Aller au contenu principal

Shadow IT

Le shadow IT désigne les systèmes, services cloud et applications déployés sans validation de la DSI. Absent de l’inventaire officiel, il échappe aux correctifs.

Le shadow IT, littéralement « informatique fantôme », désigne tout ce qui est déployé dans une organisation sans passer par la DSI : le SaaS souscrit par un service métier avec une carte bancaire, la machine virtuelle de test qu’un développeur a oublié d’éteindre, le sous-domaine créé pour une campagne marketing et jamais décommissionné. Rien de malveillant dans tout cela, le plus souvent : juste des équipes qui vont vite.

Le problème est mécanique : ce qui n’est pas dans l’inventaire n’est ni durci, ni patché, ni surveillé. Une part notable des intrusions commence ainsi, non par une prouesse technique, mais par un actif oublié dont personne n’avait la charge, avec sa version vulnérable et sa configuration par défaut. Le shadow IT est, en pratique, la première source d’écart entre la surface d’attaque théorique et la surface d’attaque réelle.

On le débusque en regardant depuis l’extérieur, comme un attaquant : journaux de Certificate Transparency, DNS, moteurs de recherche spécialisés. Notre article sur le shadow IT pose le sujet, celui sur la Certificate Transparency appliquée au shadow IT détaille la technique la plus efficace, et une plateforme EASM industrialise cette traque en continu.

Termes liés

Les définitions posent le vocabulaire, mais rien ne remplace un état des lieux concret. Si vous voulez savoir ce que ces concepts donnent sur votre propre périmètre, notre plateforme EASM cartographie votre surface d’attaque externe à partir d’un simple nom de domaine, et notre équipe répond sous 24 heures via la page contact.

    Shadow IT : définition | own2pwn