“Je ne voyais pas le mal… je voulais juste partager un fichier avec mon équipe.”
— Un utilisateur bien intentionné, juste avant une fuite de données massive.
Bienvenue dans l’univers parallèle du Shadow IT : celui des applications, services et outils utilisés sans validation de la DSI. Le monde où les utilisateurs contournent les procédures officielles pour aller plus vite, mieux collaborer… ou juste “parce que ça marche mieux que ce qu’on nous propose”.
Et on les comprend parfois.
Mais ce monde parallèle est aussi un terrain miné. On y trouve des fichiers RH sur des Google Drive publics, des dashboards métiers dans des Notion partagés à tout l’Internet, des scripts d’automatisation pas sécurisés, ou encore des clés USB pleines de bonnes intentions (et parfois de virus).
🕵️♂️ Définition simple (et sans jargon) :
Le Shadow IT, c’est l’ensemble des outils informatiques utilisés au sein d’une entreprise sans l’approbation (ou la connaissance) de l’équipe IT ou sécurité.
Ça inclut :
- des services cloud perso (Google Drive, Dropbox, WeTransfer…),
- des messageries non maîtrisées (WhatsApp, Signal…),
- des logiciels installés en douce (“juste pour tester”),
- des apps NoCode ou IA créées sans contrôle,
- ou encore des scripts ou automations bricolés maison.
📊 Un phénomène massif… et souvent invisible
Quelques chiffres qui piquent un peu :
- 80 % des salariés reconnaissent avoir utilisé un outil non validé par leur IT【source : Gartner, 2024】
- Une entreprise moyenne utilise plus de 1 000 apps SaaS, mais la DSI n’en connaît… qu’un quart.
- 43 % des violations de données récentes impliquent un service cloud non approuvé【source : IBM X-Force Threat Intelligence Index 2024】
😇 Pourquoi ce n’est pas (toujours) mal intentionné
Spoiler : les utilisateurs ne sont pas des saboteurs.
- Ils veulent gagner du temps (au lieu d’attendre une validation interminable)
- Ils cherchent des outils modernes quand ceux proposés sont obsolètes
- Ils veulent résoudre un problème maintenant, pas dans 3 semaines
Ce n’est donc pas un problème de malveillance, mais un symptôme d’un écart entre les besoins métiers et la réponse IT.
⚠️ Sauf que…
Le Shadow IT, c’est aussi :
- Aucune traçabilité : impossible de savoir qui a accédé aux données
- Aucun support : en cas de bug, personne pour aider
- Aucune sécurité garantie : stockage non chiffré, partage public par erreur, comptes piratables…
Et dans une époque où un simple fichier mal partagé peut coûter un audit, une sanction CNIL ou une attaque ciblée, ça fait réfléchir.
🧠 En résumé
| ✅ Avantages | ❌ Risques |
|---|---|
| Gain de temps | Fuites de données |
| Meilleure expérience utilisateur | Conformité explosée |
| Innovation rapide | Surface d’attaque élargie |
Prochain billet à venir :
👉 “Pourquoi les gens font du Shadow IT ? Petit plaidoyer pour l’efficacité sauvage”
