appsec/shadow-it.tsx

Shadow IT : trouver les actifs exposés que personne
ne gère

Le sous-domaine de campagne oublié, le bucket S3 d'un prestataire parti, l'API de staging temporaire de 2021 : voilà votre vraie surface d'attaque. Comment cartographier le shadow IT et découvrir les actifs exposés via EASM, OSINT et certificate transparency.

Maxime Jérôme·3 juin 2026·9 min de lecture

Demandez à votre DSI la liste exhaustive des actifs que votre organisation expose sur Internet. Vous recevrez un tableur, propre, rassurant, à jour de l'an dernier. Lancez ensuite une vraie découverte d'assets exposés, et préparez-vous : le chiffre réel sera plus grand. Toujours plus grand. Quelque part entre « tiens, on a encore ce sous-domaine ? » et « attendez, ce serveur tourne depuis 2021 ?».

Bienvenue dans le monde merveilleux du shadow IT : tout ce qui existe, tourne, écoute sur un port, et que personne ne gère. Dans cet article, on définit proprement la bête, on explique pourquoi elle est dangereuse, et surtout on voit comment la traquer concrètement avec l'EASM, l'OSINT et les logs de certificate transparency. Spoiler : vous allez probablement découvrir des choses.

Homme devant un mur de papiers et de fils rouges reliés, façon théorie du complot — Vous, à 23h, en train de cartographier les 400 sous-domaines que personne n'avait documentés.

Le shadow IT, c'est quoi au juste ?

Le shadow IT (informatique fantôme) désigne tout matériel, logiciel ou service cloud utilisé dans une organisation sans la connaissance ni l'approbation de la DSI. Ça part rarement d'une mauvaise intention : une équipe marketing qui spin-up un sous-domaine pour une landing page, un dev qui déploie une API de test « juste pour deux semaines », un prestataire qui crée un bucket de stockage pour un livrable. Personne ne ferme rien. Et l'actif reste là, exposé, oublié.

L'ampleur du phénomène a de quoi faire pâlir. Selon Cisco, environ 80 % des employés utilisent du shadow IT, et Proofpoint estime que 97 % des applications cloud utilisées en entreprise échappent totalement au contrôle de la DSI. Côté impact, l'analyse de Bitsight recense plus de 230 millions d'expositions rien qu'aux États-Unis, soit plus de 40 % du total mondial.

Shadow IT vs surface d'attaque externe

Le shadow IT n'est pas qu'un problème de gouvernance RH. Chaque actif non suivi agrandit mécaniquement votre surface d'attaque externe. Comme le résume Brandefense : tout compte SaaS non suivi, tout sous-domaine non réclamé, toute API non gérée est un point d'entrée potentiel.

Pourquoi c'est dangereux (et pas juste « pas propre »)

Un attaquant ne fait pas la différence entre votre fierté architecturale et le vieux WordPress que personne n'a patché depuis trois ans. Il scanne, il trouve, il rentre par le maillon faible. Et le maillon faible, c'est presque toujours un actif que vous ne saviez même pas avoir en ligne. Voici le bestiaire classique de la découverte d'assets exposés en 2025 :

Buckets de stockage mal configurés : S3, Azure Blob ou Google Cloud Storage ouverts en lecture publique. Le grand classique de la fuite de données.
Portails d'administration exposés : sous-domaines oubliés avec une page de login, souvent sans authentification multifacteur.
VPN et passerelles d'accès distant obsolètes : des équipements legacy toujours en ligne, avec des CVE connues et publiques.
Frameworks web non patchés : WordPress, Drupal ou un vieux framework JS sur un site qu'on a oublié de débrancher.
Environnements de dev et de staging : serveurs de test avec des identifiants par défaut ou faibles.
Enregistrements DNS abandonnés : des entrées qui pointent vers une ressource décommissionnée, vulnérables au subdomain takeover.

Le problème de fond ? On ne protège pas, on ne patche pas, on ne surveille pas ce qu'on ne voit pas. L'IBM Cost of a Data Breach Report 2025 estime d'ailleurs que 35 % des violations impliquent des actifs non gérés. Le shadow IT n'est pas un angle mort cosmétique : c'est l'angle mort par lequel on se fait défoncer.

Chien assis dans une pièce en feu disant 'this is fine' — L'inventaire officiel face aux 60 % d'actifs supplémentaires découverts au premier scan.

L'écart entre l'inventaire et la réalité

C'est le moment du tableau qui fait mal. Quand une organisation déploie pour la première fois un outil de découverte d'assets, elle découvre en général 30 à 80 % d'actifs en plus par rapport à son inventaire documenté. Et ce ne sont pas des actifs anodins : panels d'admin exposés, applications non patchées, bases de données oubliées, DNS pendants.

Source de données	Ce qu'elle révèle	Visible par la DSI ?
CMDB / tableur interne	Ce qu'on pense exposer	Oui (en théorie)
Certificate Transparency	Tout sous-domaine ayant eu un certificat TLS	Rarement
DNS / WHOIS passif	Domaines, sous-domaines, infra historique	Non
Scan de ports / bannières	Services écoutant, versions, technos	Non
APIs cloud (S3, Azure, GCP)	Buckets et ressources publiques	Non

La colonne de droite résume tout le drame : la majorité de votre surface d'attaque réelle vit dans des sources que la DSI ne consulte jamais. Mais que l'attaquant, lui, consulte religieusement.

Comment détecter le shadow IT : la méthode de l'attaquant

Personnes cherchant dans le noir avec une lampe torche — Chercher ses actifs exposés à la lampe torche. Sauf que l'attaquant, lui, a déjà la carte complète.

La bonne nouvelle, c'est que les sources qui trahissent vos actifs oubliés sont publiques. La moins bonne, c'est que tout le monde y a accès, vous comme l' adversaire. Le tout est de regarder en premier. Voici le flux de reconnaissance, du nom de domaine racine jusqu'à l'actif vulnérable.

asset-discovery-flow.txt

  own2pwn.fr (domaine racine)
        |
        v
  +----------------------------+
  |  Certificate Transparency  |  crt.sh, censys, Google CT
  |  (logs de certificats TLS) |  -> liste des sous-domaines historiques
  +----------------------------+
        |
        v
  +----------------------------+
  |  DNS / WHOIS passif        |  subfinder, amass
  |  brute-force DNS           |  -> sous-domaines actifs + IP
  +----------------------------+
        |
        v
  +----------------------------+
  |  Scan de ports / bannieres |  -> services, versions, technos
  |  Probing HTTP(S)           |     (login? S3 ouvert? VPN legacy?)
  +----------------------------+
        |
        v
  +----------------------------+
  |  Correlation CVE + triage  |  -> risque priorise
  +----------------------------+
        |
        v
   [ Patch / decommission / monitor ]

Flux de découverte d'actifs exposés, de la racine jusqu'au risque priorisé.

Certificate Transparency : la mine d'or oubliée

Depuis que les autorités de certification doivent journaliser publiquement chaque certificat TLS émis (avec tous les Subject Alternative Names), il existe un registre permanent et consultable de quasiment tous vos sous-domaines. D'après ce guide sur les logs CT, on peut extraire près de 300 millions de hostnames uniques de plus d'un milliard d'entrées CT publiques, et environ 30 à 40 % des sous-domaines découverts ne sont liés depuis aucun site principal : autrement dit, des actifs réellement cachés. Outils côté offensif comme défensif : crt.sh, censys.io, subfinder, amass.

Test maison en 30 secondes

Ouvrez crt.sh/?q=%25.votredomaine.fr dans un navigateur. Comptez les sous-domaines. Comparez à votre inventaire officiel. Le delta, c'est votre shadow IT de surface. Et ce n'est que la partie émergée.

De la découverte ponctuelle à la surveillance continue (EASM)

Faire tourner subfinder un dimanche, c'est bien. Mais le shadow IT est un flux, pas un stock : un nouveau sous-domaine apparaît chaque semaine, un certificat est émis, une instance cloud est lancée. Une photo ponctuelle est périmée le lundi matin. C'est exactement le rôle de l'EASM (External Attack Surface Management) : un processus continu et automatisé qui découvre, inventorie et surveille vos actifs exposés, en corrélant CT, DNS, WHOIS, APIs cloud et OSINT, puis priorise les vulnérabilités.

Là où le pentester fait un instantané approfondi à un instant T, l'EASM tient la carte à jour en permanence et vous alerte quand un nouvel actif douteux apparaît. Les deux sont complémentaires : l'EASM trouve la cible, le pentest confirme l'exploitabilité. C'est exactement ce que propose la découverte continue d'assets de notre plateforme EASM, qui mappe en continu ce que vous exposez vraiment.

Cette logique de cartographie permanente est aussi au cœur des obligations réglementaires actuelles : on en parle en détail dans notre article pilier EASM et conformité NIS2. Et quand un actif suspect est identifié, l'étape suivante est de tester réellement son exploitabilité, via un pentest web blackbox ou un scan automatisé. La différence entre les deux approches ? On l'a détaillée dans pentest vs scan de vulnérabilité.

Le piège du subdomain takeover

Un sous-domaine qui pointe (CNAME) vers un service tiers désactivé (ancien hébergement, SaaS résilié, bucket supprimé) peut être réclamé par un attaquant qui recrée la ressource à votre place. Résultat : du contenu malveillant servi depuis votre domaine de confiance. Les DNS pendants sont le shadow IT le plus sournois.

Que faire de tout ce qu'on vient de déterrer ?

Découvrir, c'est 50 % du travail. L'autre moitié, c'est décider quoi faire de chaque actif. Une approche simple en quatre temps :

Attribuer : à qui appartient cet actif ? Sans propriétaire, pas de décision possible.
Décider : on garde (et on le met sous gestion), ou on décommissionne proprement (DNS, certificat, ressource cloud).
Corriger : pour ce qu'on garde, patcher les CVE, fermer les ports inutiles, activer le MFA, restreindre les buckets.
Surveiller : remettre l'actif dans la boucle de monitoring continu pour éviter qu'il redevienne du shadow IT dans six mois.

Le réflexe contre-productif ? Tout vouloir traiter d'un coup. Priorisez par exposition réelle et criticité : un panel d'admin sans MFA et un bucket ouvert passent avant la landing page promotionnelle de 2019. La corrélation CVE permet justement de trier le bruit du danger.

À retenir

Le shadow IT, c'est tout actif exposé que personne ne gère : sous-domaines oubliés, buckets ouverts, APIs de staging, DNS pendants.
C'est dangereux parce qu'on ne patche ni ne surveille ce qu'on ne voit pas : ~35 % des violations impliquent des actifs non gérés.
L'écart entre l'inventaire officiel et la réalité est de 30 à 80 % au premier scan de découverte d'assets.
Les sources publiques (certificate transparency, DNS passif, scan de ports) trahissent vos actifs. Regardez-les avant l'attaquant.
Une découverte ponctuelle ne suffit pas : le shadow IT est un flux. L'EASM en assure la cartographie continue, le pentest confirme l'exploitabilité.

Bref : votre vrai inventaire IT n'est pas dans votre tableur. Il est dans les logs CT, le DNS passif et les APIs cloud. La seule question qui compte : qui le consultera en premier, vous ou l'attaquant ?