Qu’est ce que le SHADOW IT ?
Le Shadow IT est un sujet sensible dans le monde de la cybersécurité, et pour cause. Il représente l’ensemble des technologies informatiques utilisées au sein d’une entreprise sans avoir l’approbation explicite de son service informatique. Qu’il s’agisse de logiciels, d’applications cloud, de services ou même d’appareils, ces outils non autorisés peuvent transformer une initiative a priori innocente qui peut causer beaucoup de problèmes. En effet, l’adoption rapide des services cloud a malheureusement amplifié ce phénomène, exposant les organisations à des grandes menaces en matière de non-conformité et de violations de données.
Les différents types de Shadow IT
Pour mieux anticiper le Shadow IT, il est important de connaître ses différentes formes. Elles sont nombreuses que ce qu’on n’imagine :
Applications SaaS non autorisées
C’est un grand classique. Les employés peuvent utiliser des outils de productivité, des plateformes collaboratives ou des services de partage de fichiers basés sur le cloud sans en informer l’équipe IT. Le problème de ces applications, c’est qu’elles manquent de sécurité. Elles sont nombreuses à ne pas posséder de contrôles d’accès, de mesures de sécurité et de politiques de gouvernance des données, ce qui crée des brèches potentielles.
Appareils personnels et comptes de messagerie
L’utilisation de téléphones portables, de tablettes ou des comptes de messagerie personnels pour des tâches professionnelles est courant. Cependant, tout ceci contournent les politiques et contrôles de sécurité de l’entreprise, ce qui risque de provoquer des fuites de données et de gros problèmes de conformité.
Machines virtuelles
Moins évidentes, mais tout aussi risquées. Certains employés peuvent créer et utiliser des machines virtuelles sur leurs postes de travail, serveurs ou dans le cloud à l’insu de l’IT. Cela peut introduire des vulnérabilités, des comptes par défaut mal sécurisés et une hygiène de configuration déficiente.
Appareils connectés (IoT) fantômes
Avec leurs objets connectés (trackers, caméras, imprimantes, ou même dispositifs médicaux), les employés peuvent mettre en danger la sécurité de leur lieu de travail. Ces appareils non gérés représentent de nouvelles voies d’accès potentielles pour les cybercriminels vers le réseau de l’entreprise.
Sous-réseaux réseau non autorisés
L’ajout de nouveaux sous-réseaux, souvent dû à l’ouverture de bureaux ou à des acquisitions, représente un défi pour la sécurité. S’il cet ajout n’est pas géré et intégré correctement, cela peut créer des risques de sécurité importants pour l’ensemble du réseau.
Matériel réseau non approuvé
Qu’il s’agisse de points d’accès Wi-Fi grand public, d’imprimantes ou d’autres équipements connectés directement au réseau de l’entreprise sans validation IT, ces appareils non supervisés sont autant de portes ouvertes à des vulnérabilités et des failles de sécurité.
Comprendre ces différentes facettes du Shadow IT est la première étape pour élaborer des stratégies ciblées d’identification, de gestion et d’atténuation des risques.
Pourquoi le Shadow IT prend-il racine ?
Le Shadow IT n’est pas toujours malveillant. Souvent, il découle d’un décalage entre les besoins des employés et l’offre technologique interne. Plusieurs facteurs expliquent ce phénomène :
Manque de sensibilisation aux risques
Les employés ne mesurent pas toujours les dangers liés au Shadow. Ils perçoivent souvent les avantages d’une solution non officielle comme supérieurs aux risques potentiels en termes de sécurité et de protection des données.
Inadéquation des outils officiels
Les logiciels d’entreprise existants peuvent ne pas répondre pleinement aux besoins spécifiques des utilisateurs. Face à un manque de fonctionnalités ou à des processus trop stricts, les employés cherchent des alternatives plus adaptées à leurs tâches.
Complexité ou lenteur des systèmes en place
Si les plateformes et outils officiels sont perçus comme trop compliqués, lents ou demandeurs en ressources, les employés peuvent se tourner vers des solutions plus agiles et intuitives, estimant gagner du temps.
Sentiment de limitation ou de surveillance
Un environnement trop contrôlé ou des restrictions perçues comme excessives peuvent pousser les employés à chercher des outils « privés » pour travailler plus librement.
Activités personnelles discrètes
L’utilisation d’appareils et d’outils personnels peut parfois servir à poursuivre des activités non professionnelles en toute discrétion, mélangeant ainsi vie privée et professionnelle sur des infrastructures non sécurisées.
Les 3 risques majeurs du Shadow IT pour votre organisation
Bien qu’il soit compréhensible de vouloir doter les employés des meilleurs outils pour accomplir leur travail, le Shadow IT peut compromettre la sécurité d’une organisation. Voici les trois risques les plus critiques :
1. L'exfiltration de données via le partage de fichiers
Le partage de fichiers non contrôlés est l’une des pratiques les plus courantes du Shadow IT et l’une des plus dangereuses. Il crée des vulnérabilités majeures, notamment en ouvrant la voie à l’exfiltration de données. Imaginons qu’un logiciel malveillant opère un transfert de données non autorisé via un service de partage de fichiers non approuvé : des informations sensibles de l’entreprise pourraient être détruites, vendues sur le dark web, ou simplement divulguées.
Même dans des scénarios moins hostiles, des liens vers des fichiers privés peuvent être partagés accidentellement sur des réseaux sociaux. De plus, ces outils dépassent les limites habituelles de taille des pièces jointes. Ce qui fait que des utilisateurs peuvent, même sans mauvaise intention, stocker et envoyer de nombreuses données d’entreprise sans mesurer les risques d’exposition.
2. L'intégration logicielle compromise
Au sein des infrastructures informatiques plus modernes, de nombreux systèmes sont intégrés pour fonctionner de manière cohérente. Si un élément de cette intégration est compromis par le Shadow IT, des violations de données peuvent survenir à une échelle systémique. Le risque est d’autant plus élevé si les utilisateurs ne réalisent pas les mises à jour logicielles nécessaires sur leurs outils non autorisés, ou s’ils ne savent même pas comment le faire.
Lors d’une mise à niveau d’un système informatique, une application inconnue de l’IT peut devenir le point d’entrée d’un attaquant vers l’ensemble de la base de données de l’entreprise. Ce type de faille peut entraîner des interruptions de service majeures, voire des conséquences judiciaires et financières importantes pour l’entreprise.
3. Les déploiements d'applications d'entreprise perturbés
Dans le paysage actuel dominé par le cloud, les services informatiques accordent une importance capitale à la gestion des changements et des versions logicielles. Les déploiements d’applications d’entreprise suivent des processus très stricts. Des tests complets sont effectués avant et après chaque nouvelle version pour éviter toute perturbation majeure pour l’entreprise.
Les logiciels non autorisés échappent totalement à ce processus. Les mises à jour installées sans que le service informatique le sache sont un vrai danger. Elles peuvent perturber les processus, créer des incompatibilités inattendues et même nuire à la stabilité et à la sécurité de toute l’entreprise.
Comment lutter contre le Shadow IT ?
1. Impliquer les employés dans les décisions informatiques
Pour réduire l’effet du Shadow, il est essentiel d’encourager les employés à choisir de nouveaux outils et technologies. Les employés se sentent valorisés lorsqu’ils utilisent des plateformes approuvées. Des séances de feedback fréquentes peuvent permettre aux équipes informatiques d’identifier les points faibles des utilisateurs et d’ajuster les solutions pour mieux répondre à leurs besoins.
2. Fournir des outils modernes et conviviaux
Des outils modernes et intuitifs réduisent la réticence des employés à adopter des solutions alternatives non approuvées. Vérifiez que les fonctionnalités des logiciels approuvées par le service informatique sont productives et cohérentes avec les flux de travail du service. Par exemple, des outils performants de gestion de projet et de partage de fichiers peuvent réduire la dépendance aux applications externes.
3. Sensibiliser le personnel aux risques
Savoir quelque chose est dissuasif. Organisez régulièrement des ateliers et des formations sur les dangers du Shadow IT, comme la vulnérabilité accrue aux cyberattaques et aux violations de données. Comprendre les risques réduit la tentation de contourner les politiques informatiques. Clarifiez les technologies approuvées et les modalités d’accès aux nouveaux outils.
4. Établir des politiques BYOD claires
Définissez et appliquez une politique BYOD (Bring Your Own Device) rigoureuse. Spécifiez quels appareils personnels peuvent accéder aux réseaux de l’entreprise et les exigences de sécurité qu’ils doivent respecter (chiffrement, antivirus, utilisation d’un VPN). Cela empêche les appareils personnels de compromettre la sécurité de l’organisation.
