Le Shadow IT désigne toute ressource informatique, matériel, logiciel, service cloud ou application, utilisée au sein d’une organisation à l’insu, sans l’approbation ou la gestion du service informatique. La Shadow AI est un sous-ensemble spécifique du Shadow IT axé sur les outils d’intelligence artificielle.
Le Shadow IT existe depuis des décennies, mais l’essor des services cloud et des applications SaaS en a considérablement accru la prévalence. Les exemples courants incluent le stockage cloud personnel (Dropbox, Google Drive), les applications de messagerie non autorisées, l’usage de la messagerie personnelle à des fins professionnelles, les outils de gestion de projet non approuvés et, désormais, les services d’IA tels que ChatGPT, Claude et GitHub Copilot.
Les risques du Shadow IT comprennent : des vulnérabilités de sécurité dues à des logiciels non évalués, des fuites de données via des canaux non gérés, des violations de conformité liées à un traitement de données non contrôlé, un manque de visibilité sur les flux de données de l’organisation, des difficultés de support et d’intégration, et une surface d’attaque accrue.
Les stratégies de gestion comprennent : des outils de découverte qui identifient les services non autorisés, des politiques claires assorties de processus d’approbation pratiques, la mise à disposition d’alternatives approuvées répondant aux besoins des utilisateurs, la sensibilisation des employés aux risques, la surveillance du réseau et les contrôles d’accès, ainsi que des audits réguliers de l’usage des technologies. L’objectif est de concilier sécurité et productivité des employés.