La forte augmentation du shadow IT est notamment due à la prolifération des appareils mobiles et des applications et services hébergés dans le cloud. Tout en reconnaissant que le shadow IT améliore parfois la productivité des utilisateurs et stimuler l’innovation, cette pratique génère néanmoins des vulnérabilités et des risques de sécurité en élargissant les zones inconnues de la surface d’attaque d’une entreprise, créant ainsi de nouvelles opportunités de cyberattaques et de violations de la conformité réglementaire.
Les malwares et autres actifs malveillants implantés par des cybercriminels ne sont pas considérés comme du shadow IT. En effet, ce dernier comprend uniquement les actifs non-approuvés et installés clandestinement par des utilisateurs autorisés.
Définition du shadow IT
Le shadow IT englobe les systèmes informatiques, les terminaux numériques (PC, laptops, tablettes et smartphones), les logiciels et les applications (généralement des logiciels standard) et les services (software as a service (SaaS), platform as a service (PaaS) et infrastructures as a service (IaaS)) utilisés au sein d’une entreprise, à l’insu des responsables de la sécurité informatique.
Comprendre le shadow IT
La vulgarisation de la technologie est assurément une des causes profondes du shadow IT. Le faible coût et l’accès banalisé à d’innombrables ressources informatiques ont conduit à une véritable explosion de cette pratique dans les entreprise.
Dans certains cas, la décision d’avoir recours au shadow IT est délibérée. Les utilisateurs d’une entreprise contournent explicitement les procédures internes pour se procurer eux-mêmes des logiciels ou des applications non-autorisés par service informatique ou pour utiliser une solution perçue comme supérieure aux applications officiellement autorisées. Les utilisateurs peuvent également acquérir différentes ressources sans même alerter le service informatique parce que la procédure d’approbation des achats informatiques est jugée trop contraignant et trop lente.
Il arrive fréquemment que les utilisateurs n’empêchent pas volontairement leur service informatique d’évaluer des nouvelles ressources; ils utilisent simplement une application à la demande d’un partenaire ou d’un prestataire externe. Dans un souci de gain de temps et d’efficacité, de nombreux collaborateurs préfèrent se tourner vers les applications auxquelles ils sont déjà habitués.
Le shadow IT peut également se développer lorsque des utilisateurs créent des sites web hors du domaine de l’entreprise, pour des projets ponctuels par exemple. En outre, les pratiques répandues du télétravail et du BYOD (Bring-your-own-device) sont autant de source génératrice de shadow IT.
Différences entre les ressources informatiques autorisées et non autorisées
Au cœur de la problématique du shadow IT se trouvent les ressources informatiques autorisées et non autorisées (appareils, applications et services). La différence est à la fois simple et fondamentale.
Contrairement aux ressources informatiques non autorisées (en d’autres termes le shadow IT), les ressources informatiques autorisées ont été préalablement testées, approuvées et souvent renforcées pour éliminer d’éventuelles vulnérabilités.
Les ressources informatiques non autorisées exposent les entreprises à des menaces cyber (malwares, perte de données, etc…) pouvant être introduites dans les réseaux par des cybercriminels, des initiés malveillants profitant des failles de sécurité ou des initiés accidentels créant des vulnérabilités par inadvertance.
Exemples typiques de shadow IT
Comme l’illustrent les exemples ci-dessous, le shadow IT ne signifie pas que les ressources ne sont pas sécurisées par nature. Le problème posé par leur utilisation dans un cadre professionnel réside dans le fait que le service informatique n’ayant pas connaissance de leur existence ne peut donc pas protéger l’entreprise contre leurs éventuels failles de sécurité. Voici quelques exemples fréquents de pratiques du shadow IT :
Toute application utilisée à l’insu du service informatique, à des fins professionnelles :
- Stockage dans le cloud
- Outils collaboratifs
- Communication et messagerie
- Relecture de document
- Partage de fichiers
- Productivité
- Gestion de projet
- Gestion de réseaux sociaux
Appareils personnels des collaborateurs :
- Ordinateurs portables
- Téléphones portables
- Dispositifs de stockage (clés USB, disques durs externes)
- Tablettes
Risques associés au shadow IT
Alors qu’un nombre croissant d’utilisateurs se tourne vers le shadow IT pour les avantages tangibles que procurent les outils sélectionnés, les actifs du shadow IT augmentent considérablement le niveau de cyberrisque en créant des vulnérabilités qui échappent aux contrôles de sécurité :
Vulnérabilités de sécurité
Le shadow IT apporte son lot de vulnérabilités. Les problèmes de sécurité généralement associés au shadow IT proviennent d’une absence de contrôles et de processus de sécurité. Par exemple, les logiciels du shadow IT ne sont pas pris en compte par les procédures de maintenance informatique et comme ils sont souvent en retard dans les mises à jour et les correctifs de sécurité, ils peuvent être porteurs de virus et autres malwares.
De plus, les resources de shadow IT disposent rarement des contrôles d’authentification et d’accès requis par les solutions autorisées. Cela rend le shadow IT plus vulnérable aux accès non autorisés, ce qui peut exposer aux risques des informations sensibles et fournir involontairement un point d’entrée vers les réseaux sécurisés.
Collaboration inefficace
Le shadow IT introduit des outils collaboratifs n’étant pas utilisés par l’ensemble des collaborateurs de l’entreprise. Cela crée bien évidemment des problèmes de collaboration au niveau des communications et du partage de données. En effet, le shadow IT est rarement intégré aux systèmes et aux flux de travail autorisés dans l’entreprise.
Problèmes de conformité
Le shadow IT répond rarement aux exigences strictes de conformité réglementaire telles que le Règlement général sur la protection des données (RGPD), la loi américaine sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) ou la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Cela peut non seulement mettre des données confidentielles en danger, mais cela expose également les entreprises à des amendes et des pénalités liées aux violations de conformité.
Risque de perte de données
Lorsque des données sensibles sont stockées, consultées ou transmises via des systèmes et applications de shadow IT, le risque de violation ou de fuite de données augmente considérablement. En outre, les données stockées en dehors des systèmes informatiques gérés ou autorisés par l’entreprise ne sont pas prises en compte lors des sauvegardes, ce qui les expose à un risque de perte définitive en cas de panne ou d’attaque.
Incohérence des données
Lorsque les données sont dispersées dans le shadow IT, elles échappent à la gestion centralisée du service informatique. Cela entraîne la prolifération et la propagation d’informations non officielles, invalides ou obsolètes, pouvant également être source de problèmes de synchronisation.
Manque de visibilité et de contrôle
Comme le shadow IT échappe fréquemment à la vigilance des équipes de sécurité informatique, les entreprises sont souvent exposées à des vulnérabilités non répertoriées mais néanmoins couramment exploitées par les cybercriminels.
Inefficacité des flux opérationnels
Le shadow IT s’intègre difficilement aux systèmes informatiques officiellement autorisés. Il en résulte des obstacles dans les flux opérationnels de l’entreprise et des difficultés à partager et synchroniser les informations. En outre, des conflits peuvent survenir lorsque de nouvelles solutions informatiques autorisées sont introduites et viennent interférer avec le shadow IT, au détriment des utilisateurs l’utilisant au quotidien.
Avantages du shadow IT
Bien que le shadow IT comporte des risques de sécurité importants , ses défenseurs vantent ses nombreux avantages :
Davantage de souplesse et d’innovation
Rapidement accessible et pratiquement illimité en termes de solutions disponibles, le shadow IT offre par nature une grande souplesse d’utilisation. Cette flexibilité favorise l’innovation dans la manière de travailler et permet aux utilisateurs d’expérimenter plus facilement différents systèmes. Elle peut également stimuler l’innovation dans d’autres domaines, tels que la communication et la conception de produits. Lorsqu’il est utilisé judicieusement, le shadow IT peut également faciliter la transformation numérique d’une entreprise en informatisant plus rapidement les flux de travail et processus quotidiens.
Répondre aux besoins immédiats
L’accès aux solutions matérielles et logicielles, en particulier celles qui sont disponibles sous forme de services cloud, ouvre un vaste éventail de ressources informatiques. Si un collaborateur peine à accomplir une tâche avec les outils fournis par l’entreprise, ou s’il trouve une alternative qui lui semble plus efficace, il pourra commander un nouvel outil ou ouvrir un compte utilisateur et commencer à l’utiliser pratiquement dans la minute.
Augmentation de la productivité
Dans le cadre du shadow IT, les collaborateurs peuvent utiliser les outils qu’ils maîtrisent le mieux, ce qui augmente indéniablement leur productivité. Dans certains cas, la productivité des utilisateurs augmente effectivement parce qu’ils contournent allègrement les processus internes leur permettant d’aquérir ou d’accéder à de nouveaux outils informatiques. S’ils estiment que les systèmes et outils proposés par l’entreprise ne sont pas efficaces ou sont inappropriés, ils peuvent facilement en obtenir d’autres par leurs propres moyens et beaucoup plus rapidement que s’ils devaient respecter les procédures des achats informatiques.
Avantages supplémentaires du shadow IT
- Permet aux collaborateurs d’utiliser les outils les plus pertinents pour effectuer leurs tâches
- Élimine le goulot d’étranglement liés à l’approbation par le service informatique de l’achat et du déploiement de nouveaux outils
- Permet aux équipes d’être plus réactifs face au changement
- Facilite l’adoption de nouvelles technologies
- Permet de déployer de nouvelles ressources en quelques minutes
- Accroît la satisfaction des utilisateurs en les laissant choisir leurs outils préférés
Stratégies de gestion du shadow IT
Une gestion pertinente du shadow IT peut en atténuer considérablement les risques. Les entreprises peuvent parfaitement encadrer la pratique du shadow IT et même en tirer certains avantages, en adoptant et en imposant des contrôles. Voici plusieurs tactiques ayant fait leurs preuves pour gérer les risques liés au shadow IT.
Définir des politiques informatiques claires
Une gestion efficace du shadow IT commence par l’élaboration et la mise en œuvre d’une politique complète d’encadrement de son utilisation au sein de l’entreprise. En effet, une politique de shadow IT se doit de documenter avec précision l’utilisation tolérée de technologies non officiellement autorisées. Une telle politique doit également définir des processus d’approbation des solutions shadow et énumérer les contrôles de sécurité nécessaire pour consentir leur utilisation. Enfin, les politiques de shadow IT doivent être parfaitement énoncées et intégrées au règlement intérieur de l’entreprise, ainsi que les éventuelles sanctions prévues en cas de manquements à ce règlement.
Les politiques de shadow IT peuvent également comporter des directives à l’intention des équipes informatiques. Ces directives doivent impérativement détailler les processus d’approbation et les outils à utiliser pour gérer et encadrer la pratique du shadow IT au sein de l’entreprise.
Mettre en place une formation pour sensibiliser les collaborateurs
Un plan de formation adapté et une communication claire sont autant d’éléments essentiels à l’encadrement du shadow IT. Les collaborateurs doivent être parfaitement informés des risques de sécurité encourus avec le shadow IT et l’utilisation d’appareils personnels ou de services non validés par le service informatique de l’entreprise. La formation continue et la communication doivent clairement faire mention des modalités d’approbation par le service informatique de l’utilisation d’outils n’ayant pas encore été approuvés, tout en rappelant aux collaborateurs les sanctions prévues en cas de manquement à ces règles.
Outils de surveillance et de reporting
L’entreprise peut recourir à des systèmes de surveillance pour déceler le shadow IT et détecter l’utilisation de ressources non autorisées. Pour se faire, l’entreprise dispose d’outils de détection du shadow IT spécialement conçus à cet effet, sans oublier l’analyse périodique des journaux des pare-feu et de l’activité des systèmes de détection et de prévention des intrusions pour identifier les anomalies. En outre, les CASB (courtiers en sécurité d’accès au cloud) peuvent détecter les ressources non autorisés. Si le shadow IT devient une préoccupation majeure menaçant la sécurité de l’entreprise, des tests de pénétration et d’autres mesures de piratage éthique peuvent être utilisés pour en traquer l’utilisation.
Parvenir à des compromis pour minimiser les risques liés au shadow IT
Alors que l’entreprise incite ses collaborateurs à utiliser exclusivement les ressources informatiques autorisées afin de garantir l’efficacité des mesures de sécurité mises en oeuvre, certains services observent qu’un contrôle renforcé des ressources autorisées incite les utilisateurs à recourir davantage au shadow IT.
En conséquence, certaines entreprises adoptent une approche plus tolérante envers les systèmes de shadow IT : le service informatique fait l’inventaire des ressources utilisées et détermine la meilleure façon de les protéger. Les utilisateurs ont ainsi accès aux outils qu’ils désirent et dont ils ont besoin.
Bien que ce type de compromis ne soit pas facile à obtenir, une collaboration étroite entre les utilisateurs et les services informatiques reste le meilleur pour atténuer le risque lié au shadow IT.
