Le Shadow IT a changé de visage. Il n’est plus seulement fait d’applications non répertoriées, mais d’intelligences artificielles en libre-service, de connexions OAuth laissées à l’abandon, et de décisions techniques prises sans gouvernance. Dans ce nouvel écosystème, ce ne sont plus les infrastructures qui échappent à la DSI, mais les usages — et leur prolifération silencieuse mine les fondations de la sécurité des systèmes d’information.
Pendant des années, le Shadow IT évoquait ces services en ligne installés discrètement par des collaborateurs : Dropbox, Slack, Airtable, Notion, utilisés sans validation formelle. Des outils agiles, souvent efficaces, mais qui contournaient les circuits de validation, les mécanismes de journalisation, les règles de sauvegarde et d’audit. Aujourd’hui, cette dynamique s’est déplacée vers l’IA. Le Shadow AI prend le relais : un prompt envoyé à ChatGPT, un code généré par Copilot, un résumé client obtenu via une API non documentée. Le problème reste le même : les flux de données échappent au contrôle, et les décisions algorithmiques se prennent dans le noir.
« Chaque micro‑gain d’efficacité obtenu par un outil non validé crée une brèche de traçabilité dans le système. »
Ce n’est plus seulement une question de visibilité. Le risque principal vient de l’accumulation. Des centaines d’applications cloud, connectées via OAuth, restent autorisées bien après leur usage réel. Un collaborateur peut connecter son compte Google à une IA de transcription, accorder un accès en lecture à ses documents, puis oublier ce lien. Des mois plus tard, cet accès est toujours actif. L’entreprise ne l’a pas consenti, ne le détecte pas, mais en assume le risque. L’attaque ne viendra pas forcément d’un malware, mais d’un service tiers compromis, doté de droits invisibles sur des données sensibles.
Cette dynamique fragilise les systèmes d’information de manière sourde. Le RSSI ne voit plus où commence la responsabilité de l’entreprise et où s’arrête celle des éditeurs. Une API connectée à un outil d’IA tiers peut suffire à provoquer une fuite, sans qu’aucune politique de sécurité n’ait été formellement violée. Le simple fait d’utiliser ces outils hors cadre rend la chaîne de responsabilité inopérante. En cas d’incident, l’analyse post-mortem devient presque impossible.
« Le Shadow IT n’est pas un contournement technique, c’est une défaillance de gouvernance. »
Et cette défaillance est alimentée par la culture de l’instantané : il faut aller vite, adopter l’outil le plus prometteur, automatiser, expérimenter, prendre de l’avance. Dans cette logique, la validation sécurité est perçue comme un frein. Le cadre formel est vécu comme un ralentisseur. C’est ainsi que naissent les contournements. Les profils techniques agiles s’affranchissent des processus, souvent avec de bonnes intentions. Mais à force de multiplier les intégrations sans suivi, on perd toute maîtrise sur les accès, les autorisations, les flux de données.
L’IA a accéléré ce phénomène. En se rendant accessible via des interfaces simples, elle a conquis les métiers avant même que la DSI ne puisse la cadrer. Copilot est intégré à Visual Studio, mais aussi à Excel. ChatGPT est invoqué pour analyser des tableaux RH. Les outils générateurs de code ou de texte sont utilisés pour produire des documents internes, parfois confidentiels. Dans ces usages, la sécurité repose intégralement sur le comportement utilisateur. Or l’utilisateur n’a pas toujours conscience du périmètre de ce qu’il expose — ou du risque qu’il génère en utilisant son compte professionnel pour tester des services en ligne.
« Le Shadow AI est le cheval de Troie moderne du Shadow IT. »
Et l’enjeu n’est pas purement technique. Il est réglementaire, juridique, organisationnel. L’utilisation d’un outil IA par un employé pour générer du contenu interne soulève des questions de propriété, de confidentialité, de responsabilité. Si les données sont transférées sur une plateforme extérieure, dans quelle juridiction sont-elles traitées ? Qui détient les droits sur la sortie générée ? Peut-on auditer les traitements réalisés ? Toutes ces questions dépassent le RSSI ou le DPO. Elles concernent la direction, les métiers, les achats, la conformité. Le Shadow AI révèle un angle mort collectif dans la gouvernance numérique.
Face à cela, les outils techniques de contrôle ne suffisent plus. Bien sûr, il existe des plateformes de CASB (Cloud Access Security Broker) capables de cartographier les services utilisés. Des outils EDR peuvent détecter des comportements anormaux sur les postes. Des solutions de gestion des identités peuvent restreindre les connexions OAuth à certains domaines. Mais tant que l’entreprise n’assume pas une stratégie claire de maîtrise des usages, les contournements continueront. Car le problème ne vient pas d’un manque de technologie, mais d’un déficit de pilotage.
« On ne peut pas sécuriser ce qu’on ne voit pas. Mais on ne peut pas voir ce qu’on refuse d’encadrer. »
La première étape est donc culturelle. Elle consiste à reconnaître que les usages émergents doivent être intégrés dans la gouvernance, même s’ils ne rentrent pas dans les cases classiques. Interdire n’a jamais suffi. Ce qu’il faut, c’est encadrer. Proposer des solutions alternatives validées. Accompagner les métiers dans le choix des outils. Mettre en place une stratégie de référencement progressif des applications. Définir des critères d’usage acceptables. Et surtout, créer des canaux de remontée souples pour que les équipes terrain puissent faire part de leurs besoins… sans passer par la voie clandestine.
C’est également là que le DPO, le RSSI et les métiers doivent dialoguer. La sécurité des usages ne se décrète pas : elle s’organise. Le Shadow IT, tout comme le Shadow AI, n’est pas un échec de sécurité technique, mais un échec de gouvernance partagée. L’entreprise qui ne crée pas d’espace pour l’expérimentation encadrée s’expose à la prolifération sauvage.
À l’heure où chaque outil SaaS, chaque plugin, chaque appel API peut constituer un point d’entrée ou un angle mort réglementaire, cette prolifération devient un défi majeur pour la sécurité des SI. .
