Shadow IT : que faire quand les métiers choisissent leurs propres outils ?

Portée par la démocratisation du télétravail, l’adoption des logiciels SaaS offre aux collaborateurs un ensemble de services en ligne, jusqu’alors inaccessibles.

Appelée communément Shadow IT, cette utilisation de logiciels non approuvés par l’entreprise est perçue par les salariés comme une source d’agilité et de rapidité. Une pratique qui n’est cependant pas sans risques.

Entre fuite de données involontaires et compromission de comptes utilisateurs, cette tendance interroge.

Comment encadrer les nouveaux usages numériques, sans freiner la productivité des équipes ? Pourquoi les collaborateurs choisissent-ils parfois leurs propres outils, en dehors du cadre défini par la DSI ?

Pour le découvrir, les experts Rcarré vous livrent réponses et éclairages dans cet article.

Qu’est-ce que le Shadow IT ?

Le « Shadow IT » peut être défini comme l’utilisation au sein d’une entreprise d’un ensemble d’équipements et de logiciels, sans l’approbation préalable et explicite du service informatique.

L’informatique dite « de l’ombre » implique une perte de visibilité. Les transferts de données sont effectués dans des environnements externes à l’entreprise, hors de tout contrôle.

Si le terme peut sembler inquiétant, il renvoie à des usages quotidiens plus que basiques. Les formes les plus courantes de Shadow IT concernent l’utilisation de solutions de stockage et de partage de fichiers en ligne, les applications de messagerie instantanée (comme WhatsApp ou Messenger) et, dans certains cas, l’utilisation de comptes de stockage personnels sur des services cloud grand public (iCloud de Apple ou Google Drive).

Cette notion concerne également l’utilisation croissante d’outils et d’agents d’intelligence artificielle (agents IA) et l’interaction avec des plateformes de LLM (Large Language Model), comme ChatGPT ou Gemini. Ces usages, lorsqu’ils ne sont pas encadrés par l’entreprise à l’aide d’un LLM privé installé en local, constituent alors une nouvelle variante du concept, appelée le « Shadow AI ».

En quoi le Shadow IT représente-t-il une menace pour la sécurité informatique de votre entreprise ?

Les outils informatiques non approuvés exposent l’entreprise à des risques concrets : fuite de données, violation des clauses de confidentialité et non-conformité réglementaire, a minima concernant le RGPD.

Lorsque votre collaborateur a recours à une solution en ligne gratuite, il ignore souvent le fait que ses données puissent être stockées à l’étranger (problème de souveraineté), revendues à des tiers ou exploitées pour entraîner des modèles d’intelligence artificielle (manque de confidentialité et risque fuite de données). Cette perte de contrôle sur vos flux d’information fragilise votre posture de cybersécurité et peut, à terme, affecter la confiance de vos clients et des partenaires s’ils venaient à être impactés.

Les cas d’usage du Shadow IT sont nombreux, et quotidiens.

Un employé bloqué dans l’envoi d’un email par l’atteinte de la limite de taille du fichier joint, peut choisir d’utiliser un service de partage en ligne pour contourner rapidement le problème.

La modification d’un PDF est un autre exemple courant : un employé rebuté par l’idée de recopier manuellement un grand nombre de documents, préférera recourir à une plateforme en ligne, qui récupère alors vos fichiers avant de les retourner sous la forme d’un document modifiable.

Il en est de même avec les équipes commerciales qui utilisent des outils de signature électronique gratuits par lesquels vont transiter contrats et propositions commerciales.

Enfin, les services communication et marketing, qui font face à une augmentation constante des prix des licences logicielles, sont également tentés par l’usage d’outils gratuits sur lesquels vont transiter des données de l’entreprise.

Cette tendance est d’autant plus dangereuse lorsque le salarié quitte l’entreprise et que les données demeurent pendant des années sur le compte utilisateur vacant.

Quels sont les facteurs qui favorisent le recours au Shadow IT ?

Plusieurs éléments expliquent la montée du Shadow IT dans les entreprises.

Un premier facteur est lié à une forme de pression de la performance, qui pousse les salariés à rechercher des gains d’efficacité et de productivité, en dehors du cadre défini par la DSI. Le salarié est pressé, il doit livrer dans les temps et si l’outil informatique fourni par l’employeur n’a pas la capacité de produire le résultat attendu dans un délai normal, il recherche une solution alternative auprès de logiciels en ligne. Une frustration observée habituellement lorsqu’ils font face à des outils internes jugés obsolètes, trop lents ou mal adaptés aux besoins métiers.

Le manque de communication entre les utilisateurs et les équipes informatiques joue un rôle déterminant. Il est fréquent de constater une méconnaissance de l’existence d’une charte informatique et du règlement intérieur de l’entreprise, qui conduisent certains collaborateurs à ignorer de manière involontaire les règles de sécurité en vigueur.

Enfin, la simplicité d’usage des outils gratuits, pensés pour être rapides et sans friction, favorise leur adoption. À l’inverse, les solutions professionnelles imposées par l’entreprise souffrent parfois d’une ergonomie vieillissante, ce qui rend leur appropriation plus difficile.

Comment lutter contre le Shadow IT en entreprise ?

Pour réduire durablement le Shadow IT, les entreprises doivent conjuguer pédagogie et solutions de surveillance. Il faut comprendre que dans la plupart des cas, les salariés n’agissent pas avec malveillance : ils cherchent avant tout à accomplir leurs tâches, de la manière la plus efficace possible.

Ainsi Rcarré propose une démarche en deux étapes : encadrer et sensibiliser les collaborateurs d’une part, puis surveiller et détecter les comportements à risque de l’autre.

Il est recommandé d’instaurer une culture de la vigilance au sein de votre entreprise. Cela passe par une sensibilisation régulière aux risques liés à l’utilisation d’outils numériques non approuvés.

La mise en place d’une charte informatique, signée par les salariés, est un bon point de départ. Ce document engage chacun à respecter les bonnes pratiques d’utilisation du système d’information et à recourir uniquement aux solutions validées par la DSI. Il est également recommandé de communiquer clairement la liste des logiciels autorisés, et d’établir un processus de validation pour toute nouvelle demande. Ce dialogue doit s’accompagner d’échanges réguliers entre les responsables métiers et les équipes techniques, afin de s’assurer que les solutions déployées répondent réellement aux besoins opérationnels des différentes équipes.

Ce volet pédagogique doit être complété par des mesures techniques, qui consistent à réaliser une cartographie précise des logiciels, flux de données et services utilisés dans l’entreprise, afin d’identifier les zones non supervisées par votre équipe informatique.

L’application d’un filtrage DNS permet ensuite de bloquer l’accès aux plateformes en ligne non autorisées, en en restreignant l’accès de vos salariés à une liste de noms de domaine prédéfinie.

En complément, l’intégration d’une solution de prévention des fuites de données, ou DLP (Data Loss Prevention), aide à surveiller les échanges de données. Ce dispositif détecte par exemple l’insertion de données dans un prompt lors d’une conversation avec un agent IA, ou l’envoi d’un document confidentiel à un destinataire externe.

Concernant l’utilisation de l’intelligence artificielle, une alternative existe : celle des LLM privés, hébergés sur des serveurs souverains et maîtrisés. Les informations partagées demeurent alors dans le périmètre de l’entreprise, ce qui réduit significativement le risque d’exploitation par des tiers.

Enfin, le recours à une solution CASB (Cloud Access Security Broker) apporte une visibilité complète sur l’usage des services en ligne par les collaborateurs et permet de chiffrer au passage les échanges entre l’utilisateur et la plateforme. En combinant la sensibilisation des utilisateurs, la gouvernance des outils et la mise en place de dispositifs techniques de supervision, les entreprises peuvent encadrer les usages numériques non autorisés sans freiner l’innovation.

Rcarré vous accompagne dans la gestion quotidienne de votre informatique d’entreprise.

À l’aide de nos outils logiciels, nos experts détectent les comportements à risque, alertent les utilisateurs et la direction avant que les données ne soient partagées hors de l’entreprise.

Vous souhaitez en savoir plus ? Contactez un expert Rcarré dès maintenant.