Juillet 2026

Le Shadow IT : causes, risques et solutions DLP

Shadow IT

Shadow IT. Ça fait peur, non ? Pourtant, ce qui est vraiment inquiétant, c’est la raison pour laquelle les salariés utilisent des appareils, des applications ou des logiciels non autorisés : la lenteur des procédures de validation.

Le Shadow IT, ou « Informatique fantôme », survient lorsque les procédures de l’entreprise évoluent plus lentement que le rythme réellement imposé par le travail. Les collaborateurs n’essaient pas d’enfreindre les règles ; ils cherchent simplement à respecter un délai, à finaliser une vente ou à partager un fichier, trop volumineux pour être traité par un outil autorisé. Néanmoins, ces décisions, même involontaires, peuvent faire courir d’énormes risques aux organisations.

Dans cet article, nous allons examiner les causes du Shadow IT et les raisons pour lesquelles ce phénomène est devenu un risque majeur. On vous propose ensuite une approche pratique en trois étapes pour y remédier durablement, et l’intérêt d’une solution DLP comme outil de prévention contre la perte de données.

Qu’est-ce que le Shadow IT, en quoi pose-t-il problème ?

Le Shadow IT désigne toutes les technologies (applications, logiciels, appareils, outils d’IA et services cloud) que les collaborateurs utilisent dans le cadre de leur travail à l’insu ou sans l’accord du service informatique. Et ce phénomène est en plein essor : selon Gartner, 75 % des employés vont acquérir ou modifier des technologies hors du champ de vision officiel du service IT d’ici 2027.

Si l’IT n’a pas connaissance de l’existence de cette « informatique fantôme », impossible de contrôler les informations partagées ou les privilèges accordés aux applications et outils. Voilà pourquoi l’usage du Shadow IT est particulièrement vulnérable aux cyberattaques.

Dans la plupart des cas, le Shadow IT n’est pas utilisé à des fins malveillantes : les utilisateurs cherchent simplement des moyens de mieux faire leur travail et plus rapidement. Mais souvent, ces décisions privilégient la rapidité au détriment de la sécurité, créant ainsi des risques imprévus qui peuvent menacer l’ensemble de l’organisation.

Imaginez le scénario suivant : vous devez partager un fichier vidéo de 400 Mo avec un client, mais la limite autorisée par votre entreprise pour le partage de fichiers est fixée à 25 Mo. Le client doit prendre une décision dès demain, et le service IT met au moins deux semaines à répondre. Il est plus simple d’utiliser WeTransfer que d’attendre une autorisation officielle. Et voilà comment le Shadow IT s’infiltre dans votre flux de travail.

Le Shadow IT ne résulte pas uniquement du non-respect des règles par les collaborateurs. Cela vient aussi de politiques et de systèmes trop rigides, trop lents ou trop déconnectés des réalités du terrain. Et ces lacunes ont des conséquences graves : des études montrent qu’environ 11 % de tous les incidents cybers sont dus au Shadow IT.

En parlant de réalité du terrain, avez-vous consulté notre checklist pratique sur la cybersécurité ? Téléchargez-la gratuitement ici.

15 règles d’or cyber pour les employés
15 règles d’or cyber pour les employés

Histoires vraies de Shadow IT : ce qui a mal tourné

Avant de voir pourquoi le Shadow IT est en plein essor, passons en revue quelques situations courantes de Shadow IT, et des incidents qui se sont réellement produits pour les entreprises concernées.

L’ordinateur portable personnel

Scénario : Un membre de votre équipe doit télétravailler pendant quelques jours, mais il a oublié son PC au bureau il utilise donc son propre ordinateur.

Exemple réel : En 2025, Nikkei a exposé les données sensibles de 17 000 clients après qu’un salarié se soit connecté à Slack depuis son ordinateur personnel, infecté par un malware.

La cellule de crise sur WhatsApp

Scénario : Une équipe opérationnelle décide qu’il est bien plus simple de se coordonner via leurs téléphones personnels, car l’outil de communication officiel exige trois autorisations distinctes rien que pour ajouter un contact, et personne n’a envie de s’embêter avec ça.

Exemple réel : Plus d’une douzaine de grandes banques ont été condamnées à des amendes dépassant 2 milliards de dollars en 2022, en partie parce que leur personnel utilisait WhatsApp et d’autres plateformes de messagerie non autorisées pour leurs activités professionnelles, sur lesquelles les entreprises et les autorités de régulation ne contrôlaient rien.

Le tableau de bord clandestin sur Trello

Scénario : Un projet est géré via un compte Trello gratuit, car l’outil de gestion de projet de l’entreprise met des semaines à accorder un accès, et les budgets sont serrés.

Exemple réel : En 2016, un comité des Nations Unies a divulgué les identifiants d’un serveur de fichiers interne via des tableaux Trello mal configurés et accessibles à tous, que le service sécurité ne surveillait pas.

La pile d’IA « fantôme »

Scénario : Plusieurs collaborateurs font transiter des données sensibles par des versions publiques de ChatGPT, Claude ou Gemini, faute d’outil d’IA interne approuvé.

Exemple réel : Samsung a interdit ChatGPT en 2023, après que des employés eurent copié-collé du code source sensible dans une version open source de l’outil, ce code venant potentiellement alimenter les données d’entraînement du modèle.

La faille des montres connectées

Scénario : Une agence gouvernementale applique une politique stricte concernant l’utilisation d’appareils officiels dotés du Wi-Fi ou du Bluetooth dans des environnements de bureau sécurisés où sont traitées des informations hautement sensibles, mais autorise le personnel à porter des montres connectées non sécurisées.

Exemple réel : En 2025, des chercheurs ont démontré qu’il était possible de voler des données dans des environnements sécurisés isolés du réseau (« air-gapped ») en piratant des montres connectées.

Tous ces exemples suivent le même schéma : un besoin métier réel comblé par l’outil le plus rapide disponible, sans qu’aucune équipe sécurité ne soit informée, créant un risque de fuites de données involontaires, d’exfiltration et d’autres attaques.

Voyons pourquoi de plus en plus de personnes utilisent des outils non autorisés.

Pourquoi le Shadow IT explose (indice : ce n’est pas dû qu’au télétravail)

Le développement du Shadow IT au cours de la dernière décennie s’explique par plusieurs facteurs récurrents :

  • Le processus d’autorisation est défaillant. Les utilisateurs attendent souvent des semaines pour que l’IT approuve des outils qu’ils peuvent adopter seuls en trente secondes.
  • Il y a un manque de sensibilisation. Les utilisateurs ne comprennent pas toujours qu’il existe des règles concernant les appareils, logiciels ou applications à utiliser dans le cadre professionnel. De même, ils ne réalisent pas toujours comment ces outils peuvent se retourner contre eux, ou contre leur entreprise.
  • La technologie grand public a dépassé la technologie d’entreprise en matière d’expérience utilisateur. La version gratuite d’un outil est souvent bien mieux conçue, et plus facile à utiliser que ce que propose le service IT.
  • Le marché évolue plus vite que les procédures officielles. Si un prospect important insiste pour échanger sur WhatsApp afin d’aller plus vite, et qu’un jour de retard risque de mettre fin à la négociation, le commercial acceptera de répondre à un appel sur cette plateforme non sécurisée.
  • La variable IA. L’IA fantôme accélère tout : ChatGPT, les plugins Copilot et les extensions de navigateur sont utilisés dans des services dont le service IT n’a jamais entendu parler, et impliquent souvent des données sensibles qui y transitent directement.

Lire aussi : Le smishing : la nouvelle menace pour les RSSI

Les risques liés au Shadow IT : bien plus qu’un problème de gestion informatique

Alors, quels sont concrètement les risques liés au Shadow IT ?

  • Risques de sécurité : les outils non autorisés ne sont pas soumis à des contrôles de sécurité. Pas de MFA, pas de gestion des correctifs ou encore pas de visibilité pour l’équipe sécurité. Les organisations sont donc exposées à des risques de fuites de données, de logiciels malveillants et autres menaces.
  • Risques de non-conformité : les réglementations, telles que le RGPD, l’HIPAA ou la norme PCI DSS sont régulièrement enfreintes par des outils de Shadow IT. Ces derniers ne respectent pas les exigences en matière de localisation ou de traitement des données, et, bien souvent, personne ne s’en aperçoit avant qu’il ne soit trop tard.
  • Une surface d’attaque invisible : on ne peut pas protéger ce que l'on ne voit pas. Les équipes sécurité qui travaillent à partir d'un inventaire des actifs incomplet avancent en réalité à l'aveugle, en particulier lorsqu'il s'agit de partages non autorisés de fichiers via des outils totalement absents du radar de l'IT.
  • Silos de données et perte de savoir-faire interne : lorsqu’un collaborateur a créé une base Airtable non officielle et quitte l’entreprise, les données et les connaissances de leur structure disparaissent avec lui.
  • Nouveaux canaux pour l’ingénierie sociale : si les collaborateurs utilisent une plateforme, il y a de fortes chances que les cyberattaquants l’utilisent aussi. Et comme les équipes sécurité n’y ont aucune visibilité, les tentatives d’ingénierie sociale ont davantage de chances de réussir.

Malheureusement, ces risques sont plus répandus qu’on ne le pense : selon Netskope, pas moins de 97 % des applications cloud utilisées au sein des grandes entreprises ne sont pas gérées par une équipe IT ou sécurité centralisée. Ce chiffre à lui seul devrait amener la plupart des dirigeants à revoir leur évaluation des risques réels.

L’IA fantôme : la plus grande menace de toutes ?

L’IA fantôme, qui désigne l’utilisation par les salariés de versions publiques d’outils d’IA générative, tels que ChatGPT, Claude, Gemini, Perplexity et les extensions de navigateur basées sur l’IA, sans l’accord du service IT ou Sécurité, est sans doute la catégorie de risque de Shadow IT qui évolue le plus rapidement et qui est la moins bien comprise.

Le risque est réel. Les résultats générés par ces outils peuvent contenir de la propriété intellectuelle et des données sensibles de l’entreprise, qui finissent par alimenter les modèles d’entraînement ou par rester stockées indéfiniment sur des serveurs tiers. Voici un scénario courant : un développeur colle du code source propriétaire dans un assistant IA pour l’aider à le déboguer. Ce code est désormais potentiellement stocké dans un système tiers et pourrait être reproduit en partie ailleurs.

Se contenter d’interdire les outils d’IA ne fonctionne pas, car cela ne fait que pousser leur utilisation clandestine, où elle est plus difficile à détecter et à contrôler. La vraie solution est de prendre les devants en utilisant des outils d’IA approuvés : elles bénéficient à la fois des gains de productivité et des contrôles de sécurité, plutôt que d’avoir à choisir entre les deux.

Lire aussi : Cybermois 2025 : 5 menaces liées à l’IA et nos conseils pour y faire face

Identifier, simplifier, résoudre : 3 étapes pour en finir avec le Shadow IT

Le Shadow IT peut sembler impossible à résoudre, alors que ce n’est pas le cas. Voici notre approche pratique en trois étapes pour identifier le Shadow IT et l’éliminer définitivement.

Étape 1 : Identifier le problème pour avoir de la visibilité

On ne peut pas résoudre ce que l’on ne voit pas, donc la première étape est de repérer le Shadow IT : cartographier l’ampleur et le périmètre réels du problème au sein de votre organisation.

  • Déployez un Cloud Access Security Broker (CASB) pour identifier ce qui s’exécute réellement sur votre réseau.
  • Vérifiez les autorisations OAuth. La plupart des équipes sécurité sont souvent choquées de découvrir ce que les utilisateurs ont autorisé au fil du temps, qu’il s’agisse d’autorisations trop larges ou d’accès accordés à des outils pilotes abandonnés depuis longtemps.
  • Vérifiez les notes de frais. Le fait que des collaborateurs déclarent des abonnements SaaS dans leurs notes de frais est l’un des signes les plus évidents de Shadow IT, et ces informations sont souvent déjà visibles dans votre système financier.
  • Utilisez un bon outil de prévention des pertes de données (DLP) pour suivre et cartographier les pratiques de partage de fichiers, y compris celles qui pourraient déroger à votre politique officielle d’utilisation des données.

Étape 2 : Simplifier en revoyant les procédures et les politiques

Une fois que vous avez cerné l’ampleur du problème, l’étape suivante consiste à vous attaquer au Shadow IT : combler les lacunes dans les procédures qui ont conduit, au départ, à l’utilisation d’outils non approuvés.

  • Créez une procédure d’autorisation « accélérée » pour les outils à faible risque, avec un délai cible de 48 heures au lieu de plusieurs semaines.
  • Organisez une « amnestie Shadow IT ». Invitez vos équipes à dire ouvertement quels outils ils utilisent réellement, sans craindre de sanctions ni de répercussions négatives.
  • Discutez directement avec vos collaborateurs pour comprendre pourquoi ils utilisent ces outils. Cela révèle presque toujours une lacune dans votre offre d’outils approuvés, ou un point de frustration dans la demande d’autorisation.
  • Révisez votre politique d’utilisation acceptable et évaluez ce qui reste pertinent, ce qui doit être ajusté, et comment vous assurer que vos équipes la comprennent bien.

Étape 3 : Résoudre en créant une culture où l’IT est un allié, et non un obstacle

C’est ici que le travail de fond sur la politique Shadow IT prend tout son sens : bâtir une culture collaborative où l’IT ne représente pas un frein, mais un véritable levier pour les collaborateurs.

  • Tout d’abord, trouvez la bonne formation de sensibilisation à la sécurité, afin de présenter le Shadow IT comme un risque partagé plutôt que comme une simple violation des règles.
  • Proposez des alternatives approuvées qui soient efficaces. Si, en 2026, votre outil de partage de fichiers limite encore les téléchargements à 25 Mo, c’est à l’IT de corriger cela, et non aux utilisateurs de contourner le problème.
  • Choisissez un environnement d’IA approuvé, avec une version privée sécurisée, avant que les collaborateurs n’en trouvent un eux-mêmes.
  • Combinez tout cela avec un outil ESPM (Employee Security Posture Management), pour surveiller de manière proactive les comportements à risque liés aux autorisations d’appareils et au partage de données.

Et rappelez-vous : votre objectif n’est pas d’éliminer totalement le Shadow IT, ce ne serait pas réaliste. L’objectif est d’éliminer le zéro Shadow IT inconnu, et, avec ces étapes, vous allez y arriver.

Mais tout cela ne sert à rien si vous ne pouvez pas détecter les fuites de données en premier lieu, et c’est là qu’intervient le DLP.

Choisissez un outil DLP capable d’anticiper les risques liés au Shadow IT

Un bon outil DLP signale les données sensibles transmises à des applications non autorisées (messagerie personnelle, stockage cloud non autorisé, destinations non sanctionnées), transformant ainsi le Shadow IT d’un problème invisible en un problème sur lequel vous pouvez agir. Avec le développement des solutions SaaS dans tous les services, les solutions DLP cloud ne sont pas un atout supplémentaire : c’est un outil essentiel de contrôle du Shadow IT.

Mais la solution DLP traite le symptôme, pas la cause, et ne fonctionne que sur les données qu’elle peut voir. Certains outils DLP peinent à couvrir les appareils non gérés, le trafic chiffré, ainsi que les outils SaaS ou d’IA fantômes, dans lesquels des données sont saisies dans une interface de commande plutôt que transmises sous forme de fichier.

C’est pourquoi le choix de l’outil DLP est important. Vous avez besoin d’une solution DLP SaaS qui couvre les plateformes que votre organisation utilise réellement, avec une DLP pour Google Drive et une DLP pour Microsoft, puisque c’est là que se concentrent la majeure partie du travail collaboratif, et la majeure partie des transferts accidentels de données.

Chez Riot, nous comprenons ces besoins, car nous sommes nous-mêmes passés par là. C’est pourquoi nous avons développé Sonar : pour aider les équipes à gérer le partage de données avec leurs partenaires et sur les plateformes cloud, et détecter les vulnérabilités avant qu’ils ne se transforment en incident.

Avant de conclure, jetons un œil à ce que vous devriez inclure dans votre politique d’utilisation acceptable.

Quels éléments essentiels inclure dans votre politique d’utilisation acceptable ?

Une politique forte en matière de Shadow IT, d’utilisation acceptable, ou de sécurité de l’information doit prévoir les points suivants :

  • Une définition claire de ce qui nécessite une autorisation ou non.
  • Une procédure de demande accélérée.
  • Une répartition claire des responsabilités entre salariés et service IT.
  • Des sanctions en cas de non-respect, mais avec des mesures d’amnistie.
  • Des consignes précises concernant les outils d’IA et les appareils personnels.
  • Des directives pour effectuer des audits de sécurité réguliers – de préférence tous les trimestres, et non une fois par an.

En mettant en place une politique interne adéquate, vous donnez à vos équipes la clarté nécessaire pour comprendre les risques réels liés au Shadow IT et aux appareils non approuvés.

La véritable clé pour résoudre le problème du Shadow IT ? Devenez un coach, pas un flic

Pour finir, un petit rappel : c’est dans les services IT les plus stricts que l’on trouve le plus de Shadow IT.

Cela ne veut pas dire qu’il ne faut pas du tout chercher à surveiller le Shadow IT. Mais plutôt que de contrôler les équipes, mieux vaut chercher à les accompagner pour qu’elles s’améliorent. Le Shadow IT ne disparaîtra jamais complètement, et honnêtement, ce n’est pas souhaitable. Les collaborateurs suffisamment ingénieux pour trouver leurs propres solutions à des problèmes concrets sont précieux, mais ils ont besoin de quelques garde-fous.

Les organisations qui parviennent à rendre le Shadow IT beaucoup moins effrayant sont celles qui rendent la procédure officielle si rapide et si simple que contourner les règles n’a tout simplement plus lieu d’être. Mais pour y parvenir, il faut sensibiliser aux risques et investir dans les bons outils de travail.

Pour renforcer la sensibilisation de votre équipe aux risques du Shadow IT et réduire votre exposition grâce à la bonne solution DLP, venez échanger avec l’un de nos experts.

FAQ

  1. Qu’est-ce que le Shadow IT ? Le Shadow IT désigne toutes les technologies (applications, logiciels, appareils, outils d’IA et services cloud) que les collaborateurs utilisent dans le cadre de leur travail à l’insu ou sans l’accord du service informatique.
  2. Pourquoi le Shadow IT est-il si risqué ? Il crée des failles de sécurité, des problèmes de conformité, et une surface d’attaque que les équipes sécurité ne peuvent ni voir ni gérer, car les outils non autorisés échappent aux vérifications et aux contrôles habituels.
  3. Comment les attaquants peuvent-ils exploiter le Shadow IT contre nous ? Les attaquants ciblent les canaux et applications non officiels que les collaborateurs utilisent déjà, sachant que ces outils échappent à la visibilité des équipes sécurité.
  4. Comment limiter les risques liés au Shadow IT ? Commencez par obtenir de la visibilité (détection et audit), simplifiez votre politique et votre procédure d’autorisation, et instaurez une culture dans laquelle les processus informatiques ne constituent pas un obstacle.
  5. Qu’en est-il de l’IA fantôme ? L’IA fantôme est actuellement la catégorie de Shadow IT qui connaît la croissance la plus rapide et présente le plus de risques, car des données sensibles et de propriété intellectuelle sont saisies directement dans des prompts, sans aucun contrôle.
  6. Comment la DLP peut-elle aider ? Un outil de prévention contre la perte de données (DLP) vous offre de la visibilité sur les transferts de données sensibles, transformant ainsi le Shadow IT d’un problème invisible en un problème sur lequel vous pouvez agir.