Wiz
Tous les articles

Qu’est-ce que le Shadow IT ? Causes, risques et exemples

Équipe d'experts Wiz
Bonnes pratiques de sécurité cloudEssayez Wiz Cloud
Points à retenir concernant le Shadow IT :

  • Le shadow IT se produit lorsque des employés contournent les contrôles de sécurité d’une entreprise pour utiliser des technologies non autorisées et non vérifiées par leur organisation. Une étude de Gartner a ainsi révélé que 41 % des employés ont eu recours au shadow IT en 2022, un chiffre qui devrait atteindre 75 % d'ici 2027.

  • Plusieurs facteurs conduisent au shadow IT. Notamment le manque de transparence dans les processus d’accès aux outils informatiques, le besoin de solutions plus rapides, l'insuffisance des outils fournis par les services IT de l’entreprise et la disponibilité généralisée de services basés sur le cloud.

  • Les risques associés au shadow IT sont par exemple une plus grande surface d'attaque, des violations de données et de conformité réglementaire potentielles et une augmentation des coûts informatiques qui peuvent mettre à rude épreuve la sécurité et les ressources d'une organisation.

  • Si le shadow IT peut encourager l'innovation, stimuler la productivité et permettre de résoudre rapidement certains problèmes, ces avantages se font souvent au détriment de la sécurité et de la gouvernance des données d’une entreprise.

  • Les organisations peuvent lutter contre le shadow IT en adoptant des outils de détection des services cloud, en améliorant la visibilité sur leurs environnements informatiques, en favorisant la collaboration entre équipes IT et métiers, en appliquant des contrôles d'accès stricts et en sensibilisant les employés sur les risques potentiels du shadow IT.

Qu’est-ce que le shadow IT : signification 

Le shadow IT désigne l’utilisation par les employés d’une entreprise de services, d’applications ou de ressources informatiques non autorisés et hors du contrôle du service IT. Or, si ces outils et services échappent à la visibilité et à la gouvernance officielles de l’organisation, ils peuvent potentiellement créer des failles de sécurité et des risques pour la conformité cloud de toute l’organisation.

En outre, le shadow IT peut prendre de nombreuses formes :

  • des services cloud-native IaaS, PaaS ou SaaS non approuvés ;

  • des points de terminaison tels que des ordinateurs, des smartphones ou des tablettes personnels ou non gérés ;

  • des API utilisées sans validation ;

  • des serveurs ou des réseaux non autorisés ;

  • des outils ou matériels « hors ligne » non validés ;

  • des extensions et plugins de navigateur ;

  • des applications téléchargées directement par les équipes.

Selon une étude Gartner, 41 % des employés utilisaient déjà du shadow IT en 2022. Ce chiffre devrait même atteindre 75 % d’ici 2027, porté par la facilité d’accès aux solutions cloud-native et SaaS actuelles.

Les causes du shadow IT

Cependant, le shadow IT n'apparaît pas par hasard. Il résulte souvent d’un mélange de facteurs associant contraintes organisationnelles, besoins opérationnels et évolutions technologiques.

1. Manque de visibilité dans l’approvisionnement IT

Lorsqu’une équipe a besoin d’un outil mais qu’aucun processus clair d’approbation IT n’existe, les collaborateurs peuvent passer outre leur hiérarchie et acheter directement un logiciel ou s’inscrire à un essai gratuit. Or, ces ressources, en opérant hors des contrôles de sécurité et de gouvernance de l’entreprise, deviennent invisibles pour les équipes IT et augmentent ainsi le risque de vulnérabilités aux cyberattaques.

2. Recherche de solutions rapides

Des délais d’approbation perçus comme trop longs peuvent pousser certains employés à adopter, dans l’urgence, des applications non validées par les services IT afin de respecter leurs échéances. En fait, cette volonté de « faire avancer le projet » est même l’un des principaux moteurs du shadow IT.

3. Outils IT jugés insuffisants

Si les solutions fournies par le service IT sont trop complexes ou manquent de fonctionnalités clés, les équipes vont chercher ailleurs des alternatives plus adaptées à leurs besoins. Malheureusement, ces contournements, même bien intentionnés, introduisent souvent des angles morts en matière de sécurité et de conformité cloud.

4. Accès facilité aux services cloud-native

L’essor récent des applications cloud-native et SaaS a grandement facilité le déploiement de nouveaux outils. Aujourd’hui, une simple carte bancaire suffit. Or, si ces solutions séduisent par leur rapidité de mise en service, elles peuvent aussi introduire des vulnérabilités informatiques, ne pas respecter les normes internes de sécurité cloud et exposer les workloads de l’entreprise à des menaces potentielles.

Pourquoi le shadow IT est-il en forte croissance ?

Dans des environnements de travail toujours plus exigeants, les employés cherchent aujourd’hui à optimiser leurs performances au quotidien. Ils s’orientent donc vers des solutions cloud-native facilement disponibles pour gagner du temps et contourner des procédures d’approbation perçues comme trop lourdes.

Ainsi, l’adoption d’outils non contrôlés est devenue monnaie courante et la frustration face à la lenteur des processus IT associée au besoin de gérer rapidement des workloads complexes pousse de plus en plus d’équipes à agir de manière autonome au détriment de la sécurité et de la conformité de toute l’organisation.

Les principaux risques liés au shadow IT

Voici les principaux risques que l’on court en ne maîtrisant pas le shadow IT.

  1. Vulnérabilités et menaces de sécurité : l’usage d’outils non autorisés expose l’organisation aux malwares, à l’exfiltration de données et à des attaques ciblant des ressources non sécurisées.

  2. Surface d’attaque élargie : la prolifération d’applications non approuvées crée des endpoints non surveillés et des connexions non sécurisées offrant plus de points d’entrée potentiels aux acteurs malveillants.

  3. Perte ou fuite de données : le stockage ou le transfert de données sensibles via des services non conformes augmente le risque de violation de données et de fuites de données accidentelles. Par exemple, une équipe peut utiliser une application gratuite de partage de fichiers pour collaborer plus rapidement en plaçant sans le savoir des informations sensibles dans un système qui ne dispose pas de garanties de chiffrement ni de conformité.

  4. Non-conformité réglementaire : les implications du shadow IT en matière de conformité peuvent être tout aussi dommageables que les failles de sécurité elles-même car les entreprises laissant cours au shadow IT peuvent enfreindre des réglementations sans le savoir comme le RGPD, l’HIPAA, la loi CCPA ou la norme PCI DSS, entraînant amendes élevées et sanctions juridiques.

  5. Manque de contrôle et de gouvernance : l’absence de visibilité sur ses environnements IT complique la réponse aux incidents et ouvre la voie à des obstacles à la résolution des problèmes en réduisant la traçabilité des actions entreprises.

  6. Coûts et inefficacités accrues : multiplication de licences, duplication d’outils, dépendances vis-à-vis de fournisseurs non validés, temps d’arrêt potentiels et compromission des données, le shadow IT peut coûter cher sur le long terme.

Les avantages potentiels du shadow IT

Cependant, malgré les risques qu’il comporte, le shadow IT peut aussi générer certains bénéfices lorsque son usage est bien encadré.

  • Accès rapide aux outils : les équipes peuvent adopter immédiatement des solutions vraiment adaptées à leurs besoins.

  • Innovation par expérimentation : tester des technologies émergentes peut révéler des opportunités insoupçonnées pour toute l’entreprise.

  • Productivité accrue : un outil parfaitement aligné sur les besoins d’un service peut fluidifier ses workflows et augmenter sa productivité.

  • Autonomie renforcée : la capacité de trouver et d’utiliser rapidement des solutions de manière indépendante favorise l’efficacité opérationnelle des équipes.

Mais, comme nous l’avons vu, ces bénéfices s’accompagnent de risques majeurs : vulnérabilités de sécurité, non-conformité réglementaire, coûts cachés et complexité accrue de la gouvernance IT.

Exemples de shadow IT

Pour protéger efficacement son organisation, il est essentiel d’identifier les formes les plus courantes de shadow IT. En effet, reconnaître rapidement le shadow IT permet de limiter les risques de sécurité, d’assurer sa conformité réglementaire et de renforcer sa sécurité cloud.

Voici quelques exemples de scénarios fréquents de shadow IT à surveiller.

ExampleDescription
Outils de stockage et de collaboration dans le cloudL’utilisation de services non autorisés comme des solutions de partage de fichiers ou de collaboration dans le cloud peut sembler anodine. Mais, même des applications de fournisseurs réputés peuvent exposer des données sensibles si elles ne sont pas supervisées par le service IT.
Shadow SaaSAvec des milliers d’outils SaaS gratuits ou freemium à portée de clic, il est tentant pour un employé de contourner les procédures d’approbation pour gagner du temps. Par exemple, un comptable peut télécharger un outil de design SaaS non validé pour embellir un rapport. Ainsi, le shadow SaaS est aujourd’hui l’une des formes les plus répandues du shadow IT.
Appareils et applications personnels (BYOD)Le télétravail a multiplié les accès aux ressources d’entreprise depuis des ordinateurs et smartphones personnels. Or, si ces appareils ne sont pas sécurisés ou si des applications non approuvées y sont installées, ils peuvent devenir des points d’entrée majeurs pour les cybermenaces.
Abonnements à des logiciels externes oubliésSouscrire à un logiciel pour un projet ponctuel… et l’oublier. Ces services fantômes inactifs ou non suivis peuvent générer des coûts cachés et accroître la surface d’attaque potentielle des cybermenaces.
Outils de développement non validésBibliothèques open source, frameworks ou utilitaires téléchargés sans validation IT : même s’ils accélèrent le travail des équipes dev, ils peuvent introduire des failles de sécurité et compliquer la gouvernance du code.

Bonnes pratiques pour prévenir le shadow IT

Le shadow IT n’est pas une fatalité. Avec la bonne combinaison d’outils, de processus et de sensibilisation, il est possible de réduire drastiquement son impact sur la sécurité et la conformité cloud d’une entreprise.

Pour éviter le shadow IT, il est donc fortement recommandé de mettre en place les douze bonnes pratiques suivantes.

1. Maximiser la visibilité de ses ressources

An example of the level of visibility needed for a cloud service and technology inventory

Pour réduire le shadow IT, il est d’abord essentiel de surveiller l’utilisation de ses ressources cloud, applications, systèmes d’exploitation, terminaux mobiles, code et packages. Cette visibilité totale permet de repérer rapidement tout outil non approuvé, de renforcer sa posture de sécurité, d’améliorer sa conformité cloud et de maîtriser ses dépenses. En outre, une vue unifiée facilite aussi l’optimisation de ses workloads et supprime tout doublon technologique.

2. Automatiser la détection des services cloud

An example detection of a newly introduced cloud service to an environment

Le shadow IT prospère souvent grâce aux services cloud déployés sans validation. Mais, en automatisant la détection de ces services, vous pouvez identifier en quelques secondes toutes les nouvelles machines virtuelles, bases de données, conteneurs ou PaaS ajoutés à votre environnement. Grâce à un bon mappage visuel et des rapports en temps réel, vous pouvez ensuite agir rapidement, éliminer les ressources non conformes à votre posture de sécurité et garantir que tout nouvel outil respecte vos politiques de sécurité cloud.

3. Définir des politiques de sécurité personnalisées

Une politique générique n’est généralement pas suffisante pour lutter contre le shadow IT. Mais, en créant des règles sur mesure alignées sur vos objectifs métiers et vos contraintes réglementaires, vous pouvez encadrer au mieux les usages technologiques dans votre organisation tout en restant agile. Ces politiques de sécurité doivent donc préciser les outils autorisés, les procédures de validation et les sanctions en cas de non-respect des règles afin d’éviter les déploiements non contrôlés dans vos environnements cloud.

4. Déployer une solution de gestion des appareils mobiles (MDM)

Le shadow IT se nourrit souvent de l’usage d’applications sur des terminaux non sécurisés. Une solution de gestion des appareils mobiles (MDM) permet donc de contrôler les installations effectuées, de bloquer les applications non autorisées et de centraliser les systèmes d’authentification unique (SSO). En outre, elle s’applique aux appareils de l’entreprise comme aux terminaux personnels (BYOD) limitant ainsi les risques d’accès non conformes et d’abonnements à des services externes via des comptes personnels.

5. Éliminer le code fantôme

Le code fantôme, souvent issu de bibliothèques ou de frameworks open source non validés, expose l’entreprise à des failles de sécurité et au vol de données. Mais, en intégrant des tests de sécurité statique des applications (SAST), des tests dynamiques de sécurité des applications (DAST) et des tests de sécurité interactifs des applications (IAST) dans votre pipeline, vous pouvez détecter ces risques avant tout déploiement. En effet, seul le code autorisé et vérifié rejoint alors vos dépôts Git, renforçant la conformité réglementaire et évitant les inefficacités opérationnelles dues à un shadow IT invisible.

6. Appliquer des contrôles d’accès stricts

An example of an AWS excessive access detection

Le shadow IT s’installe facilement lorsque les droits d’accès sont mal encadrés. Mais, en définissant précisément des droits d’accès pour chaque utilisateur, application et ressource cloud, il est possible de limiter les installations de services non autorisés. Ainsi, ces contrôles doivent être centralisés, intégrés dans les processus IT et audités régulièrement pour garantir que seules les personnes habilitées peuvent mettre en service de nouveaux outils ou services cloud.

7. Automatiser les alertes en temps réel

Example alert for an unreviewed/unwanted cloud service

Pour contrer le shadow IT, la réactivité est clé. Mais, en automatisant les alertes sur les violations de politiques et les comportements anormaux, vous pouvez détecter les incidents dès leur apparition. Ces notifications permettent d’intervenir rapidement pour supprimer un service non autorisé, limiter les risques d’exposition de données et réduire l’impact d’un incident sur la conformité et la sécurité cloud.

8. Former les employés aux risques du shadow IT

Le shadow IT résulte pour partie d’une méconnaissance des risques encourus et d’un manque d’outils adaptés. Mais, en organisant des formations régulières, vous pouvez sensibiliser vos équipes aux dangers liés à l’utilisation de solutions non autorisées et leur montrer comment demander des alternatives validées. Ainsi, cette culture de sécurité réduit l’adoption d’outils hors contrôle IT et favorise la collaboration proactive avec les équipes techniques.

9. Fournir un catalogue de services approuvés

Un catalogue IT clair et à jour réduit la tentation de recourir au shadow IT. En listant les applications, logiciels et services validés par votre organisation, vous facilitez l’accès des employés à des solutions conformes et sécurisées. Ce catalogue peut également être accompagné de fiches explicatives, de processus de demande de nouveaux outils et d’un suivi des licences, évitant ainsi les installations non contrôlées.

10. Encourager la collaboration IT / métiers

La prévention du shadow IT passe par une communication fluide entre les équipes IT et les autres services de l’entreprise. En effet, ce n’est qu’en comprenant réellement les besoins spécifiques de chaque métier que le service IT peut proposer des outils adaptés, réduisant la tentation d’utiliser des solutions non autorisées. En outre, cette approche collaborative améliore l’efficacité de toute l’organisation, renforce la sécurité de l'entreprise et assure que les nouvelles solutions respectent bien les standards cloud.

11. Effectuer des audits réguliers des environnements IT

Un audit fréquent permet d’identifier rapidement les applications et services non autorisés. Ainsi, en analysant les ressources cloud, les abonnements SaaS et les déploiements locaux, vous pouvez détecter efficacement tous les signaux de shadow IT. Ces audits facilitent également la mise à jour des politiques de sécurité, garantissant que tous les outils utilisés répondent bien aux normes internes et réglementaires de l’entreprise.

12. Réagir rapidement aux incidents de shadow IT

Face à un cas détecté de shadow IT, la rapidité d’action est déterminante. Les équipes IT doivent donc pouvoir suivre un protocole clair : suppression immédiate de l’outil non autorisé, analyse des risques et mise à disposition d’une alternative validée. Cette réactivité réduit les menaces potentielles sur la sécurité cloud, protège les données sensibles et évite les interruptions opérationnelles.

Découvrez les applications du shadow IT dans votre environnement

Pour reprendre le contrôle sur le shadow IT, tout commence par un inventaire complet de son environnement cloud et de toutes ses applications. Cependant, cartographier chaque service non autorisé a longtemps été un processus notoirement long et complexe.

Mais, plus aujourd’hui. Dorénavant, avec Wiz vous pouvez :

  • détecter automatiquement tous les services cloud connectés à votre environnement, y compris les applications SaaS fantômes ;

  • visualiser vos ressources non autorisées et leurs interconnexions ;

  • évaluer les risques de sécurité encourus et prioriser les actions correctives.

Demandez une démo de Wiz et offrez à vos équipes une visibilité totale sur son environnement informatique, une sécurité cloud renforcée et une gouvernance simplifiée, le tout à la vitesse du cloud.

Shine a Light on Shadow IT

Learn how Wiz offers visibility into what cloud resources, applications, operating systems, and packages exist in your environment in minutes.

Pour plus d’informations sur la façon dont Wiz traite vos données personnelles, veuillez consulter notre Politique de confidentialité.

FAQ sur le shadow IT