Entre fuite de données involontaires et compromission de comptes utilisateurs, le Shadow IT interroge
Comment encadrer les nouveaux usages numériques, sans freiner la productivité des équipes ? Pourquoi les collaborateurs choisissent-ils parfois leurs propres outils, en dehors du cadre défini par la direction IT ? Rcarré ouvre le dossier du Shadow IT.
Si le terme peut sembler inquiétant, il renvoie à des usages quotidiens plus que basiques. Les formes les plus courantes de Shadow IT concernent l’utilisation de solutions de stockage et de partage de fichiers en ligne, les applications de messagerie instantanée -comme WhatsApp ou Messenger- et, dans certains cas, l’utilisation de comptes de stockage personnels sur des services cloud grand public comme iCloud de Apple ou Google Drive
Cette notion concerne également l’utilisation croissante d’outils et d’agents IA et l’interaction avec des plateformes de LLM (Large Language Model), comme ChatGPT ou Gemini. Ces usages, lorsqu’ils ne sont pas encadrés par l’entreprise à l’aide d’un LLM privé installé en local, constituent alors une nouvelle variante du concept, le Shadow AI.
Une menace sous-estimée
Les outils informatiques non approuvés exposent l’entreprise à des risques concrets : fuite de données, violation des clauses de confidentialité et non-conformité réglementaire, a minima concernant le RGPD.
Lorsqu’un collaborateur recourt à une solution en ligne gratuite, il ignore souvent le fait que ses données puissent être stockées à l’étranger, qu’elles sont revendues à des tiers ou exploitées pour entraîner des modèles d’IA. Cette perte de contrôle sur les flux d’information fragilise la posture de cybersécurité et peut, à terme, affecter la confiance des clients et partenaires s’ils venaient à être impactés.
Les cas d’usage du Shadow IT sont nombreux… et quotidiens
Un employé bloqué dans l’envoi d’un email par l’atteinte de la limite de taille du fichier joint, peut choisir d’utiliser un service de partage en ligne pour contourner rapidement le problème.
La modification d’un PDF est un autre exemple courant : un employé rebuté par l’idée de recopier manuellement un grand nombre de documents, préférera recourir à une plateforme en ligne, qui récupère alors les fichiers avant de les retourner sous la forme d’un document modifiable.
Il en est de même avec les équipes commerciales qui utilisent des outils de signature électronique gratuits par lesquels vont transiter contrats et propositions commerciales.
Enfin, les services communication et marketing, qui font face à une augmentation constante des prix des licences logicielles, sont également tentés par l’usage d’outils gratuits sur lesquels vont transiter des données de l’entreprise.
Cette tendance est d’autant plus dangereuse lorsque le salarié quitte l’entreprise et que les données demeurent pendant des années sur le compte utilisateur vacant.
Mille raisons pur recourir au Shadow IT ?
Un premier facteur est lié à une forme de pression de la performance, qui pousse les salariés à rechercher des gains d’efficacité et de productivité, en dehors du cadre défini par la direction IT. Le salarié est pressé, il doit livrer dans les temps et si l’outil informatique fourni par l’employeur n’a pas la capacité de produire le résultat attendu dans un délai normal, il recherche une solution alternative auprès de logiciels en ligne. Une frustration observée habituellement lorsqu’ils font face à des outils internes jugés obsolètes, trop lents ou mal adaptés aux besoins métiers.
Le manque de communication entre les utilisateurs et l’équipe IT joue un rôle déterminant. Il est fréquent de constater une méconnaissance de l’existence d’une charte informatique et du règlement intérieur de l’entreprise, qui conduisent certains collaborateurs à ignorer de manière involontaire les règles de sécurité en vigueur.
Enfin, la simplicité d’usage des outils gratuits, pensés pour être rapides et sans friction, favorise leur adoption. À l’inverse, les solutions professionnelles imposées par l’entreprise souffrent parfois d’une ergonomie vieillissante, ce qui rend leur appropriation plus difficile.
Encadrer, sensibiliser, surveiller, détecter…
Pour réduire durablement le Shadow IT, les entreprises doivent conjuguer pédagogie et solutions de surveillance. Il faut comprendre que dans la plupart des cas, les salariés n’agissent pas avec malveillance : ils cherchent avant tout à accomplir leurs tâches, de la manière la plus efficace possible.
Ainsi, Rcarré propose une démarche en deux étapes : encadrer et sensibiliser les collaborateurs d’une part, puis surveiller et détecter les comportements à risque de l’autre.
Il est recommandé d’instaurer une culture de la vigilance au sein de l’entreprise. Cela passe par une sensibilisation régulière aux risques liés à l’utilisation d’outils numériques non approuvés.
La mise en place d’une charte informatique, signée par les salariés, est un bon point de départ. Ce document engage chacun à respecter les bonnes pratiques d’utilisation du système d’information et à recourir uniquement aux solutions validées par la direction IT. Il est également recommandé de communiquer clairement la liste des logiciels autorisés, et d’établir un processus de validation pour toute nouvelle demande. Ce dialogue doit s’accompagner d’échanges réguliers entre les responsables métiers et les équipes techniques, afin de s’assurer que les solutions déployées répondent réellement aux besoins opérationnels des différentes équipes.
Des outils, des applications
Ce volet pédagogique doit être complété par des mesures techniques, qui consistent à réaliser une cartographie précise des logiciels, flux de données et services utilisés dans l’entreprise, afin d’identifier les zones non supervisées par l’équipe IT.
L’application d’un filtrage DNS permet ensuite de bloquer l’accès aux plateformes en ligne non autorisées, en en restreignant l’accès de vos salariés à une liste de noms de domaine prédéfinie.
En complément, l’intégration d’une solution de prévention des fuites de données, ou DLP (Data Loss Prevention), aide à surveiller les échanges de données. Ce dispositif détecte par exemple l’insertion de données dans un prompt lors d’une conversation avec un agent IA, ou l’envoi d’un document confidentiel à un destinataire externe.
Concernant l’utilisation de l’intelligence artificielle, une alternative existe : celle des LLM privés, hébergés sur des serveurs souverains et maîtrisés. Les informations partagées demeurent alors dans le périmètre de l’entreprise, ce qui réduit significativement le risque d’exploitation par des tiers.
Enfin, le recours à une solution CASB (Cloud Access Security Broker) apporte une visibilité complète sur l’usage des services en ligne par les collaborateurs et permet de chiffrer au passage les échanges entre l’utilisateur et la plateforme. En combinant la sensibilisation des utilisateurs, la gouvernance des outils et la mise en place de dispositifs techniques de supervision, les entreprises peuvent encadrer les usages numériques non autorisés sans freiner l’innovation.
Rcarré accompagne ses clients dans la gestion quotidienne de son informatique d’entreprise. À l’aide de se outils logiciels, ses experts détectent les comportements à risque, alertent les utilisateurs et la direction avant que les données ne soient partagées hors de l’entreprise.
