PME - Shadow whatever
04 février 2026
Parce que... c'est l'épisode 0x721!
Parce que… c’est l’épisode 0x721!
Shameless plug
- 31 mars au 2 avril 2026 - Forum INCYBER - Europe 2026
- 14 au 17 avril 2026 - Botconf 2026
- 20 au 22 avril 2026 - ITSec
- Code rabais de 15%: Seqcure15
- 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
- 9 au 17 mai 2026 - NorthSec 2026
- 3 au 5 juin 2026 - SSTIC 2026
- 19 septembre 2026 - Bsides Montréal
- 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
- 24 et 25 février 2027 - SéQCure 2027
Description
Introduction : qu’est-ce que le shadow IT ?
Dans cet épisode du podcast, Cyndie Feltz, Nicolas Milot et Dominique Derrier abordent un sujet omniprésent dans les entreprises, mais souvent méconnu : le shadow IT. Le terme désigne l’utilisation d’outils, de logiciels ou de périphériques non approuvés par le département des technologies de l’information (TI), dans un contexte professionnel. Il ne s’agit pas uniquement d’apporter son propre appareil au bureau (bring your own device), mais aussi d’installer des applications sur un poste de travail fourni par l’entreprise sans avoir obtenu l’aval de l’équipe TI.
L’exemple classique ? L’employé qui télécharge un convertisseur PDF gratuit trouvé sur Internet parce qu’il avait un problème avec son lecteur PDF habituel. Ce geste, anodin en apparence, illustre bien la nature du phénomène : il n’y a aucune mauvaise intention derrière, seulement un besoin pratique à combler rapidement.
Une question de besoin, pas de malveillance
L’un des points centraux de la discussion est que le shadow IT naît rarement d’une volonté de nuire. Les employés adoptent des outils non autorisés parce qu’ils veulent simplement faire leur travail efficacement. Ils connaissent un logiciel, ils ont l’habitude de l’utiliser, ou encore ils se retrouvent dans une situation d’urgence — il est 17 h 50, la présentation doit être envoyée dans dix minutes, et l’équipe TI est injoignable. La solution de facilité s’impose alors naturellement, sans que la personne mesure les risques auxquels elle expose son organisation.
Comme le soulignent les intervenants, l’être humain a horreur du vide. Lorsqu’un outil manque, il trouve une alternative, qu’on lui ait dit ou non de ne pas le faire. Une politique de refus systématique, sans solution de remplacement proposée, ne résout rien : les employés contournent l’interdiction de toute façon.
Les risques concrets pour l’entreprise
Le vrai problème avec le shadow IT, c’est qu’il échappe à toutes les mesures de sécurité mises en place par l’entreprise. Ces mesures existent précisément pour réduire les risques ; or, un logiciel installé en dehors des processus officiels ne bénéficie d’aucune de ces protections.
Les intervenants soulèvent plusieurs types de risques :
Les vulnérabilités logicielles non corrigées. Quand un logiciel est installé par un employé sans passer par les canaux officiels (Intune, GPO, etc.), l’équipe TI n’est souvent même pas au courant de son existence. Elle ne peut donc pas en assurer la maintenance ni les mises à jour. Le cas de VLC est cité en exemple : un employé l’installe pour lire des vidéos, l’oublie pendant trois ans, et entre-temps le logiciel accumule des failles de sécurité (zero-days) jamais corrigées. Pour un testeur d’intrusion comme Nicolas, c’est une aubaine ; pour l’entreprise, c’est une porte ouverte aux attaquants.
Les problèmes de licences. Certains logiciels sont soumis à des licences commerciales. Si un employé installe un tel outil sans que l’entreprise l’ait acheté, elle s’expose à des redressements financiers parfois très coûteux, pour un logiciel utilisé une seule fois et oublié.
Le shadow AI. Le phénomène s’étend désormais à l’intelligence artificielle. Les intervenants posent la question directement : si une entreprise n’a pas encore officiellement adopté un outil d’IA ni établi de directives à ce sujet, croit-elle vraiment que ses employés n’utilisent pas l’IA ? La réponse est non. Pire encore : même sans utiliser directement un outil d’IA, les employés se servent souvent de logiciels qui intègrent de l’IA en arrière-plan. La question n’est donc plus de savoir si l’IA est utilisée dans l’entreprise, mais comment l’encadrer.
Comment s’en prémunir ?
Les intervenants s’accordent sur plusieurs pistes concrètes pour limiter le phénomène.
Anticiper les besoins. La meilleure façon d’éviter que les employés cherchent leurs propres solutions, c’est de leur fournir les bons outils avant qu’ils en ressentent le besoin. Le département TI doit adopter une posture proactive et proposer des alternatives officielles aux logiciels populaires.
Limiter les droits d’administration. S’assurer que les employés ne sont pas administrateurs locaux sur leur poste de travail est une première étape importante. Cela ne résout pas tout, mais complique considérablement l’installation sauvage de logiciels.
Favoriser la communication. Il est crucial de créer un environnement où les employés se sentent à l’aise de signaler leurs besoins en matière d’outils, sans craindre un refus automatique ou une réaction négative. Quand un employé demande à son équipe TI s’il peut utiliser tel logiciel, c’est déjà un pas dans la bonne direction : il faut encourager et cultiver ce réflexe.
Inclure les TI dans l’adoption de nouveaux outils. Chaque fois qu’un département envisage d’adopter un nouveau logiciel — qu’il soit destiné à la facturation, à l’ingénierie ou à la gestion de projets — l’équipe TI doit être impliquée dès le départ, pas après coup.
Faire un inventaire des applications installées. Pour les entreprises qui font appel à un fournisseur de services managés (MSP), il est recommandé de lui demander un inventaire complet des applications présentes sur les postes de travail. Cet exercice réserve souvent de mauvaises surprises, mais il constitue un point de départ indispensable pour reprendre le contrôle.
Conclusion : un problème humain avant tout
Le shadow IT est un problème complexe, et il l’est d’autant plus que l’entreprise grandit. En PME, la pression de la rapidité et l’absence de processus formels amplifient le phénomène. Mais au fond, c’est avant tout un enjeu humain et communicationnel. Sensibiliser les employés aux risques, leur offrir des alternatives adaptées à leurs besoins et instaurer une culture de dialogue ouverte entre les équipes métier et l’équipe TI : voilà les piliers d’une approche réaliste et efficace face au shadow IT — et à tous ses avatars, du shadow hardware au shadow AI.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: ia, shadow
Tweet
