Les entreprises utilisent aujourd’hui en moyenne plus de 2 000 applications SaaS, dont plus de 60 % n’ont jamais été approuvées par les équipes informatiques. Microsoft a même établi que 80 % des salariés ont recours à des outils non sanctionnés pour accomplir leur travail quotidien. Cette réalité constitue ce que les experts en sécurité nomment le « nouveau Shadow IT » : une extension incontrôlée de l’informatique hors du périmètre visible des services de sécurité traditionnels.
Pourquoi les outils SaaS échappent aux radars de la sécurité
Les solutions de sécurité classiques ont été conçues pour surveiller les réseaux et les postes de travail. Or, les applications SaaS fonctionnent à l’extérieur de ces périmètres : elles communiquent entre elles via des API, échangent des tokens OAuth et accèdent à des données d’entreprise sans jamais transiter par les équipements que les équipes IT contrôlent. Résultat : les angles morts sont immenses. Une connexion entre un outil d’IA générative et Google Drive, Slack ou Microsoft OneDrive peut s’établir en quelques clics, accordant à l’outil des droits de lecture et d’écriture larges sur des données sensibles, sans que personne n’en soit informé.
Le Cloud Security Alliance estime que les mauvaises configurations représentent la principale cause des incidents SaaS : permissions excessives, portées OAuth trop larges, partages de fichiers ouverts à l’ensemble de l’organisation. Ces erreurs banales deviennent des vecteurs d’attaque dès lors qu’un acteur malveillant compromise l’un de ces outils.
Les risques pour les données personnelles et la conformité RGPD
Du point de vue du RGPD, le recours à des applications SaaS non approuvées soulève plusieurs problèmes de fond. L’article 32 impose au responsable de traitement d’adopter des mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque. Or, si l’entreprise ignore qu’une application traite des données personnelles de ses clients ou salariés, elle ne peut pas évaluer ce risque, et encore moins le maîtriser.
L’article 28 du RGPD exige par ailleurs que tout sous-traitant traitant des données pour le compte d’un responsable de traitement soit encadré par un contrat garantissant des mesures de protection adéquates. Un outil SaaS utilisé à l’insu de la direction est, par définition, un sous-traitant sans contrat, sans évaluation préalable et sans clause de sécurité. En cas de violation de données impliquant cet outil, les obligations des articles 33 et 34 s’appliquent néanmoins : notification à la CNIL dans les 72 heures, et communication aux personnes concernées si le risque est élevé.
NIS2 : de nouvelles obligations sur la gestion de la chaîne SaaS
La directive NIS2, entrée en vigueur dans sa transposition française, renforce les obligations des entités importantes et essentielles en matière de gestion des risques liés aux prestataires et aux outils numériques. Les organisations concernées doivent désormais documenter, évaluer et surveiller les risques liés à leurs fournisseurs de services numériques, y compris les applications SaaS. L’usage non contrôlé de ces outils expose directement les organisations à des manquements à ces exigences.
Conseils pratiques pour reprendre le contrôle du parc SaaS
La maîtrise du Shadow IT SaaS repose sur une approche structurée en plusieurs étapes :
- Effectuez un audit régulier de toutes les applications connectées à votre environnement cloud (Google Workspace, Microsoft 365, etc.) en révisant les autorisations OAuth accordées.
- Mettez en place un processus formel de validation avant tout usage d’un nouvel outil SaaS : vérification du contrat de sous-traitance, des garanties de sécurité et de la localisation des données.
- Sensibilisez vos collaborateurs aux risques liés à la connexion d’outils non approuvés à vos systèmes d’information, en particulier les outils d’IA générative.
- Intégrez un inventaire des applications SaaS à votre registre de traitement, conformément à l’article 30 du RGPD, avec pour chaque outil les catégories de données traitées et les garanties contractuelles obtenues.
- Envisagez l’adoption d’une solution de type SSPM (SaaS Security Posture Management) permettant une découverte continue des applications, une détection des mauvaises configurations et une révocation rapide des accès compromis.
Face à l’ampleur du phénomène, ignorer le Shadow IT SaaS n’est plus une option viable. Les organisations qui ne cartographient pas leur parc applicatif prennent un risque réglementaire et opérationnel dont les conséquences peuvent se mesurer en millions d’euros d’amendes CNIL et en perte de confiance durable de leurs clients et partenaires.
