Publié le 11/07/2026
Logiciels non autorisés sur les PC de votre entreprise : détecter le shadow IT avant l'incident
Détecter les logiciels non autorisés — le shadow IT — tient en deux choses : savoir ce qui est installé sur chaque PC, et être prévenu dès qu'apparaît quelque chose qui ne figure pas sur votre liste approuvée. Argos maintient un inventaire logiciel par machine sur tout votre parc et peut vous alerter le jour même où quelqu'un installe un TeamViewer que personne n'a demandé, une appli de cryptomonnaie ou un outil conçu pour faire sortir des données.
Toute entreprise qui dépasse la demi-douzaine d'ordinateurs connaît une version de cette histoire. Un prestataire a installé AnyDesk « juste pour dépanner » il y a huit mois — et il y est toujours, avec un accès distant au PC de facturation. Un salarié a téléchargé un jeu pour les temps morts. Un autre synchronise des dossiers clients vers son Dropbox personnel depuis un poste du bureau. Sans mauvaise intention — par simple commodité.
Rien de tout cela n'est passé par vous. Personne ne l'a validé. Et tant que vous ne vous asseyez pas physiquement devant cette machine — ce qui n'arrivera jamais —, cela n'existe pas.
Voilà le shadow IT : des logiciels qui tournent sur les ordinateurs de l'entreprise sans que l'entreprise le sache. Ce n'est presque jamais du sabotage ; ce sont des gens qui font leur travail avec l'outil qu'ils avaient sous la main. Le problème, c'est que chaque installation non validée est une porte dont vous ignorez l'existence.
Pourquoi le shadow IT pèse plus lourd qu'il n'y paraît
Un programme non validé n'est pas juste « une appli de plus ». Selon sa nature, le risque change complètement de catégorie :
- Accès distant sauvage. Un TeamViewer ou un AnyDesk oublié après un vieux dépannage est une entrée permanente sur cette machine. Si le compte qui le pilote est compromis — ou si le technicien ne travaille plus avec vous —, quelqu'un peut entrer sans jamais toucher votre réseau.
- Fuite de données silencieuse. Les clients de cloud personnel (Dropbox, Drive personnel, MEGA) synchronisent des dossiers de l'entreprise vers des comptes que vous ne contrôlez pas. Le jour où ce salarié part, les fichiers partent avec lui.
- Logiciels piratés. Un Office ou un Photoshop cracké pose deux problèmes à la fois : l'installeur arrive souvent accompagné de malware, et en cas de contrôle de licences, l'amende retombe sur l'entreprise, pas sur celui qui l'a installé.
- Mineurs et applis crypto. Ils consomment votre processeur et votre électricité au profit de quelqu'un d'autre, et proviennent de sources qu'aucun antivirus d'entreprise ne validerait.
- Jeux et applis personnelles. Le plus petit risque de sécurité de cette liste, mais le plus visible côté productivité — et le signe qu'on installe n'importe quoi sur cette machine, sans le moindre frein.
Aucun de ces logiciels ne vous envoie un e-mail pour annoncer son arrivée. Tous s'installent en deux minutes et restent des mois.
Les signaux typiques du shadow IT dans un parc
Avant tout outillage, encore faut-il savoir quoi chercher. Voici les schémas qui reviennent le plus souvent :
| Signal | Ce que cela signifie généralement | |---|---| | Outils d'accès distant jamais installés par l'IT (TeamViewer, AnyDesk, RustDesk) | Porte dérobée oubliée après un dépannage, ou quelqu'un qui se connecte de chez lui de sa propre initiative | | Clients de cloud personnel sur des postes contenant des données clients | Des fichiers de l'entreprise qui se synchronisent vers des comptes privés | | Navigateurs ou VPN inhabituels (Tor, VPN gratuits, proxys) | Quelqu'un qui contourne les contrôles réseau de l'entreprise | | Processus au nom générique qui consomment du CPU en continu | Probable mineur de cryptomonnaie | | Lanceurs de jeux (Steam, Epic) sur des postes de travail | Usage personnel du matériel, installations sans contrôle | | Logiciels sous licence que personne n'a achetés | Copies piratées, avec le risque juridique et le malware qui vont avec | | Utilitaires de copie en masse ou de « récupération » apparus juste avant une démission | Le prélude classique à des données qui partent avec le salarié |
Repérer l'un de ces signaux une fois n'est pas une crise. Le vrai danger, c'est de n'avoir aucun moyen de les repérer.
De l'audit ponctuel à l'inventaire qui s'entretient tout seul
La réponse classique au shadow IT, c'est l'audit manuel : quelqu'un passe de machine en machine avec une liste et remplit un tableur. Cela fonctionne exactement une fois. Une semaine plus tard, quelqu'un installe quelque chose, et votre tableur ment déjà.
Ce qu'il vous faut, ce n'est pas une photo, c'est un flux :
- Un état de référence. Savoir ce qui est installé aujourd'hui sur chaque machine, sans vous déplacer.
- Une liste approuvée. Définir quels logiciels sont normaux dans votre activité. Elle s'affine à l'usage.
- Une alerte dès qu'apparaît du nouveau. Tout ce qui sort de la liste doit déclencher une notification, pas attendre le prochain audit.
- La capacité d'agir à distance. Détecter sans pouvoir répondre ne mène qu'à la frustration : il faut pouvoir inspecter la machine et retirer ce qui n'a rien à y faire sans se déplacer.
Comment Argos s'y prend
Argos installe un agent léger sur chaque PC Windows du parc, et à partir de là, l'inventaire cesse d'être un projet pour devenir une donnée toujours à jour :
- Inventaire logiciel par machine. Depuis une seule console, vous voyez ce que chaque PC du parc a d'installé. « Sur combien de machines y a-t-il AnyDesk ? » devient une question de dix secondes, pas un après-midi de coups de fil.
- Alertes à l'apparition d'un nouveau logiciel. Dès qu'un logiciel hors liste apparaît sur une machine, l'alerte vous parvient par Telegram, e-mail ou webhook. Vous l'apprenez le jour de l'installation, pas au trimestre de l'audit.
- Usage par application. Pas seulement ce qui est installé, mais ce qui tourne réellement, et combien de temps. Un programme installé il y a un an que personne n'ouvre, c'est du bruit ; un programme qui tourne quatre heures par jour sur le PC de la comptabilité, c'est une tout autre conversation.
- Réponse à distance. Quand quelque chose n'a rien à faire là, vous ouvrez un terminal distant ou prenez la main sur la machine et le retirez d'où vous êtes — avec la trace de qui a fait quoi.
Pour le détail de ce que l'agent surveille d'autre sur chaque poste — posture de sécurité, activité, performances —, consultez la page des fonctions de sécurité.
Un plan réaliste pour cette semaine
- Installez l'agent sur tout le parc et laissez l'inventaire se remplir tout seul.
- Parcourez la liste obtenue en cherchant les signaux du tableau ci-dessus. Il en ressort presque toujours quelque chose dès le premier jour.
- Décidez ce qui reste, ce qui part et ce qui passe en liste approuvée. Si la moitié de l'entreprise a installé le même outil de son côté, c'est peut-être à l'entreprise de le fournir.
- Activez l'alerte « nouveau logiciel » d'abord sur les postes sensibles : facturation, comptabilité, direction.
- Refaites la revue complète une fois par mois ; entre deux revues, les alertes couvrent le quotidien.
Questions fréquentes sur la détection de logiciels non autorisés
A-t-on le droit de vérifier quels logiciels sont installés sur les ordinateurs des salariés ? Sur du matériel appartenant à l'entreprise, avec une charte d'utilisation communiquée, l'inventaire des logiciels installés relève de l'administration IT standard dans la plupart des pays. Le bon réflexe : le formaliser dans la charte interne et en informer les salariés. La transparence élimine d'ailleurs à elle seule une bonne partie du shadow IT.
Argos bloque-t-il l'installation de programmes ? Non — Argos détecte et alerte, il n'empêche pas. Le blocage passe par les permissions Windows (comptes sans droits administrateur), et c'est un bon complément. La visibilité vient d'abord : tant que vous ignorez ce qui existe et ce qui continue d'apparaître, toute politique de blocage se fait à l'aveugle.
Et les applications portables, qui tournent depuis une clé USB sans jamais s'installer ? C'est là que l'inventaire seul ne suffit plus et que le suivi d'usage par application complète le tableau : Argos voit quelles applications tournent réellement sur chaque machine, installées ou non. Un exécutable portable lancé depuis un dossier temporaire apparaît dans l'usage, même sans être passé par un installeur.
Vais-je crouler sous les alertes à chaque mise à jour de Windows ? Non — l'alerte se déclenche sur un logiciel nouveau hors du périmètre attendu, pas sur les changements de version de ce qui est déjà approuvé. Les règles se configurent par machine ou par groupe : strict sur le PC de facturation, souple sur celui de la salle de réunion.
Envie de voir à quoi ressemble une alerte de logiciel non autorisé sur un vrai parc ? Ouvrez la vue alertes dans la démo — deux minutes pour voir ce que vous ne voyez pas aujourd'hui sur vos propres machines.