
Checklist Shadow IT
Qu'est-ce que le Shadow IT ?
Le Shadow IT désigne toute technologie utilisée au sein d'une organisation sans la connaissance ni l'approbation de la personne responsable de l'informatique, qu'il s'agisse d'une équipe interne ou d'un prestataire externe. Il englobe les applications, les logiciels, les services cloud, les appareils et, de plus en plus, les outils d'IA.
Malgré son nom, il n'a rien de sinistre (et ce n'est pas un DJ). Il s'agit le plus souvent de staff plein de bonne volonté qui se tournent vers un outil pour faire leur travail lorsque la solution officielle est trop lente, absente ou difficile à utiliser.
Toute organisation fonctionne avec plus d'outils que sa direction ne l'imagine. On s'inscrit à des applications, des services sur le cloud et des assistants d'IA qui nous aident à travailler plus vite (souvent plusieurs comme ça quand on a plus de crédit gratuit sur ChatGPT on bascule sur Claude !), sans que la DSI ne le sache.
Cela se fait rarement pour enfreindre les règles. Les staff se tournent vers des outils qui résolvent un vrai problème lorsque les options officielles semblent lentes, absentes ou difficiles à utiliser (hello Sharepoint... hello copilot).
J'ai préparé cette checklist à partir de mes projets récents. C'est un point de départ pratique pour les associations qui veulent mettre le Shadow IT en lumière 😉 sans freiner l'initiative qui l'a fait naître.
À qui s'adresse cette checklist
Cette ressource est conçue pour les organisations qui :
- Constatent que le personnel utilise des applications et des abonnements jamais formellement approuvés
- Paient des outils que personne ne peut vraiment justifier
- S'inquiètent de voir des données de donateurs ou de bénéficiaires stockées dans des systèmes non vérifiés
- Voient des outils d'IA se répandre de façon informelle entre les équipes
- Cherchent à passer d'un risque silencieux à une gouvernance simple et partagée
Pourquoi le Shadow IT apparaît
Comprendre la cause facilite grandement la résolution. Les raisons courantes sont :
- Les outils officiels sont lents, absents ou pénibles à utiliser
- Les achats ou les validations prennent trop de temps
- Les budgets sont serrés et les outils gratuits sont à portée de clic
- Les équipes avancent à des rythmes différents et choisissent leurs propres solutions
- Personne n'a expliqué au personnel ce qui est autorisé ou non
Pourquoi c'est important pour les associations
- Exposition à la protection des données et au RGPD lorsque des données personnelles se trouvent dans des outils que personne n'a vérifiés
- Une surface d'attaque plus large, à l'heure où les cyberattaques contre les associations augmentent
- Un budget gaspillé en abonnements doublonnés, oubliés ou qui se recoupent
- Une perte de savoir lorsque les outils reposent sur des comptes personnels et partent avec la personne
- Des conflits et une inefficacité lorsque des outils non gérés entrent en conflit avec les systèmes existants
Du Shadow IT au Shadow AI
La forme de Shadow IT qui progresse le plus vite est l'IA non approuvée. Le personnel peut coller des informations sensibles dans un outil d'IA gratuit en quelques secondes, sans trace ni supervision. Cela crée des angles morts où les données de donateurs ou de bénéficiaires peuvent fuiter ou servir à entraîner des modèles externes. Si vous vous attaquez au Shadow IT, traitez l'IA comme sa partie la plus urgente, et associez cette ressource à un diagnostic de préparation à l'IA.
Le repérer : une checklist de découverte
Utilisez-la pour trouver ce qui est déjà en usage. Vous n'avez pas besoin d'une surveillance d'entreprise, juste d'un examen attentif.
L'évaluer : une checklist des risques
Passez en revue ces points pour chaque outil trouvé. Cochez une case lorsque la réponse est un oui assuré.
Le corriger : une checklist de gouvernance
Mettre le Shadow IT en lumière, c'est proposer de meilleurs chemins, pas des interdictions générales.
Quelques lignes rouges
Quels que soient les outils que vous approuvez, gardez ces informations sensibles hors des applications et outils d'IA non approuvés :
- Données personnelles sur les donateurs, sympathisants, bénéficiaires, salariés ou bénévoles
- Informations relatives aux dossiers, à la protection, à la santé ou aux questions juridiques
- Coordonnées de paiement, coordonnées bancaires ou pièces d'identité
- Documents de stratégie confidentiels, documents du conseil ou contrats
- Exports bruts issus du CRM, de la collecte de fonds ou des systèmes de prestation de services
À quoi ressemble une bonne pratique
Vous n'avez pas besoin d'un système parfait. Au minimum, votre organisation devrait pouvoir dire :
Besoin d'aide pour mettre le Shadow IT en lumière ?
J'aide les associations à transformer des outils dispersés en un ecoystem simple (enfin disont simplifé et plus robuste) et surtout bien gouverné.
Un diagnostic digital rapide peut vous aider à :
- Cartographier les outils déjà utilisés par les équipes
- Identifier les risques liés aux données et à la sécurité
- Convenir d'une liste d'outils approuvés et d'un processus de demande
- Définir des lignes rouges claires sur les données et l'IA
- Renforcer la confiance du personnel avec des conseils pratiques
Consultez ma page services pour plus d'informations
Ressource mise à jour le 9 juillet 2026
