20 avril 2026 Astuces Patrowl team

Comment détecter le shadow it en continu ? Guide et étapes clefs

30 à 40 % des actifs exposés sur internet d'une organisation ne figurent pas dans son inventaire IT. Le Shadow IT n'est pas un problème d'hygiène informatique. C'est une surface d'attaque invisible que vos outils actuels ne surveillent pas.

Ce guide explique ce qu'est réellement le Shadow IT, pourquoi il représente un risque concret pour les RSSI et les DSI, et comment le cartographier avant que les attaquants ne le fassent. Ce guide inclut des exemples documentés de compromissions réelles (Twitch, Volkswagen, Dedalus) et un guide opérationnel en 5 actions.

Définition du Shadow IT

Ensemble des systèmes, applications, services et actifs informatiques utilisés au sein d'une organisation sans approbation, connaissance ou supervision de la DSI. Ce n'est pas uniquement lié à un contournement volontaire : les équipes métier déploient souvent des outils pour répondre à des besoins opérationnels réels, indépendamment des processus IT en place.

Pourquoi le Shadow IT est dangereux ?


Pendant longtemps, le Shadow IT était traité comme un problème de gouvernance IT : des équipes qui contournent la DSI, des outils SaaS non référencés, des dépenses hors processus. Un irritant, pas une menace.

Ce n'est plus le cas. Aujourd'hui, chaque actif non déclaré est un actif non surveillé. Un actif non surveillé est une porte d'entrée potentielle pour un attaquant qui, lui, n'a pas besoin de votre inventaire pour le trouver.

LE PROBLÈME FONDAMENTAL

Un attaquant part de votre nom de domaine et reconstitue tout ce qui en découle : sous-domaines, certificats SSL, services exposés, stockage cloud, interfaces applicatives héritées. Il trouve ce que vous avez oublié, avant que vous ne l'ayez identifié vous-même.

La DSI connaît les actifs qu'elle a officiellement déployés ou référencés — y compris dans des infrastructures cloud gérées en interne. Elle ne connaît pas nécessairement :

  • Les environnements de développement ou de pré-production jamais déprovisionnés après un projet

  • Les buckets cloud créés par une équipe data sans passer par la DSI

  • Les sous-domaines hérités d'une acquisition ou d'un prestataire trois ans plus tôt

  • Les instances SaaS activées par une direction métier avec une carte bancaire personnelle ou professionnelle, sans passer par la DSI

  • Les interfaces applicatives héritées que personne n'a désactivées après une refonte

  • Les systèmes de prestataires tiers connectés à votre environnement

Ces actifs répondent aux requêtes. Ils sont accessibles depuis internet. Et personne dans votre équipe sécurité ne les surveille.

DONNÉE CLÉ

  • 30–60% d'actifs exposés non présents dans l'inventaire IT déclaré
    Patrowl — données internes, 2024

  • 76%des organisations ont subi une attaque initiée par un actif inconnu ou non géré
    Enterprise Strategy Group, 2024

  • 35% d'actifs internet-exposés supplémentaires découverts après déploiement d'un outil EASM

    Security Magazine, 2023

Sur les organisations qui ont déployé Patrowl, la première itération détecte en moyenne 30 à 60 % d'actifs exposés absents de l'inventaire IT déclaré. C'est un angle mort structurel, pas une exception.

Les 5 catégories de Shadow IT à surveiller

Pour un RSSI, le périmètre à surveiller va bien au-delà des outils SaaS non référencés. Les catégories ci-dessous couvrent l'ensemble des actifs typiquement absents des inventaires IT déclarés.

1- INFRASTRUCTURE OUBLIÉE

  • Environnements de développement ou pré-production non déprovisionnés

  • Serveurs de compilation ou de test laissés actifs

  • Instances cloud créées pour un projet et abandonnées

  • Sous-domaines hérités d'acquisitions ou de migrations

  • Sites ou applications créés pour une opération temporaire (promotion, événement, campagne) et oubliés après sa fin

2- SAAS NON RÉFÉRENCÉ

  • Outils activés par carte bancaire personnelle ou budget équipe

  • Comptes non désactivés ou supprimés après le départ d'un collaborateur

  • Intégrations API avec des services tiers non validés

  • Comptes créés par des collaborateurs partis

3- CLOUD NON MAÎTRISÉ NI CONTRÔLÉ

  • Buckets S3 ou Azure Blob créés hors processus IT

  • Comptes cloud ouverts par des équipes data ou marketing

  • Configurations permissives laissées par défaut

  • Accès publics non intentionnels sur des ressources internes

4- TIERS & PRESTATAIRES

  • Systèmes de support ou CRM de prestataires connectés à votre SI

  • APIs de partenaires non documentées dans votre inventaire

  • Accès VPN accordés à des prestataires et jamais révoqués

  • Filiales et entités rachetées non encore intégrées

5- SHADOW IT VS INVENTAIRE DÉCLARÉ

L'inventaire IT connaît ce que la DSI a déployé. L'inventaire EASM connaît ce qui est réellement exposé sur internet, en partant de votre nom de domaine et de vos noms de marque, exactement comme un attaquant. C'est la différence entre ce que vous pensez exposer et ce que vous exposez vraiment.

3 compromissions liées au Shadow IT


Twitch — erreur de configuration serveur et accès aux dépôts internes

Octobre 2021 · 125 Go de données exfiltrées · code source exposé

Une erreur de configuration serveur chez Twitch a permis à un tiers non autorisé d'accéder aux dépôts Git internes. Code source de la plateforme, outils sécurité internes, données de rémunération des streamers : 125 Go de données ont été exfiltrés et publiés sur 4chan en octobre 2021. L'accès initial résultait d'une mauvaise configuration, pas d'une attaque sophistiquée.

SHADOW IT EN CAUSE

L'investigation a révélé que les serveurs mal configurés étaient accessibles depuis internet. Une cartographie continue de la surface exposée depuis les domaines racines de Twitch aurait identifié les serveurs accessibles, comme le fait un attaquant en phase de reconnaissance.

Volkswagen / Cariad — le bucket S3 ouvert pendant des mois

2024 · 800 000 enregistrements exposés · données de géolocalisation VE

Un bucket cloud de Cariad, l'entité software du groupe Volkswagen, est resté en accès public pendant plusieurs mois. Il contenait des données de géolocalisation de 800 000 véhicules électriques, y compris ceux de personnalités politiques et d'officiers militaires allemands. L'actif n'était surveillé par personne après son déploiement.

SHADOW IT EN CAUSE

À l'échelle d'un groupe international comme Volkswagen, il est structurellement impossible de suivre manuellement chaque service cloud déployé par chaque entité. La surveillance continue des buckets cloud exposés fait partie du périmètre EASM de base. C'est précisément ce type d'actif que les inventaires IT ne capturent pas.

Dedalus Biologie — données de santé de 500 000 Français sur un serveur FTP oublié

2021 · 500 000 patients exposés · amende CNIL de 1,5 M€ · données médicales sensibles

Lors d'une migration de logiciel, Dedalus Biologie a transféré des données personnelles de santé de 500 000 patients français vers un serveur FTP temporaire, non sécurisé et non chiffré. Ce serveur n'a pas été décommissionné après la fin de la migration. Les données — numéros de sécurité sociale, traitements médicaux, informations sur le VIH et les grossesses — ont été exposées sur internet pendant plusieurs mois avant d'être découvertes. La CNIL a condamné Dedalus à 1,5 million d'euros d'amende en avril 2022.

SHADOW IT EN CAUSE

Le serveur FTP n'apparaissait dans aucun inventaire de sécurité après la fin de la migration. Une cartographie continue de la surface exposée depuis les domaines racines de Dedalus l'aurait identifié comme actif joignable depuis internet — exactement le type d'actif oublié que l'EASM détecte en continu.

LE POINT COMMUN

Dans ces trois incidents, les actifs compromis étaient absents des inventaires de sécurité et accessibles depuis internet. Pour Twitch, Volkswagen et Dedalus, une cartographie externe continue aurait identifié les services exposés non référencés avant qu'un attaquant, un chercheur ou un journaliste ne les découvre.

Comment découvrir votre Shadow IT

La bonne méthode pour cartographier le Shadow IT est contre-intuitive : il ne faut pas partir de l'intérieur (vos systèmes, vos logs, vos tickets IT), mais de l'extérieur, comme un attaquant.

PRINCIPE FONDAMENTAL

La perspective depuis l'extérieur (outside-in)

Partir de votre nom de domaine racine et reconstituer automatiquement tout ce qui en découle sur internet, sans se limiter à ce que vous avez déclaré. C'est le principe de l'External Attack Surface Management (EASM), la seule approche qui trouve ce que vous ne connaissez pas.

Le processus en 4 étapes:

  1. Partir du nom de domaine

    Tout commence par le domaine racine (company.com), mais aussi par les noms d'entreprise, de marques et de produits. Ces données servent à reconstituer la surface exposée — sous-domaines via les certificats SSL et les registres DNS, plages IP associées, numéros d'AS (ASN), identifiants cloud — et à valider l'appartenance des actifs découverts. Cette étape remonte des actifs jamais déclarés : filiales, acquisitions, environnements de test, prestataires.

  2. Identifier ce qui est actif et exposé

    Chaque actif découvert est sondé sur plusieurs centaines de protocoles courants pour vérifier s'il est actif ou simplement réservé (domaine parqué, service inactif). Les technologies exposées sont identifiées, ainsi que les ports ouverts. À cette étape apparaissent les serveurs de pré-production accessibles, les panneaux d'administration non protégés, les espaces de stockage cloud en accès public.

  3. Qualifier le risque de chaque actif

    Chaque actif est croisé avec les CVE connues, le score EPSS, le catalogue KEV de la CISA, et les données de contexte métier. Les défauts de configuration et mauvaises pratiques d'exposition sont également identifiés. L'EASM ne se substitue pas au test d'intrusion : il qualifie l'exposition et la criticité de chaque actif. Un espace de stockage cloud en accès public avec des données clients n'a pas le même niveau de risque qu'un sous-domaine expiré sans service actif.

  4. Surveiller en continu les nouveaux actifs

    Le Shadow IT n'est pas statique. Chaque déploiement, chaque nouvelle intégration, chaque acquisition peut introduire de nouveaux actifs non déclarés. La surveillance continue détecte les changements dès qu'ils apparaissent, pas au prochain audit annuel.

Matrice de risque Shadow IT par type d'actif

Tous les actifs Shadow IT n'ont pas le même niveau de risque. La priorité de remédiation dépend de deux facteurs : l'exposition internet et la sensibilité des données ou accès que l'actif contrôle.

Un actif classé en interne peut passer en priorité critique en quelques heures, si une mauvaise configuration le rend accessible depuis internet. Un audit ponctuel ne capturera pas ce changement. La surveillance continue détecte ce changement dès son apparition et déclenche une alerte.

5 actions concrètes pour votre équipe de sécurité

Vous n'avez pas besoin d'une équipe de pentesteurs pour commencer à réduire votre Shadow IT. Voici cinq actions réalisables, ordonnées par impact.

  1. Cartographier vos sous-domaines depuis l'extérieur

    Demandez à votre prestataire sécurité ou à votre outil EASM une liste exhaustive des sous-domaines actifs associés à vos domaines racines. Comparez avec votre inventaire IT. L'écart révèle vos actifs exposés non référencés. Les sous-domaines sont souvent les plus dangereux car directement accessibles depuis internet.

  2. Auditer vos buckets cloud et actifs de stockage

    Demandez à vos équipes cloud une liste de tous les espaces de stockage (S3, Azure Blob, GCS) avec leur politique d'accès. Si votre organisation ne dispose pas d'un inventaire centralisé, une énumération externe depuis vos domaines racines est le moyen le plus rapide d'en obtenir un. Tout espace accessible publiquement sans raison documentée est une priorité immédiate.

  3. Cartographier les accès tiers actifs

    Listez tous les prestataires ayant un accès à votre SI : VPN, API, comptes de service. Définissez et appliquez des processus de gestion des arrivées et des départs. Révoquez les accès des prestataires dont la mission est terminée. Vérifiez que les systèmes de vos prestataires actifs ne sont pas exposés sur internet sans surveillance.

  4. Inclure les acquisitions dans le périmètre de sécurité

    Lors de chaque acquisition, déclenchez une cartographie EASM de l'entité rachetée avant intégration au SI groupe. Les actifs hérités d'une acquisition sont souvent les plus risqués : inconnus, non à jour, et directement exposés sur internet.

  5. Mettre en place une surveillance continue

    Un audit Shadow IT donne un instantané de l'existant. Votre infrastructure change en permanence. La mise en place d'une surveillance continue via un outil EASM ou un PTaaS garantit que chaque nouvel actif est détecté dès son apparition, pas six mois plus tard.

Comment Patrowl adresse le Shadow IT

Patrowl s'inscrit dans un processus CTEM en combinant EASM et validation des vulnérabilités dans une plateforme unifiée. La première itération détecte en moyenne 30 à 60 % d'actifs exposés absents de l'inventaire IT déclaré. La surveillance continue garantit que chaque nouvel actif est remonté dès son apparition, avec un niveau de risque contextualisé plutôt qu'une liste brute de résultats non priorisés.

Exemples de déploiements clients

MGEN (mutuelle, 4 millions d'adhérents). Avant Patrowl, la surface d'attaque exposée n'était évaluée qu'à l'occasion de tests d'intrusion ponctuels, dont les résultats étaient déjà partiellement obsolètes à la remise du rapport. La cartographie EASM continue a permis à MGEN de disposer d'une visibilité permanente sur l'ensemble de ses actifs exposés, y compris ceux qui n'apparaissaient dans aucun inventaire IT déclaré.

Colas (groupe de construction international, plus de 50 pays). À cette échelle, l'inventaire manuel de la surface d'attaque exposée est structurellement impossible, en particulier pour les filiales et entités rachetées — qui multiplient les domaines, sous-domaines et infrastructures héritées. Patrowl permet à Colas de reprendre le contrôle de la sécurité de l'ensemble de ses entités depuis les domaines racines du groupe, y compris après chaque acquisition.

Brest Métropole. Lors de la publication de CVE-2025-53770 (vulnérabilité critique d'exécution de code à distance sur SharePoint Server, CVSS 9.8), Patrowl a développé l'exploit, l'a testé sur les actifs SharePoint exposés de la métropole et transmis l'alerte à la Blue Team en 39 minutes. Notification à 15h57, alerte après validation de l'exploitabilité à 16h36. Ce cas illustre ce que permet la surveillance continue : non pas seulement détecter qu'une CVE existe, mais confirmer en production si l'actif est réellement vulnérable, et alerter immédiatement.

FAQ

Comment savoir si j'ai du Shadow IT exposé sur internet ?
La méthode la plus fiable est de partir de l'extérieur : énumérer vos sous-domaines et actifs exposés depuis vos domaines racines et noms de marque, vérifier lesquels sont actifs sur plusieurs centaines de protocoles courants, et comparer avec votre inventaire IT déclaré. L'écart correspond à vos actifs non référencés. L'EASM est une composante essentielle de cette démarche : il automatise cette cartographie en continu. Sur les organisations qui ont déployé Patrowl, cet écart est en moyenne de 30 à 60 % du total des actifs découverts.
Quelle est la différence entre Shadow IT et EASM ?
Le Shadow IT désigne l'ensemble des actifs exposés sur internet sans gouvernance IT. L'EASM (gestion de la surface d'attaque externe) est l'approche qui permet de les découvrir, les cartographier et les surveiller en continu depuis la perspective d'un attaquant. Il constitue la première étape pour rendre le Shadow IT visible — la remédiation et la validation restent des étapes complémentaires.
NIS2 et ISO 27001 imposent-elles de gérer le Shadow IT ?
Ni NIS2 ni ISO 27001 ne mentionnent explicitement le Shadow IT. Mais l'article 21 de NIS2 impose la gestion des risques, la cartographie des actifs et la surveillance continue de la surface exposée, ce qui couvre directement le Shadow IT. ISO 27001 impose un inventaire exhaustif des actifs dans son annexe A. Dans les deux cas, un actif non inventorié est une non-conformité.
Combien de temps faut-il pour cartographier son Shadow IT ?
Avec un outil EASM, le premier scan produit une cartographie initiale en 24 à 48 heures. Ce premier résultat n'est pas exhaustif : la découverte s'affine en continu à mesure que de nouveaux actifs sont détectés. En pratique, la majorité des actifs critiques non cartographiés remontent dans les 48 premières heures. L'écart moyen constaté sur les déploiements Patrowl est de 30 à 60 % du total des actifs découverts.
Le Shadow IT est-il un problème réservé aux grandes organisations ?
Non. Le Shadow IT est proportionnel à la taille de l'organisation, mais il existe dès lors qu'une entreprise a plusieurs équipes, plusieurs prestataires et plusieurs projets en parallèle. Les PME sont souvent plus vulnérables car elles ont moins de processus de gouvernance IT, et donc plus d'actifs créés sans supervision sécurité.

Cartographiez votre Shadow IT en 48h

Découvrez les actifs exposés que votre inventaire IT ne voit pas — en moyenne 30 à 60 % de votre surface réelle — avant que les attaquants ne les trouvent.

Demander une démo

Nos dernières actualités

Voir plus d'actualités