Shadow IT : reprendre le contrôle des outils que vous ne voyez pas
Vos équipes utilisent des dizaines d'outils que l'IT n'a jamais validés : applications SaaS, stockage perso, et surtout des assistants IA nourris de données internes. C'est le Shadow IT — et ce n'est pas un cas marginal, c'est devenu la norme. Le bon réflexe n'est pas de tout interdire (ça ne marche pas), mais de reprendre le contrôle intelligemment.
L'essentieldécideur Le Shadow IT, c'est tout outil utilisé pour le travail sans validation de l'IT : SaaS, comptes Drive/Dropbox personnels, et de plus en plus des outils d'IA générative (« Shadow AI »). Les chiffres sont sans appel : 83 % des collaborateurs IT utilisent des outils non approuvés, 98 % des organisations ont du Shadow AI. Le risque n°1 : des données sensibles qui sortent de votre contrôle (collées dans ChatGPT, stockées hors périmètre), des comptes invisibles et des problèmes de conformité (RGPD). La solution : rendre visible, évaluer le risque, et offrir des alternatives officielles.
Les quatre visages du Shadow IT
83% des collaborateurs IT admettent utiliser des outils non approuvés ; 98% des organisations ont des employés utilisant de l'IA non validée. Le Shadow IT n'est pas marginal — c'est la norme.
Reprendre le contrôle en 4 étapes (sans tout interdire)
Pourquoi le Shadow IT explose technique
Plusieurs facteurs se cumulent : le télétravail (adoption d'outils en self-service), des cycles d'achat IT trop lents (les gens contournent), et surtout l'explosion de l'IA générative — accessible en un clic, sans passer par l'IT. Le Shadow IT est souvent le signe d'un besoin métier non couvert, pas d'une mauvaise volonté.
Les risques concrets
Fuite de données : un collaborateur colle du code, une liste clients ou des données financières dans un outil IA public — la donnée échappe à votre contrôle, et peut alimenter l'entraînement d'un modèle tiers.
Angles morts d'identité : des comptes créés sur des outils non gérés, hors de la visibilité de l'IT, souvent avec des mots de passe réutilisés (porte ouverte au credential stuffing).
Intégrations dangereuses : un outil SaaS (ou un plugin IA) relié à votre Google Drive / M365 peut demander des permissions très larges (lecture de tous les fichiers), créant une voie d'exfiltration silencieuse.
Conformité : données personnelles traitées hors cadre (RGPD), voire santé/PII dans des outils sans garanties — exposition légale directe.
Spécificité du Shadow AI : au-delà du SaaS classique, un agent IA traite, apprend et conserve vos données, et peut être détourné (prompt injection). C'est du Shadow IT « qui agit ».
Interdire purement et simplement est contre-productif : ça pousse l'usage encore plus dans l'ombre. Les approches qui marchent combinent visibilité (découvrir l'existant), alternatives officielles (donner un bon outil approuvé) et politique claire.
La méthode en 4 étapes
1. Découvrir. Inventoriez ce qui est réellement utilisé : journaux du pare-feu/proxy, dépenses (notes de frais SaaS), intégrations OAuth connectées à M365/Google, sondage interne sans jugement.
2. Évaluer le risque. Classez chaque outil par sensibilité des données traitées et permissions accordées. Priorité aux outils touchant données réglementées (PII, santé, finance).
3. Encadrer. Pour chaque outil : approuver (et le sécuriser : SSO, MFA), restreindre, ou remplacer par une alternative validée. Bloquez seulement le réellement dangereux.
4. Gouverner. Une politique d'usage simple et connue (dont une charte IA : quelles données peut-on mettre dans quels outils), un processus rapide pour demander un nouvel outil, et une revue régulière.
Le Shadow IT révèle les besoins de vos équipes. Bien géré, il devient une feuille de route plutôt qu'une menace. Cartographier votre Shadow IT/AI et bâtir une politique réaliste, c'est typiquement ce que j'accompagne.