Le Shadow IT contourne les contrôles de sécurité : services cloud non approuvés, logiciels non licenciés, bases de données personnelles. Les risques incluent fuites de données, non-conformité réglementaire et vulnérabilités non patchées. La gestion passe par la sensibilisation, des alternatives officielles et la détection (CASB).