Bertie Bosrédon
Bertie Bosredon, resources for NGOs and charities
Technology

Checklist Shadow IT

Qu'est-ce que le Shadow IT ?

Le Shadow IT désigne toute technologie utilisée au sein d'une organisation sans la connaissance ni l'approbation de la personne responsable de l'informatique, qu'il s'agisse d'une équipe interne ou d'un prestataire externe. Il englobe les applications, les logiciels, les services cloud, les appareils et, de plus en plus, les outils d'IA.

Malgré son nom, il n'a rien de sinistre (et ce n'est pas un DJ). Il s'agit le plus souvent de staff plein de bonne volonté qui se tournent vers un outil pour faire leur travail lorsque la solution officielle est trop lente, absente ou difficile à utiliser.

Toute organisation fonctionne avec plus d'outils que sa direction ne l'imagine. On s'inscrit à des applications, des services sur le cloud et des assistants d'IA qui nous aident à travailler plus vite (souvent plusieurs comme ça quand on a plus de crédit gratuit sur ChatGPT on bascule sur Claude !), sans que la DSI ne le sache.

Cela se fait rarement pour enfreindre les règles. Les staff se tournent vers des outils qui résolvent un vrai problème lorsque les options officielles semblent lentes, absentes ou difficiles à utiliser (hello Sharepoint... hello copilot).

J'ai préparé cette checklist à partir de mes projets récents. C'est un point de départ pratique pour les associations qui veulent mettre le Shadow IT en lumière 😉 sans freiner l'initiative qui l'a fait naître.

À qui s'adresse cette checklist

Cette ressource est conçue pour les organisations qui :

  • Constatent que le personnel utilise des applications et des abonnements jamais formellement approuvés
  • Paient des outils que personne ne peut vraiment justifier
  • S'inquiètent de voir des données de donateurs ou de bénéficiaires stockées dans des systèmes non vérifiés
  • Voient des outils d'IA se répandre de façon informelle entre les équipes
  • Cherchent à passer d'un risque silencieux à une gouvernance simple et partagée

Pourquoi le Shadow IT apparaît

Comprendre la cause facilite grandement la résolution. Les raisons courantes sont :

  • Les outils officiels sont lents, absents ou pénibles à utiliser
  • Les achats ou les validations prennent trop de temps
  • Les budgets sont serrés et les outils gratuits sont à portée de clic
  • Les équipes avancent à des rythmes différents et choisissent leurs propres solutions
  • Personne n'a expliqué au personnel ce qui est autorisé ou non

Pourquoi c'est important pour les associations

  • Exposition à la protection des données et au RGPD lorsque des données personnelles se trouvent dans des outils que personne n'a vérifiés
  • Une surface d'attaque plus large, à l'heure où les cyberattaques contre les associations augmentent
  • Un budget gaspillé en abonnements doublonnés, oubliés ou qui se recoupent
  • Une perte de savoir lorsque les outils reposent sur des comptes personnels et partent avec la personne
  • Des conflits et une inefficacité lorsque des outils non gérés entrent en conflit avec les systèmes existants

Du Shadow IT au Shadow AI

La forme de Shadow IT qui progresse le plus vite est l'IA non approuvée. Le personnel peut coller des informations sensibles dans un outil d'IA gratuit en quelques secondes, sans trace ni supervision. Cela crée des angles morts où les données de donateurs ou de bénéficiaires peuvent fuiter ou servir à entraîner des modèles externes. Si vous vous attaquez au Shadow IT, traitez l'IA comme sa partie la plus urgente, et associez cette ressource à un diagnostic de préparation à l'IA.

Le repérer : une checklist de découverte

Utilisez-la pour trouver ce qui est déjà en usage. Vous n'avez pas besoin d'une surveillance d'entreprise, juste d'un examen attentif.

Passer en revue les relevés de carte et les notes de frais pour repérer les abonnements logiciels
Lister chaque outil utilisé par chaque équipe au cours d'une semaine type
Demander au personnel, sans reproche, quels outils il utilise et pourquoi
Vérifier quels outils contiennent des données personnelles ou sensibles
Repérer les outils liés à un compte personnel ou à une seule personne
Identifier les outils en double qui remplissent la même fonction
Signaler tout outil d'IA utilisé avec des données de l'organisation

L'évaluer : une checklist des risques

Passez en revue ces points pour chaque outil trouvé. Cochez une case lorsque la réponse est un oui assuré.

Nous savons qui en est responsable et qui le paie
Nous savons s'il contient des données personnelles, financières ou de protection
Il dispose d'un contrat signé et de conditions claires de traitement des données
L'accès est lié à un compte de l'organisation, et non à un compte personnel
Nous conserverions l'accès si cette personne partait demain
Il ne fait pas doublon avec un outil que nous payons déjà
Il est pris en compte dans notre réflexion sur la protection des données et la sécurité

Le corriger : une checklist de gouvernance

Mettre le Shadow IT en lumière, c'est proposer de meilleurs chemins, pas des interdictions générales.

Créer une liste d'outils approuvés, avec l'usage et les conditions de chacun
Donner au personnel un moyen simple et rapide de demander un nouvel outil
Désigner une personne responsable de l'examen et de l'approbation des outils
Rédiger une politique courte et lisible couvrant les lignes rouges sur les données et l'usage de l'IA
Basculer les outils critiques vers des comptes et une facturation de l'organisation
Former le personnel avec des exemples tirés de son propre travail
Instaurer une culture sans reproche pour que chacun déclare honnêtement ses outils
Intégrer l'accès aux outils à votre processus d'arrivée et de départ
Revoir la liste des outils approuvés tous les 60 à 90 jours

Quelques lignes rouges

Quels que soient les outils que vous approuvez, gardez ces informations sensibles hors des applications et outils d'IA non approuvés :

  • Données personnelles sur les donateurs, sympathisants, bénéficiaires, salariés ou bénévoles
  • Informations relatives aux dossiers, à la protection, à la santé ou aux questions juridiques
  • Coordonnées de paiement, coordonnées bancaires ou pièces d'identité
  • Documents de stratégie confidentiels, documents du conseil ou contrats
  • Exports bruts issus du CRM, de la collecte de fonds ou des systèmes de prestation de services

À quoi ressemble une bonne pratique

Vous n'avez pas besoin d'un système parfait. Au minimum, votre organisation devrait pouvoir dire :

Nous savons quels outils notre personnel utilise réellement
Nous savons quelles données ne doivent jamais entrer dans des outils non approuvés
Nous avons un moyen simple et rapide de demander et d'approuver de nouveaux outils
Nous avons une personne responsable de la liste des outils approuvés
Nous pouvons expliquer notre démarche aux administrateurs, au personnel, aux donateurs et aux partenaires

Besoin d'aide pour mettre le Shadow IT en lumière ?

J'aide les associations à transformer des outils dispersés en un ecoystem simple (enfin disont simplifé et plus robuste) et surtout bien gouverné.

Un diagnostic digital rapide peut vous aider à :

  • Cartographier les outils déjà utilisés par les équipes
  • Identifier les risques liés aux données et à la sécurité
  • Convenir d'une liste d'outils approuvés et d'un processus de demande
  • Définir des lignes rouges claires sur les données et l'IA
  • Renforcer la confiance du personnel avec des conseils pratiques

Consultez ma page services pour plus d'informations

Ressource mise à jour le 9 juillet 2026


Voir plus de ressources