la ligne "déploiement production", ils n'existent pas pour les équipes métier.

Ce que ça coûte de ne rien décider

La vraie question budgétaire pour un DSI d'ETI européenne en 2026, ce n'est pas "combien coûte un projet d'agents souverains". C'est "combien nous coûte déjà l'absence de gouvernance sur les agents qui tournent".

Coûts directs non tracés en consommation d'inférence. Coûts de conformité RGPD si une violation liée à un transfert de données non contrôlé est constatée. Coûts de sortie si demain il faut migrer des workflows entiers d'une plateforme américaine vers une alternative. Coûts d'opportunité si des données de processus internes ont alimenté l'amélioration de modèles concurrents.

Aucun de ces coûts n'est théorique. Ils sont juste encore dispersés, difficiles à attribuer, et donc invisibles dans les reportings.

L'invisibilité n'est pas de la neutralité. C'est de la dette souveraine qui s'accumule.