Shadow No-Code : le cout cache des outils Make, Zapier, n8n et Claude Code crees en secret
Le stagiaire est parti. La cle API a expire. Votre outil de facturation est hors service. Personne ne sait pourquoi.
Analyse terrain 2LKATIME - Audits DSI et cartographie des outils fantomes
Lors de nos audits de securite pour des PME et ETI parisiennes, nous identifions systematiquement des workflows Make, des instances n8n et des apps generees par IA qui tournent en production sans que la DSI en soit informee. Cet article synthetise les patterns les plus dangereux observes en 2025-2026 et la methode pour les cartographier avant qu'ils ne causent un incident.
Un lundi matin de novembre, l'equipe commerciale d'une ETI parisienne de 80 personnes decouvre que son outil de suivi des devis ne fonctionne plus. Cet outil, un workflow Make connecte a leur CRM et leur outil de facturation, gere 200 clients actifs et environ 40 000 euros de devis par semaine. La personne qui l'a cree - un charge de mission parti trois semaines plus tot - avait configure le tout sur son compte Make personnel, avec sa carte bancaire, et sa cle API Google Sheets personelle. Son compte a ete resilie. L'outil est mort avec lui.
Ce scenario, que nous appelons le "Shadow No-Code", est la version 2026 du Shadow IT classique. Vos equipes ne telechargent plus des logiciels non autorises - elles construisent des outils critiques avec Make, Zapier, n8n, Glide, ou demandent a Claude Code de generer une application complete en une apres-midi. Ces outils sont souvent excellents. Le probleme, c'est ce qui se passe quand leur createur s'en va.
1. Le panorama des outils a risque : de Zapier a Claude Code
Le Shadow No-Code n'est pas un phenomene homogene. Chaque famille d'outils presente un profil de risque different, selon le profil de l'employe qui les utilise et la nature de ce qu'il construit. Voici le panorama complet que 2LKATIME utilise lors de ses audits DSI pour les PME en region parisienne et au-dela.
| Outil | Profil utilisateur | Risque principal | Niveau |
|---|---|---|---|
| Zapier / Make | Marketing, RH, ADV | Compte perso, CB personnelle, acces non revoque | Moyen |
| n8n cloud | Dev, ops, growth | Webhooks exposes, credentials hardcodes, acces non gere | Eleve |
| n8n self-hosted | Dev avance | VPS perso, instance disparait avec le dev, donnees perdues | Critique |
| Claude Code / Cursor | Dev, product, ops avance | App sur laptop perso, code sur GitHub perso, zero handover | Critique |
| Glide / Softr | Product, bizdev, commercial | Donnees clients dans compte perso, pas de DPA | Moyen |
Le cas Claude Code merite une attention particuliere. En 2025-2026, nous voyons apparaitre une nouvelle categorie d'outils fantomes : des applications web completes, avec base de donnees, interface, scripts d'automatisation, generees en quelques heures par un employe qui a demande a un LLM de les coder. Ces apps ne sont pas des scenarios Zapier de 5 blocs - ce sont de vrais outils metier qui traitent des donnees de production, stockes sur le laptop ou le GitHub perso du createur.
Nuance importante : Claude Code, n8n et Make sont des outils puissants et legitimes - nous les utilisons nous-memes pour nos clients. Le probleme n'est pas l'outil, c'est l'absence de cadre. Un workflow n8n deploye sur l'infrastructure de l'entreprise, documente et revise par la DSI, est une force. Le meme workflow sur le VPS perso d'un employe est une bombe a retardement. Voir notre guide des automatisations Claude securisees pour PME.
2. Les 5 risques caches que votre DSI ne voit pas
Le Shadow No-Code n'est pas seulement un probleme de gouvernance IT. C'est un risque metier direct qui touche la continuite d'activite, la securite, la conformite RGPD et les finances de l'entreprise - souvent simultanement.
🔴 Risque 1 - Continuite d'activite : l'outil qui meurt avec son createur
C'est le scenario du lundi matin. Un employe cree un workflow Make pour automatiser la relance client, la generation de factures, ou le suivi logistique. Il part. Son abonnement Make etait sur sa carte bancaire personnelle - il resilie, ou oublie de transmettre les acces. L'outil s'arrete. L'entreprise decouvre qu'elle dependait d'un outil critique dont elle n'a ni la documentation, ni les credentials, ni meme la liste des integrations. Reconstruire de zero prend 2 a 4 semaines minimum - pendant lesquelles le processus tourne manuellement, en mode degrade.
🔒 Risque 2 - Securite : des credentials hardcodes et des webhooks ouverts
Un employe qui cree un workflow n8n ou un script genere par Claude Code va naturellement y stocker les cles API dont il a besoin - cle Stripe, token Slack, credentials base de donnees. Ces cles sont rarement rotees, jamais auditees, et souvent stockees en clair dans le code ou dans les variables d'environnement d'une instance non securisee. Les webhooks Zapier ou Make sont par defaut des URLs publiques sans authentification - n'importe qui qui trouve l'URL peut envoyer des donnees dans votre systeme. Nous trouvons ce type de webhook expose dans 60% des PME que nous auditons.
⚖ Risque 3 - RGPD : des donnees clients dans des comptes personnels hors controle
Quand un employe utilise son compte Zapier personnel pour automatiser l'envoi de donnees clients vers un Google Sheet, ces donnees transitent via un compte que l'entreprise ne controle pas, sans DPA entre l'entreprise et Zapier, et potentiellement hebergees sur des serveurs que votre DPO n'a jamais valides. C'est une violation de l'article 28 du RGPD (sous-traitance sans encadrement contractuel). La CNIL peut sanctionner l'entreprise, pas l'employe - meme si c'est l'employe qui a configure le workflow. La conformite RGPD des outils IA s'applique aussi a ces workflows.
💵 Risque 4 - Financier : des abonnements fantomes sur des CB personnelles
L'employe cree un compte Zapier Pro a 49 euros/mois, un abonnement Make Business a 29 euros/mois, et loue un VPS OVH pour son instance n8n a 15 euros/mois. Total : 93 euros/mois pour un outil de production critique. Quand il part et demande le remboursement de ses avances, l'entreprise decouvre l'outil. Quand elle ne le decouvre pas, l'employe resilie ses abonnements - et l'outil tombe. Dans les deux cas, l'entreprise n'a aucune visibilite sur ses outils reels de production et leurs couts operationnels.
📦 Risque 5 - Perte de code et de savoir-faire : le GitHub perso qui part avec le dev
Votre commercial a demande a Claude Code de generer un outil de suivi de devis en une apres-midi. Il l'utilise depuis 6 mois pour gerer 200 clients. Il vient de donner sa demission. Le code est sur son ordinateur et dans son repository GitHub personnel. Vous n'avez aucune copie, aucune documentation, et personne d'autre dans l'equipe ne sait comment le faire tourner. Meme si vous recuperez les fichiers, les dependances, les variables d'environnement et la configuration sont dans sa tete. Reconstruire cet outil from scratch prend plusieurs semaines d'un developpeur senior.
Le risque metier pour le CEO et le DSI
Dependre d'un outil crucial pour votre facturation ou votre logistique qui a ete cree "sur un coin de table" sans documentation ni securite, c'est accepter que votre business puisse s'arreter du jour au lendemain sans que votre DSI ne comprenne pourquoi. La creativite de vos equipes est une force - mais un outil sans propriete claire, sans documentation et sans plan de continuite est une dette technique et operationnelle que vous paierez au pire moment.
60%
des PME auditees par 2LKATIME ont au moins un webhook sans authentification en production
3,4
outils no-code non inventories en moyenne par PME de 50 a 200 salaries (estimation 2LKATIME)
2-4
semaines pour reconstruire un workflow metier critique apres depart de son createur
0
PME sur 10 interrogees avait un inventaire a jour de ses outils no-code internes
3. Comment cartographier ce qui existe deja : l'audit Shadow No-Code en 4 etapes
Avant de mettre en place un cadre, il faut savoir ce qui tourne. La plupart des DSI de PME sont surpris par le volume d'outils qu'ils decouvrent lors de cet exercice. Voici la methode que nous appliquons lors de nos audits pour les PME lyonnaises et parisiennes.
Etape 1 - Inventaire des abonnements SaaS (CB entreprise + declarations)
Analyser les releves de carte bancaire entreprise des 12 derniers mois et identifier tous les abonnements SaaS recurrents. Envoyer ensuite un formulaire anonyme a toutes les equipes : "Quels outils utilisez-vous pour votre travail qui ne sont pas fournis par l'IT ?" et "Avez-vous des outils que vous payez sur votre CB personnelle et que vous vous faites rembourser ?" L'anonymat encourage la transparence. Vous decouvrirez des abonnements que personne n'avait signales.
Etape 2 - Audit des cles API generees dans vos comptes
Lister toutes les cles API actives dans vos comptes principaux : Google Cloud Console, AWS IAM, OpenAI, Stripe, HubSpot, Notion, GitHub. Verifier pour chaque cle : qui l'a creee, quand, avec quelles permissions, et si elle est toujours utilisee. Revoquer immediatement toutes les cles d'employes qui ont quitte l'entreprise. En pratique, nous trouvons systematiquement des cles actives d'anciens employes datant de 6 a 24 mois.
Etape 3 - Cartographie des webhooks et integrations actives
Dans chaque outil connecte (Zapier, Make, n8n, Slack, Notion, Airtable), lister tous les webhooks et integrations actives. Pour chaque element : quel employe l'a cree, quel processus metier il supporte, est-il documente, et quelles donnees il traite. Supprimer ou desactiver tout ce qui n'est pas documente et dont personne ne connait la fonction. Si quelque chose se casse apres suppression, c'est que vous avez trouve un outil fantome en production.
Etape 4 - Entretien de depart structure pour chaque collaborateur
La prevention la plus efficace est l'entretien de depart : avant le dernier jour de chaque employe, lui demander systematiquement de lister tous les outils qu'il a crees ou configures, de transferer tous les acces sur des comptes entreprise, et de documenter en 1 page chaque outil en production. Ce processus doit etre formel, signe, et conditionner le versement du solde de tout compte si necessaire sur avis juridique. La surprise du lundi matin commence toujours par un depart non gere.
4. Encadrer sans tuer la creativite : le cadre No-Code d'entreprise
La reponse au Shadow No-Code n'est pas d'interdire les outils no-code ou l'IA generative. C'est contre-productif et inefficace - vos equipes continueront a les utiliser, mais en cachette. La bonne approche est de fournir un cadre qui protege l'entreprise sans freiner l'innovation.
Ce que vous devez mettre en place
- - Compte entreprise sur les outils approuves (Zapier, Make, n8n cloud), paye par l'entreprise, avec acces DSI en admin
- - Repository GitHub entreprise obligatoire pour tout code en production, meme genere par IA
- - Documentation minimale d'1 page pour tout outil utilise en production : quoi, pourquoi, qui contacter si ca tombe
- - Referentiel des outils approuves publie internalement, mis a jour trimestriellement
- - Revue DSI trimestrielle des outils actifs : audit des cles API, webhooks, abonnements
- - Entretien de depart structure avec checklist de remise des acces
Ce qui doit etre interdit explicitement
- - Tout outil en production sur un compte personnel (Zapier, Make, n8n, Claude Code)
- - Cles API stockees en clair dans du code ou des fichiers non chiffres
- - Webhooks sans authentification exposes sur internet pour des donnees sensibles
- - Donnees clients ou RH dans des outils non valides par la DSI et le DPO
- - Instances n8n ou autres self-hosted sur infrastructure personnelle
- - Code metier sur repository GitHub personnel sans copie sur le repo entreprise
Le Shadow AI et le Shadow No-Code sont les deux faces du meme probleme : des outils puissants utilises sans gouvernance. La solution n'est pas technique - elle est organisationnelle. Une charte no-code d'1 page, signee par tous les collaborateurs, qui definit ce qui est permis et ce qui ne l'est pas, est plus efficace que n'importe quel outil de monitoring.
Pour les PME soumises a NIS2, l'inventaire des outils en production - y compris les outils no-code internes - fait partie des obligations de documentation des actifs. Un audit Shadow No-Code n'est plus seulement une bonne pratique DSI : c'est une obligation reglementaire pour les secteurs concernes.
2LKATIME accompagne les PME et ETI bordelaises et parisiennes dans la mise en place de ce cadre no-code d'entreprise via nos formules d'audit et de gouvernance IA : inventaire des outils fantomes, politique no-code, formation des equipes, et deploiement d'une stack d'automatisation securisee (n8n entreprise, Make Business, Claude API avec DPA).
Le bon signal a envoyer a vos equipes : "On encourage les outils no-code et l'IA - c'est ce qui nous rend competitifs. Mais tout outil en production doit etre sur un compte entreprise, documente, et revise par la DSI. Creez autant que vous voulez - creez correctement." Cette posture valorise la creativite tout en protegeant l'entreprise.
FAQ - Shadow No-Code et gouvernance des outils internes
Qu'est-ce que le Shadow No-Code en entreprise ?
Le Shadow No-Code designe les outils crees par des employes sans validation de la DSI, en utilisant des plateformes comme Make, Zapier, n8n, Glide, ou des generateurs de code IA comme Claude Code ou Cursor. Ces outils sont souvent tres utiles au quotidien, mais ils sont construits sur des comptes personnels, sans documentation, sans securite formelle, et sans plan de continuite. Quand l'employe qui les a crees quitte l'entreprise, l'outil peut cesser de fonctionner du jour au lendemain.
Quels sont les risques d'un workflow Zapier ou Make sur compte personnel ?
Trois risques principaux : la continuite d'activite (si l'employe part, l'abonnement sur sa CB personnelle peut etre resilie), la securite (les cles API sont rarement rotees et les acces jamais audites), et le RGPD (les donnees qui transitent via un compte personnel ne sont pas sous le controle de l'entreprise et constituent une violation de l'article 28 RGPD si aucun DPA n'existe).
Pourquoi n8n self-hosted est-il plus risque que Make ou Zapier ?
Avec Make ou Zapier, le workflow tourne sur le cloud du fournisseur - on peut theoriquement recuperer l'acces au compte. Avec n8n auto-heberge sur un VPS personnel, l'instance entiere - code, credentials, workflows, donnees - est sur une infrastructure que l'employe controle seul. Quand il part, l'acces disparait avec lui. De plus, les instances n8n self-hosted sont souvent exposees sur internet sans authentification correcte.
Comment auditer les outils no-code crees en secret dans mon entreprise ?
4 actions immediates : inventaire des abonnements SaaS sur les releves CB, audit des cles API dans vos comptes principaux (Google Cloud, AWS, OpenAI, Stripe), cartographie des webhooks actifs dans vos outils, et entretien de depart structure pour chaque employe. En pratique, la plupart des PME decouvrent 2 a 5 outils fantomes critiques lors de cet exercice.
Comment encadrer le no-code sans tuer la creativite des equipes ?
La bonne approche : fournir un compte entreprise sur les outils approuves (Zapier, Make, n8n cloud), imposer un repository GitHub entreprise pour tout code en production, exiger une documentation minimale d'1 page pour tout outil utilise en production, et publier un referentiel des outils approuves. Les equipes creent autant - mais dans un cadre qui protege l'entreprise.
Combien d'outils fantomes tournent en ce moment dans votre entreprise ?
2LKATIME realise des audits Shadow No-Code complets pour les PME et ETI : inventaire des outils fantomes, audit des cles API et webhooks, politique no-code d'entreprise, et deploiement d'une stack d'automatisation securisee. Resultat en 5 jours, avec un plan d'action priorise pour la DSI et la direction. Premiere consultation offerte.