Quand vos collaborateurs installent ou utilisent des services sans passer par la DSI, l’entreprise s’expose à des usages invisibles. Ces usages menacent les données sensibles et compliquent la gouvernance. Il reste possible de repérer ces « applications fantômes » avant qu’elles ne provoquent une fuite.

5 % des brèches impliquent des « shadow data », c’est‑à‑dire des données stockées hors des systèmes gérés et connues de la DSI - ©Photon photo / Shutterstock
5 % des brèches impliquent des « shadow data », c’est‑à‑dire des données stockées hors des systèmes gérés et connues de la DSI - ©Photon photo / Shutterstock
Proton Business SuiteProton Business Suite
8.7/10

Offre partenaire

Des solutions simples et chiffrées pour protéger votre entreprise

Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.

Essayer Proton Business Suite gratuitement !

Offre partenaire

Vous l’ignorez peut‑être, mais au sein de votre organisation vos collaborateurs utilisent des services et des applications sans en avertir le service informatique. Ils cherchent de l’efficacité, une réponse rapide à un besoin ou une compatibilité avec un partenaire. Ces choix personnels entraînent pourtant des risques concrets pour la sécurité des données, la conformité et la continuité des opérations.

Les définitions les plus récentes parlent d’informatique fantôme ou shadow IT, et elles donnent corps à ce concept en le liant à des usages largement diffusés, souvent hors de tout contrôle. Ces usages concernent non seulement les services cloud mais encore les applications mobiles, les logiciels installés sur des postes de travail et même certaines solutions internes lancées sans validation.

Vous ne voyez peut‑être pas tout ce qui circule dans votre informatique

Vous avez sans doute mis en place des outils validés et sécurisé un périmètre digital. Pourtant, vos collaborateurs peuvent contourner ce cadre.

Par exemple, ils ouvrent un espace cloud personnel pour partager un fichier avec un partenaire. Ou bien ils recourent à une application de visioconférence non approuvée. Ils peuvent également vouloir tester un outil de prise de notes accessible en ligne, ou un logiciel externe pour accélérer un processus interne.

Ce recours à des outils hors contrôle entre dans ce que l’on nomme « shadow IT » ou informatique fantôme. Sous cette expression, on regroupe tout ce qui fonctionne en dehors des systèmes validés par la DSI.

Quand ces usages restent isolés à un collaborateur, le risque paraît faible. Mais dès qu’ils se multiplient, qu’ils se diffusent dans différents services, l’entreprise construit un écosystème parallèle. Les outils validés coexistent avec des services non surveillés.

Ce double système fragilise l’inventaire logiciel et éloigne toute traçabilité fiable. Selon le « Cloud and Threat Report » publié par Netskope en 2021, 97 % des applications cloud utilisées en entreprise ne sont pas régies par la DSI, autrement dit qu’elles relèvent du shadow IT . Cela signifie que presque tout ce qui transite vers le cloud dans une entreprise peut échapper au contrôle informatique, qu’il s’agisse de messageries, d’outils de collaboration ou de plateformes spécialisées.

Vous pouvez rencontrer des exemples très variés : un commercial qui partage un fichier client via un drive personnel, un ingénieur qui envoie un prototype sur un service gratuit pour le tester, un chef de projet qui communique des rapports internes à un partenaire via une plateforme non approuvée. Ces usages isolés peuvent sembler anodins, mais cumulés ils élargissent la surface d’exposition importante et souvent invisible.

Vos données sensibles peuvent se retrouver exposées sans que vous le sachiez

En dehors de l'aspect technique, vous traitez probablement des données critiques dans votre entreprise : fichiers clients, contrats, projets de développement, échanges internes liés à la sécurité, propriété intellectuelle. Si l’un de ces éléments transite via un service non audité, vous perdez toute visibilité sur qui y accède, où les données sont stockées, et quelles garanties techniques s’appliquent. Une simple plate‑forme gratuite ou un cloud grand public peuvent offrir des garanties moindres que les solutions validées. Les données sont alors livrées à elles-mêmes et comme elles sont précieuses, peuvent attirer les convoitises de pirates.

L’usage non contrôlé d’applications hors cadre peut aussi compliquer le respect des obligations légales. Si des données personnelles circulent sur des services non validés ou hébergés hors de votre juridiction, l’entreprise peut se retrouver en situation de non‑conformité, notamment avec le RGPD, avec des conséquences juridiques.

Dans un environnement hybride, favorisé par la pandémie de Covid-19, — télétravail, mobilité, postes personnels — la dispersion des terminaux et des réseaux complique la surveillance et augmente la surface de vulnérabilité. La gestion des droits d’accès et la traçabilité deviennent plus difficiles. IBM indique que 35 % des brèches impliquent des « shadow data », c’est‑à‑dire des données stockées hors des systèmes gérés et connues de la DSI, soit un facteur de risque supplémentaire.

AEn discutant avec les métiers, vous identifiez les besoins qui ont conduit à l’adoption d’outils tiers - ©Tirachard Kumtanom / Shutterstock

Comment identifier les usages non autorisés dans votre organisation

Vous ne pouvez pas protéger ce que vous ne voyez pas.

Pour reprendre la main sur votre environnement numérique, commencez par surveiller le trafic sortant. Des outils de supervision cloud permettent de repérer les connexions vers des services externes non répertoriés dans le catalogue officiel. Cette analyse montre concrètement quels services sont utilisés et sur quelles machines.

Pour donner plus de corps avec l'aspect technique, n'hésitez pas à instaurer un dialogue direct avec vos équipes. En discutant avec les métiers, vous identifiez les besoins qui ont conduit à l’adoption d’outils tiers. Cela peut être un format de fichier non pris en charge, un test urgent avec un partenaire, ou une fonctionnalité spécifique manquante dans l’outil interne. Comprendre ces motivations permet de prendre des mesures adaptées sans freiner la productivité.

À partir de ces observations, vous pouvez créer une cartographie des applications réellement utilisées, associée à la sensibilité des données manipulées et au niveau de risque. Cette cartographie permet de prioriser les actions : identifier les applications critiques non validées, vérifier les données transitant par ces services, et décider des mesures de correction.

Que faire pour limiter les risques liés au shadow IT

Pour réduire les usages hors contrôle sans freiner l’agilité, vous pouvez mettre en place un catalogue d’applications validées, facilement accessible. Les équipes consultent d’abord ce catalogue avant de chercher ailleurs. Cela permet d’encadrer l’adoption d’outils et de formaliser les processus d’approbation.

Pour limiter les installations non autorisées, pensez également à mettre en place un système de contrôle des droits d'installation sur les portes tout en gardant de la flexibilité. Vous limiterez ainsi les risques liés à des usages ponctuels ou impulsifs et préserverez dans le même temps la possibilité de déployer de nouveaux outils validés rapidement.

Ne lésinez pas non plus sur la surveillance des transferts de fichiers et des échanges cloud, elle est essentielle au dispositif. Dispositifs DLP, chiffrement, contrôle des accès : ces mesures fonctionnent comme un filet de sécurité. Même si un collaborateur utilise un outil externe, les risques liés aux données restent sous contrôle.

Enfin, pour compléter la sécurité technique, sensibilisez vos équipes de manière continue. Expliquez concrètement les dangers — fuite de confidentialité, non‑conformité, accès non autorisé — et montrez les conséquences possibles. Vous encouragerez chacun de vos collaborateurs à adopter les bons réflexes. L’éducation permanente réduit les usages hors contrôle et renforce la sécurité globale.