À mesure que les entreprises accélèrent leur transformation numérique, un phénomène discret mais massif s’installe dans les organisations.
Derrière des usages parfois anodins, une informatique parallèle se développe, souvent sans validation ni supervision. Ce décalage entre les besoins métiers et la gouvernance IT alimente aujourd’hui de nouvelles tensions autour de la sécurité, de la conformité et de la maîtrise des données…
Le Shadow IT, symptôme d’une agilité mal encadrée
Le Shadow IT désigne l’ensemble des outils numériques utilisés en dehors du cadre défini par la direction des systèmes d’information dans une entreprise.
📩 L’actu digitale évolue vite. Restez à jour.
Recevez la newsletter quotidienne, gratuitement.
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Entre les applications SaaS, les services cloud, les solutions collaboratives ou encore les outils d’IA générative, leur adoption est le plus souvent motivée par un besoin d’efficacité immédiate. Selon un rapport de Netskope, 97% des applications cloud utilisées en entreprise ne sont pas connues ou validées par la DSI.
Une surface d’attaque qui s’étend bien au delà de l’entreprise…
Le risque ne se limite plus aux usages internes, et les récents travaux de Bitsight montrent que le Shadow IT concerne aussi les prestataires et leurs propres fournisseurs.
On parle alors de Shadow IT de troisième et quatrième niveau, avec par exemple des landing pages créées pour des campagnes marketing, des environnements de test avec des données réelles, ou encore des sous-domaines délégués à des partenaires externes.
Ces actifs, souvent oubliés, restent visibles pour les attaquants. Bitsight estime que plus de 230 millions d’expositions à des vulnérabilités ont été identifiées aux États-Unis, en grande partie sur des actifs non suivis.
Avec l’augmentation continue des failles de sécurité recensées chaque année, le manque de visibilité devient un angle mort préoccupant pour les équipes IT et sécurité…
IA générative, données sensibles et enjeux de souveraineté…
Comme on pouvait l’imaginer, l’essor des outils d’IA générative accentue encore le phénomène. ChatGPT, Notion AI ou Otter.ai sont massivement adoptés par les collaborateurs, souvent sans réflexion sur l’hébergement des données ou leur exploitation.
Une grande partie de ces services étant opérée hors de l’Union européenne, cela expose les entreprises à des cadres juridiques extraterritoriaux comme le Cloud Act.
Face à cette situation, certaines organisations cherchent à reprendre la main en proposant des alternatives encadrées, avec des solutions d’IA hébergées en France et basées sur des modèles open source. En 2026, l’enjeu ne sera plus de bloquer les initiatives, mais de canaliser l’innovation.
Et dans cette situation, le Shadow IT agit comme un révélateur qui met en lumière les limites des processus traditionnels…