« Câest juste un fichier Excel sur mon Drive. »
Une phrase banale. JusquâĂ ce que ce fichier contienne la liste complĂšte des salaires et quâil devienne⊠public.
Le Shadow IT, ce nâest pas une thĂ©orie.
Câest une rĂ©alitĂ© quotidienne. Parfois invisible, parfois hilarante⊠et parfois dramatique.
Dans ce billet, on met les mains dans le cambouis avec des cas dâusage rĂ©els â inspirĂ©s de situations vĂ©cues en entreprise ou tirĂ©es de lâactualitĂ© â pour mieux comprendre Ă quoi ressemble le Shadow IT en action.
đ 1. Le Google Drive RH partagĂ© par erreur
𧩠Le contexte :
Une collaboratrice RH veut partager une feuille de suivi des congĂ©s avec son Ă©quipe. Lâoutil interne rame. Elle copie le fichier sur son Drive personnel et envoie le lien.
đ„ Le hic :
Elle sélectionne « accÚs public avec le lien ». Résultat : toute personne (y compris externe) ayant le lien accÚde au document.
Et dedans ? Des noms, soldes de congés, et adresses perso. Classique.
𧯠La conséquence :
- Signalement via la CNIL par un salarié
- Audit interne
- Rappel Ă lâordre + mise en place tardive de protections GSuite
đ€ 2. Le script Python qui automatisait⊠un accĂšs non sĂ©curisĂ©
𧩠Le contexte :
Un dĂ©veloppeur pressĂ© crĂ©e un script pour automatiser lâimport de donnĂ©es clients dans une base tierce.
Il utilise ses propres identifiants en dur dans le code et laisse le fichier sur un dépÎt GitHub perso.
đ„ Le hic :
Le repo est public. Les identifiants permettent un accÚs non restreint à un serveur en production.
𧯠La conséquence :
- Intrusion externe via bot scanneur
- Données partiellement exfiltrées
- Changement dâinfra + sĂ©curitĂ© revue (trop tardivement)
đ§ 3. Le prompt ChatGPT avec donnĂ©es sensibles
𧩠Le contexte :
Un chef de projet utilise ChatGPT pour gagner du temps sur la rĂ©daction de specs. Il copie-colle des extraits rĂ©els dâun contrat client sensible dans la requĂȘte.
đ„ Le hic :
MĂȘme si les donnĂ©es ne sont pas automatiquement rĂ©utilisĂ©es, elles peuvent ĂȘtre stockĂ©es temporairement cĂŽtĂ© OpenAI si la session nâest pas dĂ©sactivĂ©e en mode privĂ©. Et les CGU ne sont pas toujours luesâŠ
𧯠La conséquence :
- Signalement par la cellule juridique
- Blocage de ChatGPT entreprise-wide
- Sensibilisation express à la confidentialité des données
đŠ 4. Le NAS bricolĂ© sous un bureau
𧩠Le contexte :
Un service âcrĂ©atifâ trouve les serveurs internes trop lents. Ils installent un petit NAS (Synology) dans leur open space, pour partager plus rapidement leurs vidĂ©os et docs lourds.
đ„ Le hic :
- Pas de pare-feu
- Pas de mise Ă jour firmware
- AccĂšs admin sans mot de passe fort
𧯠La conséquence :
- Infection par un ransomware via le port SMB exposé
- Fichiers chiffrés, demande de rançon
- Plusieurs jours dâarrĂȘt de production
đ En rĂ©sumĂ©
| đĄ Bonne intention | â Mauvaise exĂ©cution | đŁ Risque |
|---|---|---|
| Partage rapide | Drive public | Fuite de données |
| Gain de temps | Script avec credentials | Intrusion |
| Aide IA | Données sensibles copiées | Confidentialité |
| Amélioration locale | NAS non sécurisé | Ransomware |
đ§ Et la morale ?
Le Shadow IT, ce nâest pas de la malveillance, câest de la maladresse.
Mais les consĂ©quences, elles, peuvent ĂȘtre majeures.
đ Prochain billet :
đ âLes vrais risques du Shadow IT : quand lâinnovation Ă©chappe Ă tout contrĂŽleâ
