Un grand cabinet d'audit a découvert tout son Shadow IT en moins de 60 jours

Introduction

Les cabinets d'audit manipulent des données sensibles et sont soumis à des exigences de conformité élevées. Le Shadow IT et le Shadow AI y constituent des risques majeurs : usages non documentés, exposition de données client, difficulté à démontrer la conformité. Ce cas d'étude présente comment Avanoo a permis à un grand cabinet d'audit de découvrir l'intégralité de son Shadow IT en moins de 60 jours, sur un environnement de plus de 15 000 utilisateurs.

Contexte

Le cabinet disposait d'une vision partielle de son environnement applicatif : environ 200 applications connues et gérées officiellement. Mais l'ampleur réelle des usages restait inconnue. Trois enjeux critiques motivaient la démarche :

• Absence de visibilité : Impossible de savoir quelles applications étaient réellement utilisées, par qui et pour quoi.
• Risque élevé de non-conformité : Dans un secteur où la conformité est centrale, tout angle mort est un risque.
• Écart avec la directive NIS2 : La directive européenne sur la cybersécurité impose une maîtrise renforcée des actifs et des risques. Le cabinet devait démontrer sa conformité.

Actions menées

Déploiement silencieux de l'extension

Avanoo a déployé une extension navigateur sur l'ensemble des postes pour détecter les usages réels, sans perturber le travail des collaborateurs.

Corrélation SSO, contrats et politiques

La plateforme a croisé les données d'usage avec l'annuaire SSO, les contrats en cours et les politiques de sécurité pour identifier les applications non approuvées, à risque ou non conformes.

Alertes et nudging automatisés

Des alertes ont été configurées pour signaler les nouveaux usages à risque et guider les collaborateurs vers les outils approuvés. Des messages de nudging ont été diffusés pour encourager l'adoption des bonnes pratiques.

Résultats

• 2 493 applications détectées contre environ 200 connues initialement
• 379 applications sensibles catégorisées et traitées selon leur niveau de risque
• 15 000+ utilisateurs couverts par la découverte
• 60 jours pour compléter la cartographie et initier la remédiation

Le cabinet dispose désormais d'une vision complète de son Shadow IT et Shadow AI, avec une feuille de route claire pour sécuriser les usages et renforcer sa conformité NIS2.

Conclusion

La découverte du Shadow IT dans un environnement de 15 000+ utilisateurs peut sembler impossible en quelques semaines. Avanoo a démontré que c'était réalisable : en 60 jours, le cabinet d'audit a révélé plus de 2 400 applications et identifié 379 usages sensibles à traiter. Cette visibilité est la première étape indispensable pour sécuriser l'environnement et aligner les usages sur les exigences réglementaires.