Shadow IT en entreprise : le plan d’action des DSI pour reprendre la main

Le shadow IT n’est plus un petit sujet caché dans un coin du système d’information.

Dans beaucoup d’entreprises, il est partout.

Un service marketing ouvre un compte sur un outil d’emailing. Une équipe commerciale ajoute une extension IA à son CRM. Les RH testent une application SaaS pour suivre les entretiens. Un manager crée une base Airtable pour piloter ses projets. Un collaborateur connecte un outil d’automatisation à son Drive.

Rien de tout cela ne part d’une mauvaise intention.

Les équipes veulent aller vite. Elles veulent éviter les délais. Elles veulent résoudre un problème concret. Et souvent, elles ont raison sur le fond : l’outil officiel ne répond pas assez bien au besoin, ou pas assez vite.

Mais pour une DSI, le shadow IT crée un angle mort. Les outils SaaS non autorisés s’accumulent. Les accès se dispersent. Les données sortent du cadre prévu. La conformité RGPD devient plus difficile à prouver. La sécurité informatique repose sur des usages que personne ne voit vraiment.

Le sujet n’est donc pas de “chasser” le shadow IT comme une anomalie. Le vrai sujet est de reprendre la main sans casser l’élan des métiers.

C’est là que le rôle de la DSI change. Elle ne peut plus seulement dire oui ou non. Elle doit comprendre, prioriser, sécuriser, rationaliser et proposer de meilleures options.

‍

Le shadow IT, c’est quoi exactement ?

Le shadow IT désigne l’ensemble des outils, logiciels, applications SaaS, comptes, scripts, automatisations ou services cloud utilisés dans l’entreprise sans validation ou supervision de la DSI.

Cela peut être très simple.

Un fichier partagé en dehors du Drive officiel. Un outil de gestion de projet payé avec une carte bancaire d’équipe. Un connecteur Zapier ou Make créé sans contrôle. Une application IA utilisée pour traiter des documents internes. Un CRM parallèle créé dans Notion. Un compte administrateur conservé après le départ d’un salarié.

Le shadow IT ne concerne donc pas seulement les grands groupes. Il touche aussi les PME, les ETI et les organisations en croissance.

Plus l’entreprise utilise d’applications SaaS, plus le risque augmente. La Cloud Security Alliance indique dans son rapport 2025 sur la sécurité SaaS que les entreprises font face à des problèmes de visibilité, de shadow IT, d’accès trop larges et d’intégrations tierces mal contrôlées. Le rapport souligne aussi que 86 % des organisations placent désormais la sécurité SaaS comme une priorité élevée.

Le point important est simple : le shadow IT n’est pas un outil précis. C’est une zone grise.

Et une zone grise, dans un SI, finit souvent par devenir une zone de risque.

‍

Pourquoi les métiers créent du shadow IT

Pour reprendre la main sur le shadow IT, il faut d’abord accepter une idée un peu inconfortable : si les métiers contournent la DSI, c’est souvent parce qu’ils cherchent à résoudre un vrai problème.

Un commercial n’installe pas un outil de prospection pour créer une faille de sécurité. Il le fait parce qu’il veut mieux vendre.

Un responsable RH ne crée pas un tableau de suivi hors SI pour mettre la conformité RGPD en danger. Il le fait parce que le processus officiel est trop lent.

Une équipe produit ne teste pas une application IA pour compliquer la gouvernance IT. Elle le fait parce qu’elle veut gagner du temps.

Dans beaucoup de cas, le shadow IT révèle trois choses.

D’abord, les outils officiels ne couvrent pas assez bien les besoins terrain.

Ensuite, les demandes métier mettent trop de temps à être traitées.

Enfin, les règles IT sont parfois mal comprises, trop abstraites ou vécues comme un frein.

C’est pour cela qu’une stratégie de chasse pure fonctionne rarement. Bloquer tous les outils SaaS non autorisés peut donner une illusion de contrôle. Mais les usages ne disparaissent pas toujours. Ils se déplacent. Ils passent par des comptes personnels, des appareils non gérés ou des exports de données.

La bonne approche consiste à transformer le shadow IT en signal. Chaque outil non déclaré dit quelque chose sur un irritant métier.

Quand plusieurs équipes utilisent des outils parallèles pour gérer des tâches simples, le problème n’est peut-être pas la discipline. Le problème est peut-être une mauvaise automatisation des processus.

Quand un service crée son propre CRM dans Notion, Airtable ou Excel, le problème vient peut-être d’un CRM officiel trop rigide. Dans ce cas, un travail sur un CRM sur mesure pour PME peut être plus utile qu’un simple rappel des règles.

‍

Ce que le shadow IT coûte vraiment à l’entreprise

Les risques du shadow IT ne sont pas toujours visibles au début.

Un outil gratuit semble sans conséquence. Une petite automatisation semble pratique. Une application SaaS utilisée par trois personnes semble trop mineure pour intéresser la DSI.

Puis le temps passe.

Les données clients se retrouvent dans plusieurs outils. Les droits ne sont plus retirés au départ d’un salarié. Les contrats SaaS se multiplient. Les doublons apparaissent. Les informations sensibles circulent dans des espaces non validés. Les équipes prennent des décisions avec des données partielles.

Le coût du shadow IT se joue à plusieurs niveaux.

Il y a d’abord le risque de sécurité informatique. Un outil non référencé peut avoir une politique de sécurité faible. Il peut ne pas gérer correctement l’authentification, les rôles, les exports ou les logs. Il peut aussi être connecté à des applications critiques.

Il y a ensuite le risque de conformité RGPD. Si une entreprise ne sait pas où vont ses données, qui y accède et combien de temps elles sont conservées, elle aura du mal à démontrer sa maîtrise.

Il y a aussi le risque opérationnel. Un workflow créé par un collaborateur peut devenir critique sans documentation. Le jour où cette personne quitte l’entreprise, personne ne sait comment le processus fonctionne.

Il y a enfin le risque financier. Le SaaS sprawl, c’est-à-dire la multiplication des applications SaaS, crée des abonnements inutiles, des outils redondants et des dépenses difficiles à suivre.

Le sujet devient encore plus sensible avec l’IA. IBM indique dans son rapport 2025 sur le coût des violations de données que le coût moyen mondial d’une violation atteint 4,4 millions de dollars. Le même rapport met en avant un écart de gouvernance autour des usages IA non encadrés.

Ce chiffre ne veut pas dire que chaque entreprise va subir une crise de cette ampleur. Mais il montre une chose : les angles morts coûtent cher quand ils touchent aux données, aux accès et aux usages non gouvernés.

‍

Plan d’action pour DSI : reprendre la main en 6 étapes

Reprendre la main sur le shadow IT ne veut pas dire lancer une grande opération punitive.

Cela veut dire construire une méthode claire, acceptable par les métiers et soutenable par la DSI.

1. Partir des usages, pas seulement des outils

La première erreur serait de commencer par une liste noire.

Avant de bloquer, il faut comprendre.

Quels outils sont utilisés ? Par quelles équipes ? Pour quels cas d’usage ? Avec quelles données ? Avec quels accès ? Depuis combien de temps ? Est-ce un test isolé ou un outil déjà intégré dans le quotidien ?

Cette phase doit être menée avec calme. Si les équipes sentent que l’audit sert seulement à sanctionner, elles vont cacher les usages.

L’objectif est plutôt de dire : “Nous voulons comprendre ce qui vous aide vraiment, ce qui vous bloque et ce qui doit être sécurisé.”

Ce changement de posture est essentiel pour réconcilier DSI et métiers.

La DSI ne vient pas reprendre le pouvoir contre les équipes. Elle vient remettre du cadre autour d’usages qui existent déjà.

2. Faire une cartographie applicative réaliste

La cartographie applicative est la base.

Sans inventaire clair, impossible de gouverner.

Il faut lister les applications SaaS validées, les outils SaaS non autorisés, les comptes administrateurs, les intégrations, les automatisations, les bases de données, les espaces de stockage, les outils IA et les workflows critiques.

Cette cartographie doit aussi préciser le niveau de risque.

Un outil qui ne traite aucune donnée sensible n’a pas le même poids qu’une application qui contient des données clients, RH ou financières.

La bonne cartographie ne doit pas être un document figé. Elle doit devenir un outil vivant. Elle peut être maintenue dans un référentiel interne, un outil ITSM, une base structurée ou une application métier dédiée.

Ce travail rejoint un sujet plus large : la souveraineté numérique des PME. Une entreprise ne peut pas maîtriser son SI si elle ne sait pas où sont ses données, quels outils les traitent et quelles dépendances elle accepte.

3. Classer les outils selon le risque réel

Tous les usages de shadow IT ne méritent pas la même réponse.

Une DSI efficace doit éviter deux pièges.

Le premier consiste à tout traiter comme une menace critique.

Le second consiste à tout tolérer au nom de l’agilité.

La bonne approche consiste à classer les outils en quatre catégories.

Les outils acceptables peuvent être gardés avec un minimum de règles.

Les outils utiles mais risqués doivent être sécurisés, contractualisés ou remplacés.

Les outils redondants doivent être rationalisés.

Les outils dangereux doivent être supprimés avec un plan de transition.

Ce classement doit être lisible pour les métiers. Il ne faut pas seulement dire “outil interdit”. Il faut expliquer pourquoi.

Données sensibles. Absence de SSO. Pas de gestion fine des droits. Hébergement problématique. Conditions d’utilisation floues. Exports non maîtrisés. Connexions à des outils critiques. Manque de logs.

Quand la règle est claire, elle est mieux acceptée.

4. Créer un catalogue d’outils validés

On ne réduit pas le shadow IT avec du vide.

Si les métiers n’ont aucune alternative simple, ils recréeront des contournements.

La DSI doit donc proposer un catalogue d’outils validés. Ce catalogue peut inclure des applications SaaS, des outils internes, des modèles de workflows, des solutions d’automatisation et des briques IA encadrées.

L’idée n’est pas de tout centraliser à l’excès. L’idée est de créer des chemins simples.

Un service veut automatiser une tâche répétitive ? Il doit savoir vers qui se tourner.

Une équipe veut tester une IA pour analyser des documents ? Elle doit connaître le cadre autorisé.

Un manager veut suivre un processus métier ? Il doit avoir une option plus robuste qu’un fichier Excel partagé.

C’est ici que la DSI peut redevenir un partenaire visible. Elle ne bloque pas l’innovation. Elle propose des options plus sûres.

Pour les sujets IA, un accompagnement IA entreprise permet justement de cadrer les usages, de distinguer les vrais besoins des effets de mode, puis de définir une trajectoire claire avec les équipes.

5. Reprendre le contrôle des accès

La gestion des accès est l’un des points les plus sensibles du shadow IT.

Un outil peut sembler peu critique au départ. Mais s’il contient des données internes et que les accès ne sont pas maîtrisés, le risque augmente vite.

La DSI doit reprendre la main sur quelques sujets simples.

Qui peut créer un compte ? Qui peut inviter un utilisateur ? Qui peut exporter les données ? Qui peut connecter une application tierce ? Qui peut être administrateur ? Que se passe-t-il quand une personne quitte l’entreprise ?

Ces questions doivent devenir des réflexes.

Le SSO, le MFA, la revue régulière des droits, la suppression des comptes inactifs et le principe du moindre privilège sont des bases utiles. Mais elles ne suffisent pas si une partie des outils reste hors radar.

Le rapport 2025 de 1Password indique que 52 % des employés ont déjà téléchargé des applications sans validation IT, et que 42 % contournent l’IT pour gagner en productivité.

Cela confirme un point important : les accès ne se gouvernent plus seulement dans les outils officiels. Ils doivent être pensés dans un environnement SaaS beaucoup plus diffus.

6. Installer une gouvernance IT continue

Le shadow IT revient toujours quand la gouvernance IT devient un événement annuel.

Une cartographie réalisée une fois puis oubliée ne suffit pas.

Il faut une gouvernance continue, simple et opérationnelle.

Cela peut passer par un comité court entre DSI, RSSI, achats et représentants métiers. Pas un comité lourd qui bloque tout. Un point régulier pour traiter les nouveaux outils, les demandes récurrentes, les risques et les arbitrages.

La gouvernance IT doit aussi être documentée.

Une fiche courte par outil peut suffire : usage, propriétaire métier, propriétaire IT, données traitées, niveau de risque, contrat, accès, intégrations, date de revue.

Cette discipline change beaucoup de choses. Elle permet de passer d’un SI subi à un SI piloté.

Elle permet aussi de mieux rationaliser les outils. Deux équipes utilisent deux solutions pour le même besoin ? Il devient possible d’arbitrer. Un outil n’est plus utilisé ? Il peut être résilié. Une automatisation est devenue critique ? Elle peut être documentée et fiabilisée.

‍

Le cas particulier du shadow AI

Depuis 2023, une nouvelle forme de shadow IT progresse vite : le shadow AI.

Le principe est le même. Les collaborateurs utilisent des outils IA sans validation claire de l’entreprise.

Cela peut être un chatbot public, une extension de navigateur, un assistant de réunion, un outil de résumé automatique, un générateur de code, un connecteur IA dans un SaaS métier ou un agent relié à des documents internes.

Le shadow AI est plus sensible que le shadow IT classique pour une raison simple : les utilisateurs peuvent y copier des données très riches.

Un contrat. Un extrait de base client. Un compte rendu RH. Une proposition commerciale. Un document stratégique. Un export financier.

Le risque ne vient pas seulement de l’outil. Il vient du type de données confiées à l’outil, du lieu de stockage, des conditions de traitement, des droits d’accès et du manque de traçabilité.

La réponse ne peut pas être seulement “interdit d’utiliser l’IA”.

Dans les faits, les équipes vont continuer à chercher du gain de temps. La bonne stratégie consiste à encadrer les usages IA, proposer des outils validés, former les équipes et créer des cas d’usage utiles.

Sur ce point, la DSI peut jouer un rôle très fort : transformer une adoption sauvage en adoption maîtrisée.

Cela demande du cadrage, mais aussi une vraie compréhension des métiers. Certains besoins relèvent de l’IA. D’autres relèvent plutôt de l’automatisation des processus, de la refonte d’un outil interne ou de la modernisation d’un SI legacy.

D’ailleurs, quand les équipes multiplient les solutions parallèles pour compenser un vieux système trop lent, le sujet dépasse le shadow IT. Il peut devenir un chantier de modernisation SI legacy.

‍

Automatiser sans créer un nouveau shadow IT

L’automatisation est souvent une réponse très efficace au shadow IT.

Quand les métiers bricolent, c’est souvent parce qu’ils répètent trop de tâches manuelles.

Copier des données entre deux outils. Générer des documents. Relancer des clients. Mettre à jour un tableau. Créer une tâche. Envoyer une notification. Consolider des fichiers.

Ces besoins peuvent être très bien traités avec des outils comme Make, n8n ou des workflows internes.

Mais attention : une automatisation mal gouvernée peut devenir du shadow IT à son tour.

Un scénario Make créé dans un compte personnel. Un workflow n8n sans documentation. Une clé API stockée dans un champ texte. Un déclencheur qui traite des données sensibles. Une automatisation critique sans monitoring.

Pour éviter cela, la DSI doit cadrer les automatisations comme de vraies briques du SI.

Il faut définir les comptes de service, les droits, les logs, les propriétaires, les règles de nommage, les environnements, les tests et les procédures de reprise.

C’est précisément ce qui distingue un bricolage utile d’un système fiable.

Chez Scroll, les sujets d’automatisation n8n sont souvent abordés avec cette logique : partir du besoin métier, mais construire une solution maintenable, claire et intégrée au SI.

‍

Comment faire accepter le changement aux métiers

Le shadow IT ne se règle pas seulement avec des outils.

Il se règle avec une nouvelle relation entre DSI et métiers.

Les métiers doivent comprendre que la gouvernance IT n’est pas un frein. Elle protège les clients, les collaborateurs, les données et la continuité d’activité.

Mais la DSI doit aussi accepter une chose : la vitesse compte.

Si une demande simple prend trois mois, le contournement reviendra. Si chaque outil doit passer par un processus flou, les équipes chercheront une autre voie.

La solution passe par des règles simples.

Un cadre d’expérimentation pour tester vite, mais proprement.

Un processus court pour déclarer un nouvel outil.

Un catalogue d’alternatives validées.

Des modèles de validation selon le niveau de risque.

Une réponse rapide pour les besoins simples.

Une vraie écoute des irritants métier.

Ce dernier point est souvent le plus important. Le shadow IT baisse quand les équipes sentent que la DSI comprend leur réalité.

Reprendre la main ne veut pas dire retirer toute autonomie. Cela veut dire donner une autonomie mieux cadrée.

‍

Les bons indicateurs à suivre

Pour piloter le shadow IT, la DSI doit choisir quelques indicateurs simples.

Le nombre d’applications SaaS recensées.

La part des outils avec propriétaire identifié.

La part des outils connectés au SSO.

Le nombre d’outils redondants supprimés.

Le nombre de comptes orphelins fermés.

Le nombre d’automatisations documentées.

Le nombre d’outils IA validés.

Le temps moyen de validation d’un nouvel outil.

Ces indicateurs permettent de rendre le sujet concret. Ils évitent de rester dans un discours trop général sur les risques du shadow IT.

Ils montrent aussi les progrès.

Une entreprise ne passe pas de 200 outils dispersés à une gouvernance parfaite en deux semaines. Ce n’est pas le but.

Le but est de réduire les angles morts, étape par étape.

‍

Reprendre la main, sans redevenir le service qui dit non

Le shadow IT est un problème de sécurité, mais pas seulement.

C’est aussi un problème d’expérience interne.

Si les outils officiels sont trop lourds, les équipes bricolent.

Si les process sont trop lents, les équipes contournent.

Si la DSI ne propose pas d’alternative, les métiers trouvent leurs propres solutions.

La bonne réponse n’est donc pas de traquer chaque outil comme une faute. La bonne réponse est de transformer le shadow IT en point d’entrée vers un SI plus clair, plus utile et mieux gouverné.

Pour une DSI, c’est une opportunité.

L’opportunité de refaire le lien avec les métiers.
L’opportunité de rationaliser les applications SaaS.
L’opportunité de sécuriser les accès.
L’opportunité de mieux cadrer l’IA.
L’opportunité de remplacer des bricolages fragiles par des outils internes solides.
L’opportunité de remettre de l’ordre sans ralentir l’entreprise.

Chez Scroll, on accompagne les entreprises qui veulent moderniser leurs outils, cadrer leurs usages IA, automatiser leurs processus et reprendre la main sur des systèmes devenus trop dispersés.

Le point de départ peut être simple : cartographier les usages, repérer les outils à risque, comprendre les besoins métier, puis définir une trajectoire réaliste. Pas pour tout refaire. Pas pour bloquer les équipes. Mais pour construire un système plus fiable, plus lisible et plus utile au quotidien.