Shadow IT

Le smartphone, la montre de fitness et la machine à café intelligente sont rapidement connectés au réseau WLAN de l’entreprise. Les services de cloud computing sont un bon moyen de transférer facilement de grandes quantités de données. Mais ce comportement peut présenter d’énormes risques pour la sécurité des données des entreprises.

Qu’est-ce que le Shadow IT exactement ?

Le terme « Shadow IT » fait référence à l’utilisation de systèmes informatiques, de logiciels et de services au sein d’une entreprise sans l’autorisation ou le contrôle explicite du service informatique.

Dans le monde numérique hyper-connecté d’aujourd’hui, les entreprises tentent de rester en phase avec un paysage technologique en constante évolution. Cette quête d’innovation est certainement essentielle pour le maintien de la compétitivité de nombreuses entreprises, mais elle peut avoir des conséquences négatives si, dans leur désir de développement rapide, d’optimisation des processus ou même d’augmentation des bénéfices, les entreprises négligent des caractéristiques de sécurité essentielles, à commencer par la sécurité informatique.

L’existence du Shadow IT est problématique pour les entreprises lorsqu’il se développe sur une longue période et à l’insu des responsables et qu’il s’installe dans l’entreprise. Néanmoins, les organisations peuvent également tirer des aspects positifs de l’existence d’un Shadow IT. Nous montrons quels sont ces avantages dans l’article de blog suivant. Nous nous plongerons plus profondément dans le sujet du Shadow IT et mettrons en lumière ses causes, ses effets et les mesures qui devraient être prises pour gérer le Shadow IT.

L’histoire de l’émergence du Shadow IT

Comme nous l’avons brièvement mentionné, le Shadow IT se produit généralement lorsque les employés d’une entreprise utilisent des solutions, des services ou des outils qui n’ont pas été fournis ou approuvés par les personnes ou le service informatique responsable.

Elle peut être due à différentes raisons :

• Les besoins ne sont pas satisfaits: Il se peut que les collaborateurs aient des besoins spécifiques qui ne sont pas satisfaits par les solutions informatiques officielles. Par exemple, une fonction spécifique ne peut pas être exécutée par l’outil fourni ou son utilisation pose des problèmes aux utilisateurs. Souvent, les employés cherchent alors des alternatives de leur propre chef pour augmenter leur productivité ou optimiser leur travail.
• Flexibilité et rapidité: les processus informatiques officiels peuvent parfois être lents et impliquer des approbations et des délais d’attente. Lorsque les collaborateurs doivent agir rapidement, ils ont souvent recours à des applications qu’ils connaissent déjà et avec lesquelles ils sont à l’aise, plutôt que d’attendre les solutions officielles.
• Facilité d’accès: avec l’émergence des services de cloud computing et des logiciels facilement disponibles, les employés peuvent se connecter plus facilement et utiliser les applications adaptées à leurs besoins sans avoir à faire appel aux responsables informatiques.
• Manque de conscience du problème: parfois, les employés ne sont pas conscients que ce qu’ils font entre dans la catégorie du Shadow IT. Ils peuvent y voir un contournement plutôt qu’un écart par rapport aux processus officiels.
• La bureaucratie perçue: si le service informatique est perçu comme trop strict ou si les processus sont considérés comme trop bureaucratiques, les employés peuvent éviter de passer par les instances ou les personnes compétentes.
• Manque de personnel: si le service informatique manque de personnel ou si les personnes responsables sont absentes pour cause de maladie ou de vacances, il peut arriver que les employés prennent leurs propres décisions par nécessité et cherchent eux-mêmes des alternatives, contribuant ainsi à l’émergence du Shadow IT.

Il est clair que les raisons pour lesquelles un Shadow IT peut apparaître sont multiples. Très rapidement – et souvent sans s’en rendre compte – chaque collaborateur peut contribuer à la création d’un Shadow IT ou à la propagation d’une structure Shadow IT déjà existante. Les situations de travail quotidiennes suivantes montrent comment les collaborateurs agissent en dehors de l’infrastructure informatique interne sécurisée et quelles menaces potentielles en découlent.

Utilisation non autorisée du stockage en nuage :

Pour envoyer une pièce jointe trop volumineuse, les employés utilisent des comptes de stockage personnels dans le cloud pour transférer les informations de l’entreprise vers un autre appareil.

• Menaces potentielles : Fuite de données, perte de contrôle des informations sensibles, non-respect des réglementations, absence de cryptage, exposition potentielle aux cyber-attaques.

Applications de messagerie pour la communication au travail :

Plusieurs équipes utilisent des applications de messagerie non autorisées, telles que Whatsapp, pour communiquer rapidement entre elles.

• Menaces potentielles : Absence de chiffrement de bout en bout, partage potentiellement non sécurisé de données confidentielles, absence de contrôle sur le stockage des messages, risque de propagation de logiciels malveillants par le partage de fichiers.

Outils personnels de gestion de projet :

Afin de mieux planifier, contrôler, suivre et exécuter les projets, les départements utilisent leurs propres outils de gestion.

• Menaces potentielles : Fragmentation des données, difficultés d’intégration, vulnérabilités de sécurité, incapacité à maintenir une supervision cohérente des projets, protection des données compromise.

Abonnements SaaS non approuvés :

Les employés s’abonnent à des applications SaaS non autorisées, par exemple Microsoft 365, pour des tâches spécifiques.

• Menaces potentielles : Atteintes à la protection des données, absence de chiffrement des données, visibilité limitée sur les pratiques de traitement des données des tiers, risque de non-conformité aux règles de protection des données, paramètres de sécurité insuffisants, absence de gestion des mises à jour de sécurité

Qu’est-ce que les dispositifs d’ombre ont de si dangereux ?

Ces quatre exemples illustrent à eux seuls certaines des menaces potentielles liées à la présence d’un Shadow IT. Le problème lié à l’utilisation de dispositifs de l’ombre est relativement facile à résumer : On ne peut pas sécuriser ce que l’on ne connaît pas.

Ainsi, chaque appareil, chaque programme représente un risque potentiel pour la sécurité des données de l’entreprise. Si les responsables ne sont pas au courant de leur existence, ils ne peuvent pas prendre les précautions nécessaires en matière de sécurité ou de protection des données. De même, les employés ne peuvent pas être sensibilisés aux risques spécifiques de chaque technologie, les paramètres de protection des données ne sont pas définis et les programmes de sécurité tels que les pare-feu ne sont pas ou peu installés.

En règle générale, la surface d’attaque pour les cybercriminels augmente lorsque des programmes et des appareils supplémentaires sont utilisés, ce qui rend l’infrastructure informatique plus complexe. Ce facteur est considérablement accru si ces applications sont utilisées sans être sécurisées.

Si le Shadow IT peut avoir des effets positifs sur une entreprise (promotion de l’innovation, prise de décision plus rapide des collaborateurs ou encore recherche de nouvelles technologies), les risques l’emportent néanmoins sur les avantages.

Outre les risques de sécurité des données mentionnés ci-dessus, la perte de données et de contrôle ou la violation des politiques de conformité, l’entreprise peut également faire face à des coûts supplémentaires si, par exemple, différents départements utilisent des applications similaires séparément et paient deux fois les licences ou les abonnements. Des pertes de productivité ou des problèmes d’évolutivité peuvent également survenir si le Shadow IT n’est pas conçu pour des processus de croissance.

Gérer et combattre le Shadow IT

Si l’on constate qu’un Shadow IT s’est établi dans l’entreprise ou est sur le point de se développer, des mesures doivent être prises. L’objectif doit être de créer un environnement de travail sûr, efficace et productif pour les employés. Il est recommandé d’analyser les raisons pour lesquelles le Shadow IT s’est répandu. L’une des raisons mentionnées ci-dessus est peut-être à l’origine de cette situation. Il convient ensuite de comprendre les motivations et de travailler avec l’équipe pour résoudre le problème. Pour ce faire, il convient de suivre les conseils suivants.

1. Identifier et comprendre: Il convient de comprendre pourquoi le Shadow IT existe ou pourquoi il est apparu. Il est important de comprendre les motivations et de répondre aux besoins des collaborateurs.
2. Communication ouverte: encouragez le personnel à partager et à discuter de ses besoins avec le service informatique ou les personnes responsables de manière ouverte et transparente.
3. Sensibilisation: informez vos employés des risques liés au Shadow IT.
4. Trouvez des solutions coopératives: Travaillez avec les collaborateurs pour trouver des solutions. Trouvez avec l’équipe des services, des outils et des applications qui répondent aux besoins.
5. Optimisation des processus: mettez en place des processus rationalisés pour l’introduction de nouvelles applications, l’approbation des nouvelles technologies et le déploiement de ces outils.
6. Audits réguliers et boucles de rétroaction: Effectuez des enquêtes régulières pour identifier les applications non autorisées et demandez à vos collaborateurs s’ils sont satisfaits des processus et applications existants.
7. Mises à jour: Maintenez l’informatique utilisée à jour pour l’adapter à l’évolution des besoins.
8. Célébrez les succès: montrez à votre équipe pourquoi une application ou une solution devrait être utilisée ou quels développements positifs ont été obtenus grâce à son utilisation.