Accueil
Solutions
Comment ça marchePrixÀ propos
Ressources
Connexion
Essai gratuit
 Comment ça marche ?
Solutions
Prix
Ressources
Connexion
Contacter l'équipe
Essai gratuit

Le Shadow IT : définition, risques et solutions concrètes

6 cas d'étude et 9 outils pour lutter contre le Shadow IT
illustration of a man searching for rocks with logo on them
Qu'est-ce que le Shadow IT ?

Le Shadow IT en entreprise correspond à l’utilisation de logiciel ou de matériel informatique sans que le service IT (ou sécurité) n’en soit informé.
Sommaire

En 2024, le shadow IT est un terme surtout employé par les entreprises pour dénoncer la prolifération incontrôlée des SaaS  - aussi appelée SaaS Sprawl en anglais.

En quelques mots : chaque employé peut installer des logiciels accessibles en ligne. Or ils ne réalisent pas toujours les implications en termes de sécurité et de confidentialité des données.

Le shadow IT pose historiquement un problème aux grandes entreprises (>1000 employés) pour lesquelles les équipes IT gèrent un parc étendu de licences logiciel et matériel informatique. 

Mais avec l’avènement du cloud, même les plus petites entreprises (dès 50 salariés) sont exposées à cette contrainte. En effet, les abonnements SaaS s’accumulent sans traçabilité.

Et il en va de même pour le budget de ces apps et outils en ligne qui est devenu conséquent !

Comment contrôler le budget de ces abonnements logiciels ? Quels sont les exemples de shadow IT qui peuvent concerner les entreprises ? Et à quels risques peuvent-elle être exposées ?

Voici 6 exemples de shadow IT que LicenceOne a identifiés chez ses clients, et les solutions qui ont été mises en place pour le limiter.

Les risques du shadow IT : 6 exemples

1 - Achats non centralisés des logiciels 

Le format d’abonnement des SaaS permet un coût d’entrée relativement faible. Donc leurs achats sont perçus comme anecdotiques.

Par conséquent, les demandes d’un employé à son supérieur sont très souvent validées rapidement. Car il ne s’agit “que de quelques dizaines d’euros par mois”.

Cette situation devient un cas de Shadow IT quand aucune procédure n’existe pour prévenir, partager et suivre l’information en interne. Et plus précisément par les responsables de la sécurité.

Les employés - parfois au sein de la même équipe - souscrivent à des abonnements de logiciels qui font la même chose (chevauchement de fonctionnalités) ; et parfois même à des SaaS identiques sans forcément savoir qu’il sont déjà utilisés dans l’entreprise (!)

2 - Partage des identifiants (mots de passe / utilisateur)

De nombreux éditeurs de logiciels proposent des prix qui dépendent du nombre d’utilisateurs.

Lorsque l’usage le permet, il est alors tentant de partager une adresse email générique et le mot de passe associé.

L’intention est également louable car c’est une certaine économie pour l’entreprise : tout le service marketing utilise le même compte avec l’adresse “communication@entreprise.com”

Mais le problème associé est qu’on ne maîtrise plus les accès ! Il y a même un risque que des externes aient la possibilité de s’identifier au logiciel.

Résoudre un problème de budget pour créer un risque de sécurité… Mauvais calcul.

3 - Envoi de fichiers interne et externe

Les pièces jointes aux emails sont rapidement limitées par leur volume. 

Afin de contourner cette contrainte, les employés utilisent souvent des solutions tierces, avec des liens publics expirables. Comme WeTransfer, Smash, etc.

Une autre pratique consiste à donner des accès aux outils de stockage de l’entreprise. Qu’il s’agisse du DAM (Digital Asset Management), d’une Dropbox ou d’un Google Drive. 

Les risques sont alors nombreux car on parle de la donnée de l’entreprise qui - une fois transmise - n’est plus traçable. 

Certes des options de droit d’accès, de watermarking, et de tracking sont proposées par certains des outils cités plus haut ; mais encore faut-il savoir qui les utilisent, et surtout s’ils respectent ces bonnes pratiques.

4 - Accès à la data par les éditeurs de logiciels

Certains SaaS sont utilisés par essence pour stocker, ordonner ou publier des données pour l’entreprise. Un CRM, un logiciel de comptabilité, ou encore un outil de design par exemple. 

Dans la plupart des cas d’usage, les SaaS vont avoir besoin d’accéder à de la donnée. Ces accès sont soumis à autorisation et - dans le cas de données tierces à caractère personnel -  font l’objet d’une réglementation : le data processing agreement du RGPD. 

En d’autres termes, certaines données de l’entreprise sont mises à disposition dans les SaaS utilisés par les équipes.

Au même titre que l’exemple précédent : le risque sous-jacent intervient lorsque l’équipe IT n’a pas l’information des accès et des droits à ces logiciels. 

5 - Les intégrations logiciels

Une intégration entre plusieurs applications distinctes leur permet de communiquer, de partager des données. 

Une information ajoutée ou actualisée dans une base de données peut alors déclencher des mises à jour, des routines, des événements au sein d’autres SaaS de l’entreprise.

Ces intégrations ne nécessitent pas toutes des compétences techniques. Un accès administrateur suffit pour un logiciel en mode SaaS qui propose des intégrations natives. 

Pour s’assurer de la destination des données à partager, les SaaS demandent des clefs d’identification (API keys) accessibles dans les paramètres.

Quels risques dans ce cas ? 

Une fois l’intégration paramétrée, la data est transférée, avec des tâches qui peuvent continuer même si la personne qui a paramétré l’intégration n’a plus de compte.

En plus d’être difficiles à tracer, ces flux ne nécessitent plus d’intervention ou de statut spécifique des utilisateurs qui les ont paramétrés. 

Bref, une véritable trappe par laquelle des données sensibles peuvent fuiter.

6 - Mises à jour / version du logiciel

Les logiciels évoluent au gré de leurs mises à jour. Souvent pour proposer de nouvelles fonctionnalités aux utilisateurs, mais aussi pour remédier à des erreurs (les bugs), ou à des failles de sécurité. 

Ces dernières sont repérées à l’usage, ou en testant volontairement les mécanismes de protection et de sécurité. 

Version après version, grâce aux mises à jour, les éditeurs peuvent garantir un niveau de sécurité toujours plus élevé.

Cette thématique et le risque de piratage sont bien connus des services informatiques. Mais les mises à jour ne sont pas un réflexe parmi tous les utilisateurs.

Ces retards ou manquements compromettent donc la sécurité des accès lorsque les licences ne sont pas à jour.

Les solutions et outils pour lutter contre le Shadow IT

Malgré les risques listés plus haut, une politique trop contraignante pour l’ensemble des employés peut aussi avoir des aspects négatifs.

L’usage des solutions SaaS a aussi permis aux employés de gagner en productivité, ou même d'améliorer les ventes.

L’idée est de trouver un juste équilibre entre : 

  • Laisser un espace de liberté aux employés pour tester de nouveaux outils
  • S’assurer de l’usage effectif et des dépenses pour chaque SaaS

A vous de définir un cadre autour des abonnements logiciels : la politique de SaaS Management de l'entreprise.

La solution au Shadow IT : une politique de SaaS Management

Ce n’est pas une recette de cuisine à suivre à la lettre. Vous allez devoir l’ajuster au contexte de votre entreprise. Nous vous livrons ici les grandes lignes comme autant de pistes pour mettre en place une politique interne de SaaS management.

Et pour vous aider, vous pouvez consulter ces 2 ressources gratuites : 

Voici les 4 étapes principales :

1/ Définir une source de vérité unique pour le suivi des dépenses

  • Un spreadsheet à mettre à jour régulièrement
  • Un outil de gestion de projet dédié
  • Une application dédiée

2/ Attribuer des responsables de suivi

  • Suivi des factures (en lien avec l’administration, la comptabilité)
  • Anticiper les renouvellements, surtout en cas d’abonnement annuel
  • Négociation des contrats ou ajustement de l’offre

3/ Gérer les accès salariés : onboarding et offboarding

  • Suivi du nombre d’utilisateurs (surtout si le modèle de prix en dépend)
  • Ajout, suppression, et gestion des rôles

4/ Suivi réglementaire et conformité

  • Avoir un mapping des données
  • Recenser les intégrations tierces existantes 
  • Valider avec le DPO les aspects légaux (Data Processing Agreement)

A vous d’établir la politique interne qui sera pertinente au contexte de votre entreprise. Il est important de définir les bonnes pratiques et d’engager les équipes. 

Les employés doivent comprendre les implications financières, réglementaires et sécuritaires. Cela pourra orienter leurs choix d’applications en ligne et l’usage qu’ils en font.

Les outils pour lutter contre le Shadow IT

Dans un article dédié et régulièrement mis à jour, nous avons réuni les 23 meilleures solutions de SaaS Management.

En résumé, nous distinguons 3 types de plateformes selon les besoins

1 - SaaS Management and App Discovery    

L’objectif est de répondre aux questions “combien d’apps sont utilisées en interne ? Et quel est le budget associé ?”. 

Ces outils surveillent les dépenses et traquent l’usage effectif (ou pas) des SaaS. 

LicenceOne - Toutes les applications, leur coût, et les usages en moins de 15 minutes

Cledara - Centralise l’information via des cartes d’achat à utiliser pour souscrire aux SaaS

Trelica - Offre une fonctionnalité de feedback interne pour impliquer les utilisateurs

2 - SaaS Procurement

Cette catégorie va se focaliser sur les économies à réaliser grâce à des acheteurs externalisés. Ils proposent un service de négociation auprès des éditeurs de logiciel.

Vendr - le leader qui propose des deals pré-négociés sur leur marketplace

Welii.io - un acteur français dont le modèle garantit des économies et un ROI

Sastrify - dont la plateforme centralise également les contrats avec les éditeurs

3 - SaaS Operations

Ces solutions sont orientées grand comptes, l’objectif est d’accompagner le service IT pour gérer la sécurité et les accès d’un très grand nombre de licences (>1000 salariés)

Torii - synchronisation SSO obligatoire pour cartographier les accès

BetterCloud - acteur historique, avec un système de classification des risques

Coreview - pour les grands entreprises qui utilisent Microsoft

Les questions à se poser pour choisir
une plateforme de gestion des SaaS

Quelles fonctionnalités dois-je prioriser pour mon entreprise ?
Comment calculer le ROI pour mon entreprise ?
A quelles données les solutions de SaaS Spend Management accèdent-elles via leur intégration avec les comptes bancaires ?
Dois-je m’équiper d’une solution de gestion des achats globale ou spécialisée pour les dépenses en abonnements logiciels ?
Attention ! LicenceOne est un SaaS
Et comme nous ne voulons pas recréer le problème que nous cherchons à résoudre...
Vous ne serez pas facturé automatiquement à la fin des 30 jours d'essai !
Comment ça marche
Démarrer avec LicenceOne
logo linkedin
Français
Produit
Comment ça marche ?Prix
Fonctionnalités
Détection des SaaSOptimisation du budgetGestion des dépensesGestion des renouvellementsSuivi d'usageOffboarding utilisateur
Cas d'étude
Équipe financeManager d'équipes
Ressources
Centre d'aideSécuritéMises à jour produitExtension ChromeApp Google Workspace
Guides
Qu'est-ce-que le SaaS Management ?Comment lutter contre le SaaS sprawlOptimisez votre budget logicielShadow IT, risques et définitions
Outils gratuits
Calculez vos économies !SaaS Tracker Google Sheets TemplateSaaS Advent
Entreprise
À proposDossier de presseNous contacterMentions légalesConditions générales
Contact
ConnexionCréer un compteProgrammer un RDV
Made with ❤️  in La Rochelle - Design par @mazette.co