Le shadow IT, c'est à dire l'ensemble des applications utilisées à des fins professionnelles par les métiers sans l'approbation de la DSI, se développe. C'est notamment le cas au travers des applications dans le cloud (SaaS essentiellement). Selon l'étude CISOs on the State of Enterprise Data Security réalisée par le cabinet Wakefield Research sur la commande de Symantec, les RSSI estiment qu'une application sur trois utilisée relève du Shadow IT. Ce développement du Shadow IT entraîne bien sûr un risque sur les données. Ce risque peut notamment entraîner des non-conformités réglementaires, en particulier au futur GDPR. Pour 28 % des RSSI français, c'est même la principale menace en matière de conformité.

Mais le pire concerne bien le cloud. En effet, les DSI et RSSI estiment à une quarantaine au maximum les applications cloud utilisées dans les entreprises. Or, quand un recensement est mené, le chiffre trouvé s'approche plutôt du millier, toujours en moyenne. Cet écart considérable, d'un facteur 25, justifie le sentiment des RSSI français : 85 % estiment en effet que la mise en conformité réglementaire des applications cloud est leur principal facteur de stress.