7 Min. de lecture

En moyenne, une PME utilise 275 applications SaaS. Pour les grands groupes, ce chiffre dépasse les 2 000. Le problème : un tiers d’entre elles échappent à la connaissance du service informatique. Et 70 % des dépenses logicielles sont désormais gérées par les directions métiers. Le SaaS-Sprawl n’est pas un simple problème d’hygiène informatique – c’est un échec de gouvernance qui doit figurer à l’agenda stratégique.

L’essentiel en bref

L’explosion invisible : 275 apps et la DSI en ignore un tiers

Les chiffres du Zylo SaaS Management Index 2025 dressent un constat sans appel : une entreprise moyenne exploite 275 applications SaaS. Pour les grands groupes, le Torii SaaS Benchmark Report 2026 en recense même 2 191. Et chaque mois, huit nouvelles s’y ajoutent en moyenne – souvent à l’insu ou sans validation de la DSI.

Qu’est-ce que le SaaS-Sprawl ? Le SaaS-Sprawl désigne la prolifération incontrôlée de logiciels cloud au sein des entreprises. Les directions métiers acquièrent des outils de manière autonome, sans recensement centralisé ni vérification de leur sécurité, conformité ou redondance. Résultat : des fonctionnalités qui se chevauchent, des licences inutilisées et des angles morts dans la gouvernance informatique.

Selon Zylo, plus d’un tiers des applications d’entreprise relèvent de l’informatique fantôme. 67 % des responsables informatiques citent les achats non maîtrisés par les métiers comme leur principal défi SaaS. Et il ne s’agit pas d’un manque de rigueur de la DSI – c’est un déficit structurel de gouvernance, dont l’origine se situe au niveau de la direction générale.

Le scénario est toujours le même : une direction métier a besoin d’un nouvel outil. Le processus d’achat officiel prend des semaines, la carte bancaire agit en quelques clics. En un trimestre, 30 collaborateurs utilisent l’application, y chargent des données clients et l’intègrent à leurs processus. La DSI n’en prend connaissance – si tant est qu’elle en soit informée – qu’à l’occasion du prochain audit des coûts.

70 % des budget logiciel échappent à la DSI

Le basculement du pouvoir dans l’acquisition de logiciels est déjà acté. Aujourd’hui, les directions métiers gèrent 70 % des dépenses SaaS. La DSI n’en contrôle plus que 26 %. Le reste se répartit entre les services partagés et les achats. Ce transfert n’est pas problématique en soi – les directions métiers connaissent mieux que quiconque leurs besoins. Il le devient en l’absence de visibilité centrale.

Sources : Zylo SaaS Management Index 2025, Flexera State of the Cloud 2025

La conséquence : entre 51 et 53 % de toutes les licences SaaS ne sont pas utilisées dans les 30 jours suivant leur achat (Zylo, 2025). Dans le même temps, les dépenses pour les applications SaaS natives en IA augmentent de 108 % par rapport à l’année précédente. Les entreprises dépensent donc toujours plus d’argent pour des logiciels qu’elles ne maîtrisent pas, n’utilisent pas pleinement et ne pilotent pas de manière centralisée.

Pour le DAF, cela signifie qu’un quart des dépenses cloud ne génère aucune valeur mesurable. Pour le DSI, cela implique que la surface d’attaque s’élargit avec chaque application non autorisée. Pour la direction générale, cela signifie que ces deux problèmes relèvent de sa responsabilité.

L’IA accélère la prolifération sauvage

La généralisation des outils d’IA générative a propulsé le problème de l’informatique fantôme dans une nouvelle dimension. Une étude Bitkom d’octobre 2025 (n=604 entreprises de plus de 20 salariés) révèle que dans 8 % des entreprises, l’utilisation d’outils d’IA privés sur le lieu de travail est largement répandue – soit deux fois plus qu’en 2024. Dans 17 % des cas supplémentaires, il s’agit de cas isolés. Et 17 % des entreprises ignorent simplement la situation, mais la supposent.

Parallèlement, seulement 26 % des entreprises offrent à leurs collaborateurs un accès officiel à l’IA générative. Le fossé entre la demande et l’offre est comblé par l’informatique fantôme. ChatGPT, Google Gemini, Claude – ces outils ne sont qu’à un onglet de navigateur. Les collaborateurs chargent des données clients, des projets de contrats et des documents stratégiques internes dans des services d’IA externes, sans que la DSI en soit informée. Chacune de ces actions représente un risque potentiel de fuite de données.

Uri Haramati, cofondateur du fournisseur de gestion SaaS Torii, résume la dynamique : l’IA n’a pas inventé l’informatique fantôme, mais elle en a considérablement accru la vitesse et la portée (CIO Dive, mars 2026). Ce qui concernait autrefois quelques outils marketing ou applications de gestion de projet touche aujourd’hui des assistants IA travaillant avec des données d’entreprise – sans que la DSI sache quelles données transitent où.

NIS2 et DORA transforment la gouvernance SaaS en obligation

Le paysage réglementaire a profondément évolué en 2025 et 2026. Avec la mise en œuvre de l’EU AI Act et l’application de DORA et de NIS2, la direction engage sa responsabilité personnelle en matière de gouvernance de la cybersécurité de son entreprise. Cela inclut explicitement la chaîne d’approvisionnement logicielle.

Concrètement : NIS2 impose aux organes de direction d’approuver et de superviser les mesures de gestion des risques cybernétiques. En cas de négligence grave, des amendes personnelles et des interdictions temporaires d’exercer peuvent être prononcées. Un dirigeant qui ignore quelles sont les 275 applications SaaS utilisées dans son entreprise – et lesquelles d’entre elles accèdent à des données sensibles – se trouve face à un problème qu’aucun responsable informatique ne peut résoudre à sa place.

DORA renforce encore les exigences pour le secteur financier : chaque prestataire tiers en TIC doit être enregistré, évalué et surveillé. Un outil SaaS utilisé par le service conformité pour la gestion des contrats est concerné au même titre que la plateforme ERP centrale. Sans un inventaire complet des applications SaaS, il est impossible de répondre aux exigences de DORA.

« Les entreprises devraient éviter la prolifération incontrôlée de l’IA et prévenir le développement d’une IA fantôme. Pour cela, elles doivent établir des règles claires pour l’utilisation de l’IA et mettre à disposition de leurs collaborateurs des technologies d’IA. »
Dr. Ralf Wintergerst, président de Bitkom (communiqué de presse Bitkom, octobre 2025)

Ce que Wintergerst exige pour l’IA vaut pour le SaaS dans son ensemble : une entreprise qui ne fournit pas à ses collaborateurs des outils approuvés ne doit pas s’étonner qu’ils trouvent des solutions par eux-mêmes. La responsabilité ne repose pas sur le service informatique – elle incombe au niveau C, qui assume la structure de gouvernance.

Les décisions que la direction doit prendre dès maintenant

La gouvernance SaaS n’est pas une initiative informatique que le DSI peut mettre en œuvre seul. Elle nécessite des décisions au niveau du conseil d’administration :

1. Créer de la transparence : Sans visibilité complète, pas de gouvernance. La direction doit commander un inventaire SaaS qui recense toutes les applications – y compris celles qui n’ont été commandées par personne. Des outils comme Zylo, Torii ou Productiv automatisent la détection. La *Capacity Tax* – la part des capacités informatiques consacrée à l’administration plutôt qu’à l’innovation – se situe généralement entre 25 et 40 %. C’est l’indicateur qui convaincra le DAF.

2. Définir des règles d’approvisionnement : La direction doit décider qui a le droit d’acheter des logiciels et sous quelles conditions. Cela ne signifie pas approuver chaque application de manière centralisée. Il s’agit de fixer des seuils clairs : à partir de quel volume de dépenses une évaluation centrale est-elle nécessaire ? Quelles catégories de données nécessitent une évaluation de sécurité ? Quels standards de conformité sont non négociables ?

3. Mettre officiellement à disposition des outils d’IA : Le fossé de 26 % dans la fourniture d’outils d’IA est une invitation à l’informatique fantôme. Proposer aux collaborateurs des outils d’IA vérifiés et conformes à la protection des données réduit l’incitation à recourir à des alternatives personnelles. Ce n’est pas une décision technologique – c’est une décision de gestion des risques.

4. Clarifier les responsabilités : Qui, au niveau C, porte la responsabilité globale de la gouvernance SaaS ? L’expérience montre que sans propriétaire clairement désigné, toute initiative s’enlise. Un comité SaaS réunissant des représentants de l’informatique, des finances et des principales directions métiers crée le niveau d’engagement nécessaire.

Le contre-argument est légitime : une gouvernance trop stricte freine l’innovation. Les services métiers, qui attendent des mois pour obtenir des validations informatiques, continueront à trouver leurs propres solutions. La réponse ne réside pas dans le contrôle, mais dans le pilotage – un cadre de gouvernance qui permet des achats rapides tout en garantissant visibilité et conformité.

Conclusion

Le *SaaS-Sprawl* est l’érosion silencieuse de la gouvernance IT. 275 applications, 70 % des dépenses business, 27 % de gaspillage – et un comité de direction responsable de tout ce qu’il ignore. NIS2 a changé la donne : l’ignorance ne protège plus de la responsabilité. La première étape n’est pas un projet technologique, mais une décision du conseil d’administration : quels logiciels tournent dans cette entreprise, qui les a commandés et qui en est responsable ? Celui qui ne peut répondre à cette question a un problème stratégique.

Questions fréquentes

Source image principale : Pexels / Kampus Production (px : 8171188)