Shadow IT et Shadow AI : quels risques pour les entreprises en matière de cybersécurité ?

9 avril 2025

Shadow IT et Shadow AI : quels enjeux et risques en matière de souveraineté numérique et économique ?

Définition et enjeux : le Shadow IT et le Shadow AI désignent l'utilisation non autorisée d'outils et de services technologiques par les employés, ce qui pose des risques pour la sécurité des données et la conformité réglementaire ;
Risques associés : ces pratiques peuvent entraîner des vulnérabilités, des fuites de données et des cyberattaques, les entreprises n'ayant pas de contrôle sur les outils utilisés en dehors des systèmes officiels ;
Solutions et recommandations : pour atténuer ces risques, il est conseillé d'adopter une approche proactive en sensibilisant les employés, en intégrant des solutions de sécurité adaptées et en favorisant une culture de transparence autour des technologies utilisées.

Au fil des ans le Shadow IT est devenu un enjeu critique pour les entreprises en raison de l'adoption croissante des technologies cloud. Les employés, travaillant à distance, utilisent souvent des outils non approuvés par les services informatiques, ce qui pose des risques de sécurité et de conformité. Depuis 2022, l'émergence des plateformes d'IA et des LLM accentue ce phénomène, introduisant le concept de Shadow AI. Cela soulève des préoccupations supplémentaires concernant la protection des données. Il est donc crucial de reconnaître le Shadow IT et de sécuriser un environnement de travail de plus en plus complexe à contrôler. Faisons le point sur ces enjeux.

Comment identifier les pratiques de Shadow IT et de Shadow AI ?

Qu'est-ce que le Shadow IT et le Shadow AI ?

Le Shadow IT (ou « informatique fantôme » en Français) fait référence à l’utilisation de technologies, d’applications ou de services non autorisés par la DSI ou non conformes à la politique de l'entreprise. On peut concrètement parler de Shadow IT lorsque des salariés utilisent des solutions informatiques, en dehors du contrôle et de la supervision de l’équipe IT de l’organisation. Selon le cabinet Gartner, qui s’intéresse à la question du Shadow IT, il peut s’agir de « logiciels, services ou appareils informatiques ».

Selon l’étude « The State of SaaS Sprawl in 2021 » ⁽²⁾, le recours au Shadow IT a augmenté de près de 8 % entre 2020 et 2021, avec toutefois des disparités en fonction de la taille des entreprises. Les moyennes et grandes entreprises, qui disposent en général de moyens matériels et logiciels plus fournis, sont habituellement moins concernées que les plus petites entreprises.

La prolifération d’outils logiciels dits SaaS (« Software As A Service ») participe grandement à l’essor du Shadow IT. Selon l’étude de l’année 2023 de la société Better Cloud intitulée « State of SaaSOps » ⁽³⁾, cette abondance d’outils SaaS est difficile à gérer pour 59 % des professionnels de l’IT, et 65 % des applications SaaS sont utilisées sans l’accord de l’équipe IT ou à leur insu. Et avec l'adoption croissante des différentes plateformes d'IA grand public au sein des entreprises, le phénomène s'est amplifié sous le nom de « Shadow AI ».

Quels sont les différents types de Shadow IT ?

Le Shadow IT peut prendre différentes formes, mais il repose toujours sur l’utilisation d’outils et de services de manière non approuvée par l’équipe IT de l’entreprise. Il peut également s’agir de l’installation, effectuée sans aucun accord préalable, d’applications sur des PC ou smartphones professionnels :

Outils de stockage et/ou de partage de fichiers en ligne ;
Applications de messagerie instantanée ;
Services cloud destinés à héberger des applications ou des sites web ;
Appplications IA (intelligence artificielle) et LLM non encadrées par l'entreprise : on parle alors de « Shadow AI ».

On comprend tout de suite l’ampleur du phénomène et la difficulté (voire l’impossibilité) d’éradiquer totalement le Shadow IT au sein d’une entreprise. Les outils SaaS représentent d’ailleurs une vraie problématique. Les entreprises de taille moyenne (de 500 à 2000 salariés) utilisent en moyenne 238 applications SaaS, dont 52 % sont des applications non autorisées ⁽¹⁾.

Quels sont les facteurs qui favorisent le Shadow IT ?

Le Shadow IT peut être causé par différents facteurs : la pression pour innover rapidement, la frustration des salariés face à des systèmes informatiques jugés trop lents, inefficaces, voire obsolètes ou encore le manque de compréhension des politiques et des règles de l’entreprise.

Quatre situations en particulier contribuent au développement du Shadow IT :

Lorsque les salariés jugent que les outils mis à leur disposition par la DSI ne sont pas appropriés à leurs besoins métiers ;
Lorsqu'ils jugent que leur DSI n’est pas assez réactive, comprend mal leurs besoins et les contraintes inhérentes à leurs métiers ;
Lorsque les salariés estiment ne pas avoir d’autre moyen d’obtenir les outils et les données qu’ils jugent nécessaires à leurs missions ;
Lorsque la prise en main des outils est simple, sans friction et quasi instantanée. Dans ce genre de cas, l’intérêt d’avertir le département IT de l’utilisation de nouveaux outils peut sembler superflu.

Bien qu’il soit né avec la démocratisation de l'informatique dans l'entreprise, le Shadow IT s'est amplifié à travers deux phénomènes : l’adoption massive du cloud pour les besoins professionnels et l’essor du télétravail ? Le recours croissant au stockage cloud au sein des entreprises fait figure de petite révolution, et face au nombre d’outils disponibles, certains salariés sont facilement tentés d’utiliser leur outil de stockage cloud préféré à des fins professionnelles.

D’après un rapport du CORE Research publié en 2020 ⁽⁴⁾, le Shadow IT a bondi de 59 % depuis que les entreprises ont largement intégré et pérennisé la pratique du télétravail. Autre chiffre éloquent : 54 % des équipes informatiques ont décrit leur entreprise comme étant « nettement plus exposée à une violation de données » en raison de l’essor du travail à distance.

Quels sont les risques du Shadow IT pour les entreprises ?

Quelles failles de cybersécurité ?

En banalisant le recours à des outils non approuvés, le Shadow IT expose les entreprises à des risques accrus de cyberattaques exploitant des failles de sécurité. D’après une estimation réalisée par Gartner ⁽⁵⁾, un tiers des cyberattaques réussies en 2020 pourraient être liées à des données stockées sur des ressources informatiques en Shadow IT. Une estimation plutôt proche de la réalité. D’après le 8ème baromètre du CESIN ⁽⁶⁾, le Shadow IT est cité par 35 % des entreprises lorsqu’on les interroge sur les causes des incidents de sécurité (cyberattaques incluses) rencontrées au cours des 12 derniers mois.

Par définition, les ressources utilisées en Shadow IT ne font pas partie de l’architecture informatique de l’entreprise. Elles ne font donc pas l’objet de mesures de sécurité spécifiques. De plus, le paramétrage par défaut des solutions cloud n’est souvent pas satisfaisant du point de vue de la cybersécurité. Cela augmente la surface d’attaque potentielle que les cybercriminels peuvent exploiter.

Quels sont les risques en termes de perte de données ou de fuite des données ?

Le Shadow IT pose également des questions de cybersécurité concernant la protection des données de l’entreprise. Et pour cause, la DSI ne peut sécuriser des données stockées dans des applications non autorisées et auxquelles elle n’a pas accès. L’exposition non contrôlée de ces données, et en particulier des données sensibles, est très risquée pour l’entreprise.

Les pertes de données sensibles (données des salariés, des clients et des partenaires commerciaux) peuvent avoir des conséquences multiples : ralentissement ou paralysie de l’activité avec des dommages financiers, atteinte à l’image de l’entreprise, perte de confiance des partenaires et des clients, poursuites juridiques. La Shadow AI est venu s'ajouter aux risques encourus, les employés utilisant une plateforme IA non approuvée par leur DSI risquant de divulguer des informations confidentielles.

Les risques encourus par les entreprises en matière de conformité

L’utilisation de services de stockage en ligne est encadrée par des réglementations telles que le Règlement général sur la protection des données (RGPD). Les différents outils numériques utilisés en entreprise et autorisés par l’équipe IT doivent s’y soumettre. Les outils utilisés sans accord ne répondent pas nécessairement à ces obligations réglementaires.

En cas de non-conformité avec la réglementation relative au stockage des données, l’entreprise s’expose à des poursuites judiciaires. Concrètement, si les salariés stockent des données sur des outils ne respectant pas cette réglementation (non-respect du consentement, durée de stockage non conforme, défaut de paramétrage des droits), leur employeur peut être soumis à une amende.

Comment anticiper le Shadow IT au sein de son entreprise ?

Sensibiliser les employés aux risques liés au Shadow IT

Bien souvent, les salariés qui contribuent au développement du Shadow IT et du Shadow AI n’ont pas conscience des risques potentiels de cette pratique. Un travail de pédagogie et de sensibilisation sur les risques liés à l’utilisation d’outils non approuvés peut ralentir le développement du Shadow IT, et par conséquent réduire les risques allant de pair en matière de cybersécurité.

Davantage conscients des enjeux et des risques liés au Shadow IT, les salariés seront probablement plus à même de modifier leurs comportements et d’adopter de nouveaux outils dans le respect des règles définies par leur entreprise.

Surveiller et détecter efficacement les ressources informatiques et LLM

Pour prévenir le Shadow IT, les entreprises doivent porter leurs efforts sur la surveillance et la détection de ressources informatiques non autorisées. Des outils existent pour aider les équipes IT à gagner en visibilité et mieux appréhender le Shadow IT.

Cela passe notamment par une analyse des flux et des risques associés, un filtrage des accès et une surveillance renforcée des activités. Cartographier et surveiller son système d’information fait également partie des bonnes pratiques pour en regagner la maîtrise.

À ce titre, le recours à un « Cloud Access Security Broker » (« CASB ») permet de surveiller les services cloud utilisés par les collaborateurs de l'entreprise et ainsi de filtrer leur usage tout en chiffrant les échanges pour en renforcer la sécurité.

En complément, les solutions de prévention des fuites de données ou « Data Leak Prevention » (« DLP ») détectent les erreurs de partage, comme l'insertion de données sensibles dans l’interface de ChatGPT ou l’envoi d’un document Excel confidentiel par e-mail à un expéditeur externe à l’entreprise. Autant de mécanismes qui aident à éviter les pertes d'informations confidentielles.

Pour protéger les entreprises, Orange Cyberdefense peut les accompagner dans l’intégration de ces solutions. Leur mise en œuvre doit permettre d'alerter sur les comportements à risques et ainsi de mieux maîtriser et sécuriser l’environnement numérique de son organisation.

Quelle posture et bonnes pratiques adopter en matière de cybersécurité ?

Le Shadow IT et le Shadow AI sont à la croisée de multiples enjeux : cybersécurité, protection des données, mise en conformité, souveraineté numérique et économique. Autant de facteurs et de paramètres qui ent font une préoccupation majeure des DSI.

La réduction du Shadow IT est loin d’être une question purement technique. Elle passe également par un dialogue accru avec les utilisateurs, leurs besoins et leurs usages. Les salariés n’ont pas toujours conscience des risques liés à l’utilisation de certains outils logiciels. Si une politique de contrôle stricte est nécessaire pour réguler l’usage des nouveaux services, il est tout aussi important d'innover en proposant des solutions adaptées aux besoins des métiers. Autrement dit, il est important d'être à l'écoute pour la mise en œuvre d’outils adéquats.

C'est pourquoi Orange a développé la plateforme « Dinootoo ». Mise à disposition des collaborateurs du Groupe dans un premier temps, cette plateforme d’intelligence artificielle générative offre une version maîtrisée des outils IA, regroupant ChatGPT, Mistral, Gemini et Claude. Concrètement, les flux de données faisant l’objet de requêtes et d’interactions avec l’outil ne sortent pas de l’entreprise.

Depuis novembre 2024, cette solution a évolué pour être proposée aux entreprises sous le nom de « Live Intelligence », dont l’objectif est très clair : proposer une solution d’assistant IA encadrée, qui permet aux entreprises de lutter contre le Shadow AI, en offrant notamment un hébergement sécurisé. C'est avec ce type de solution que les entreprises pourront renforcer leur mise en conformité et préserver leur souveraineté numérique et économique.

Sources et notes

⁽¹⁾ Définition du Shadow IT, Gartner : Definition of Shadow It - Gartner Information Technology Glossary
⁽²⁾ The State of Saas Sprawl in 2021, Productiv : The State of SaaS Sprawl in 2021: Top industry trends for business leaders
⁽³⁾ State of SaaSOps, Better Cloud, 2023 : The 2023 State of SaaSOps Report
⁽⁴⁾ CORE, transforming business through technology : 2020-was-a-year-of-change-a-Core-research-report

⁽⁵⁾ Protect your organization from Cyber and Ransomware Attacks, Gartner, 2018 : Protect Your Organization From Cyber And Ransomware Attacks

⁽⁶⁾8ème édition du baromètre annuel du CESIN, 2023 : https://cesin.fr/articles-slug/?slug=1432-8%C3%A8me+%C3%A9dition+du+barom%C3%A8tre+annuel+du+CESIN

Réponse à incident

Vous faites face à une cyber attaque ?

24/7/365 nos experts vous accompagnent réponse à incident.

CSIRT

Préparer votre mise en conformité à la Directive NIS 2

Construisez votre stratégie de sécurité du Cloud

Comprendre le programme CaRE

Micro-SOC : une gamme complète pour protéger votre PME de la menace globale

Micro-SOC Shield : sécurité périmétrique renforcée sur vos infrastructures réseau

Micro-SOC Mobiles : une protection optimale contre les nouvelles menaces mobiles

Ethical Hacking. Et les meilleurs hackers sont à vos côtés

Security Game : sensibiliser par le jeu

SASE 2.0 : Les clés pour une adoption réussie