Le DSPM : un retour du « Shadow IT »

Par Tony Frum - Ingénieur émérite, Gestion des produits

19 mars 2026 5 Temps de lecture : 5 minutes

La gestion de la posture de sécurité des données (DSPM) reste quelque peu un mystère pour beaucoup de gens, moi y compris. Je me retrouve souvent à mener des discussions quelque peu théoriques sur ce qu’est, exactementest réellement le DSPM. Après de nombreux débats de ce type, j’en suis venu à cette conclusion : le DSPM, dans son essence, n’est rien d’autre qu’une solution de sécurité des données qui détecte les données que vous ne lui avez pas demandé de rechercher. Vous n’avez pas besoin de définir des classifications (qui permettent de déterminer ce qui est sensible) ni de politique (qui décrit où rechercher les données sensibles et que faire lorsque vous les trouvez). Il suffit de le lancer, et il détecte les données sensibles dont vous n'aviez peut-être pas connaissance, puis il répertorie tout ce qu'il trouve. C'est simple.

Je maintiens cette définition aujourd’hui, mais l’un de mes collègues, Suhaas Kodagali, l’a formulée d’une manière bien plus pertinente, et je ne cesse d’y penser. Il a déclaré : «Le DSPM, c’est encore une fois du Shadow IT», et cette affirmation m’a époustouflé. Permettez-moi de vous expliquer ce qui est en fait une blague entre nous.

Il y a une dizaine d’années, le marché Secure Web Gateway SWG) était déjà bien établi et, pour ainsi dire, dépassé. Les solutions SWG permettent de visualiser l’ensemble de votre trafic Web, de bloquer tout ce que vous souhaitez et d’enregistrer chaque requête HTTP provenant de pratiquement n’importe quel appareil de votre environnement.  Il s'agit d'une technologie puissante, généralement considérée comme absolument indispensable dans toute infrastructure de sécurité complète. Puis est apparu le marché Cloud Access Security Broker CASB), principalement lancé par Skyhigh Networks, l'une de nos sociétés ancestrales, qui a développé une solution que nous appelons encore aujourd'hui « Shadow IT ».

En quoi consiste le « Shadow IT » ? Permettez-moi de vous l'expliquer en vous posant une question. Savez-vous ce qu'est le domaine twtimg.com ? Probablement pas, mais c'est l'abréviation de « Twitter images » – l'un des nombreux domaines associés à X, anciennement Twitter. Si vous aviez vu cela dans les données de rapport d'une solution SWG, vous n'auriez probablement aucune idée de ce dont il s'agissait. Prenons un autre exemple au hasard, sanpdf.com. Si vous ne le connaissez pas, une recherche rapide sur Google vous indiquera que SanPDF est un ensemble d’outils permettant de convertir des documents. Le domaine est clair, mais dans quelle mesure pourriez-vous répondre facilement à des questions liées à la sécurité concernant SanPDF ? Leur jargon juridique leur donne-t-il le droit d’utiliser vos données converties à leurs propres fins ? Savez-vous s’ils stockent les données de manière sécurisée ? En bref, savez-vous si vous devriez autoriser vos utilisateurs à l’utiliser ?  Il y a de fortes chances que vous ne le sachiez pas. C'est là qu'intervient le Shadow IT. Il vous aide à donner du sens à vos rapports SWG et à élaborer une politique raisonnable fondée sur les risques opérationnels.

Ce qui est intéressant ici, c'est que Skyhigh Networks, en tant que fournisseur de solutions pour l'informatique fantôme, ne disposait pas des capacités fondamentales nécessaires pour inspecter le trafic Web ni pour bloquer quoi que ce soit.  L'entreprise importait les données des journaux SWG et établissait des rapports pertinents pour vous indiquer où se situaient vos risques, ce qui vous permettait ensuite de définir une politique. Le « Shadow IT » pouvait générer des éléments constitutifs de la politique Web en vous permettant de définir certains éléments de risque jugés inacceptables, ce qui créait des listes d'applications à bloquer ainsi que tous leurs domaines associés. Voici la chute de la blague : le « Shadow IT » ne pouvait pas appliquer ses propres politiques de manière autonome. Il était contraint soit de s’intégrer à un SWG qui pouvait, soit de créer son propre proxy.  Le Shadow IT était contraint soit de rester dépendant du SWG, soit de devenir un proxy redondant, et aucune de ces options n’était attrayante pour leurs clients.

C'est une analogie parfaite pour les solutions DSPM spécialisées d'aujourd'hui. Les fournisseurs Security Service Edge SSE) disposent désormais de toute la visibilité et de tout le contrôle nécessaires pour protéger vos données dans vos applications cloud autorisées, votre trafic Web, vos applications privées, etc. Alors, qu'est-ce que le DSPM peut vous apporter ?  Le DSPM vous aide à utiliser votre technologie de sécurité des données SSE plus efficacement tout comme le Shadow IT a aidé les organisations à utiliser plus efficacement leur technologie SWG. Grâce aux portefeuilles SSE modernes, vous pouvez classer et protéger vos données avec précision, mais quoi que vous fassiez, vous vous surprendrez à vous demander : « Qu'est-ce que j'ignore ? »  Vers quelles applications vos utilisateurs envoient-ils des données sensibles pour lesquelles vous n’avez pas défini de politique de prévention ? Avec quels types de données sensibles votre entreprise travaille-t-elle sans que vous ne l’ayez jamais envisagé ? Enfreignez-vous une loi dont vous ignorez totalement l’existence ? Le DSPM vise à répondre à ces questions. Il recherche tout type de données sensibles partout vous lui permettez de chercher. Il vous informe de ce que vous ignorez afin que vous puissiez élaborer une politique pour vous protéger, tout comme l’a fait le Shadow IT.

Le problème, c'est que de nombreux fournisseurs de solutions DSPM se retrouvent aujourd'hui dans la même situation que celle qu'a connue le « Shadow IT » : ils sont contraints soit de rester dépendants ou de devenir redondants. La plupart des solutions DSPM spécialisées ne sont que de simples outils de découverte qui ne protègent les données. Désormais, ces fournisseurs doivent soit s'appuyer sur des fournisseurs SSE établis pour mettre en œuvre des protections autour des données identifiées, soit développer un ensemble de fonctionnalités afin d'offrir les capacités de protection que bon nombre de leurs clients ont déjà déployées grâce à leurs investissements SSE. Leur choix semble avoir été fait, car de nombreux fournisseurs ont déjà mis en place des intégrations API avec des applications IaaS et SaaS qui font double emploi avec la partie CASB des solutions SSE établies.

Mettez-vous à la place d’une organisation qui a déployé une solution SSE robuste et qui a également investi dans un fournisseur spécialisé dans la gestion des risques liés aux données (DSPM). La solution DSPM vous a permis d’identifier où vos données sensibles sont déployées, mais vous devez utiliser la solution SSE pour protéger concrètement ce qui a été détecté.  Vous disposez de deux solutions distinctes intégrées, par exemple, à Microsoft 365, et celles-ci risquent d'atteindre les limites de débit des API de Microsoft lorsque les deux outils tentent d'analyser les mêmes données. Cette approche est-elle judicieuse ? Et, si vous êtes le fournisseur spécialisé en DSPM, comment résolvez-vous ce problème ? Allez-vous développer une solution à un problème qui a été résolu par le marché des CASB il y a environ dix ans ?

Je ne suis pas un expert en la matière, mais les similitudes entre le DSPM et le « Shadow IT » sont indéniables. Je pense qu’il est pour le moins logique de considérer que le DSPM pourrait suivre la même trajectoire et finir par être intégré à la pile technologique qu’il vise à renforcer – principalement le SSE. Pourquoi les entreprises devraient-elles être contraintes de mettre en œuvre les deux un DSPM et une solution SSE pour détecter puis protéger leurs données ? Ne serait-il pas logique que l’approche de détection automatique du DSPM fasse partie intégrante de la pile SSE, qui est en fin de compte nécessaire pour protéger efficacement les données détectées ? Je soupçonne que le marché finira par parvenir à la même conclusion qu’il l’a fait avec le Shadow IT : la détection et l’application des règles ont leur place sur la même plateforme.

Retour à Blogs