Shadow IT

Le shadow IT désigne toute technologie — logiciel, application SaaS, charge cloud, extension de navigateur, assistant IA — utilisée dans l’organisation sans approbation explicite de la DSI ou de la sécurité. L’expression précède l’ère du cloud (une base Access pirate sur un poste finance en 1998 en relevait déjà) mais son volume a explosé avec l’économie SaaS : tout collaborateur muni d’une carte bancaire ou d’une adresse pro peut provisionner un outil « gratuit » en moins d’une minute.

Le centre de gravité actuel du shadow IT n’est plus l’inscription par carte ; ce sont les SaaS connectés par OAuth. Un utilisateur clique sur « Continuer avec Google » ou « Connecter avec Microsoft » sur un site productivité, accorde des scopes lecture/écriture sur les données d’entreprise, et ce tiers détient désormais des jetons sur Drive, Calendrier, Gmail ou Teams — sans que la DSI le sache. Propriétés essentielles :

• Invisible aux inventaires classiques. Les outils d’asset management voient les endpoints et les SaaS licenciés ; pas les applications OAuth-connectées ni les extensions qui lisent le DOM.
• Provisionné plus vite que retiré. Quand le collaborateur ou le prestataire s’en va, l’octroi ou le compte reste actif des années.
• Symptôme de friction. Le shadow IT révèle presque toujours qu’un outil officiel est plus lent, moins ergonomique, ou manque d’une fonction réellement utile.
• Explosif côté conformité. Un seul octroi OAuth shadow-IT peut envoyer des données régulées chez un fournisseur sans DPA, sans clauses contractuelles types, sans posture sécurité — exposition RGPD immédiate.

Éradiquer totalement le shadow IT est une stratégie perdante ; le coût de ce niveau de verrouillage, c’est l’innovation. Les programmes modernes cherchent plutôt à voir le shadow IT quasi en temps réel et à envoyer un nudge à l’utilisateur quand l’octroi qu’il vient de réaliser est risqué. Cette boucle de visibilité continue est exactement ce qu’apporte la surveillance comportementale SaaS.