Shadow IT : tout comprendre pour anticiper les risques

6 min
88
0
0
Publié le

Le shadow IT regroupe tous les projets, logiciels, applications et services informatiques qui sont gérés en dehors et sans contrôle du service informatique d’une organisation. À l’origine, cette informatique parallèle se limitait aux macros Excel et à l’achat de logiciels non approuvés par le DSI. Mais le shadow IT a connu une croissance exponentielle ces dernières années. Le cabinet de conseil CEB estime ainsi que 40 % de toutes les dépenses informatiques d’une entreprise sont effectuées à l’insu du service informatique et du responsable de la sécurité. Cette croissance rapide est notamment due à la qualité et à la disponibilité des applications cloud et des logiciels en tant que service, les SaaS. Pourtant, si le Shadow IT peut aider les organisations à être plus compétitives, cette pratique n’est pas sans danger. Découvrez en quoi consiste concrètement le Shadow IT et comment en limiter les risques.

Qu’est-ce que le shadow IT ?

Une informatique parallèle au sein des entreprises

 

Le terme shadow IT désigne l’utilisation par les collaborateurs d’une entreprise de technologies, solutions, services, projets et infrastructures informatiques qui n’ont pas été approuvés par les services informatiques internes.

 

Ces technologies informatiques ne correspondent donc généralement pas aux exigences des organisations au niveau de la conformité, de la sécurité et de la fiabilité. Elles peuvent également ne pas être conformes aux accords de niveau de service en place dans l’entreprise.

 

Le problème majeur est donc que ces applications, services, etc. passent outre les actions de gestion, d’intégration et de mise en conformité nécessaire. Les responsables de la sécurité informatique manquent de visibilité sur l’ampleur et la nature des logiciels utilisés et sont moins aptes à détecter les menaces et vulnérabilités qui peuvent y être liées. Au final, c’est une informatique parallèle qui se développe au sein des organisations.

 

Les exemples les plus fréquents de shadow IT

 

Ces systèmes informatiques « fantômes » peuvent inclure une grande variété de technologies comme :

●      les SaaS, IaaS, PaaS et les autres services cloud (hébergement et partage de documents en ligne, etc.) ;

●      les équipements comme des ordinateurs, smartphones, tablettes et les divers appareils qui sont connectés au réseau d’entreprise ;

●      les logiciels « physiques » achetés dans le commerce ;

●      les réseaux sociaux ;

●      les messageries personnelles ;

●      les moteurs de recherche et navigateurs web non autorisés par l’entreprise.

 

 

La source la plus répandue de shadow IT reste les offres SaaS. Ces dernières sont largement plébiscitées par les utilisateurs et les entreprises. Leur utilisation s’est encore accrue avec l’essor du travail à distance. En effet, pour gagner du temps ou communiquer plus facilement, les collaborateurs d’une entreprise peuvent souscrire et utiliser en quelques clics des services de stockage, de partage d’information ou de communication en ligne sans passer par la DSI.

 

La deuxième source la plus courante de produits informatiques fantômes est constituée des équipements physiques. Là aussi, avec l’augmentation du travail à distance, l’importance du shadow IT s’est accrue. Même si les PC et ordinateurs portables distants sont configurés et verrouillés et que des proxys et vpn sont utilisés, il reste fréquent de trouver des logiciels gratuits et commerciaux non autorisés installés sur les appareils des utilisateurs. 

 

Bien sûr, tous ces logiciels et services fantômes ne posent pas forcément de problèmes, mais ils restent une menace potentielle pour le système informatique. Une étude du cabinet de conseil Gartner estime ainsi qu’un tiers des failles de sécurité sont liées au shadow IT.

Les dangers liés à l’informatique fantôme

Des accès non autorisés aux données

 

Une des responsabilités majeures d’un DSI est de s’assurer que seuls les utilisateurs autorisés peuvent accéder aux systèmes et ressources informatiques. De nombreuses technologies et audits de contrôle d’accès sont ainsi mis en place au sein des organisations. Néanmoins, le recours à des outils tiers non connus du service informatique multiplie les risques d’accès non autorisés aux systèmes de production et les pertes et vols de données.

 

Il est donc nécessaire que les DSI et responsables de la sécurité fassent régulièrement l’inventaire de qui utilise quoi dans l’entreprise. Pour cela, une des solutions est de monitorer le réseau à l’aide d’outils de scan de sécurité et de sniffers. Le plus simple cependant reste de demander aux collaborateurs de lister l’ensemble des applications et services qu’ils utilisent pour travailler. Ces informations permettent d’une part de mettre à jour l’architecture et l’organisation du SI, mais également de proposer aux utilisateurs de shadow IT, des alternatives approuvées par le SI.

 

Des problèmes de non-conformité

 

L’informatique parallèle peut poser de nombreux problèmes de conformité avec certains standards informatiques comme l’ITIL ou COBIT. Ces bonnes pratiques du management informatique impliquent notamment que les processus informatiques d’une organisation soient clairement cartographiés.

 

Mais surtout, cette pratique est loin d’être RGPD compliant. En effet, il est impossible pour une organisation d’assurer la mise en conformité avec la réglementation européenne si elle ne sait pas précisément quels sont les logiciels et services utilisés par les équipes et quelle est la nature des données qui y transitent.

 

Des pertes de productivité

 

Si les employés d’une organisation s’appuient sur différentes applications d’un service à l’autre, la collaboration devient laborieuse. Par exemple, si une équipe utilise Google Drive pour le partage de fichiers tandis qu’une autre se sert de DropBox, les documents devront être téléchargés, modifiés et uploadés de multiples fois, engendrant des pertes de temps et d’éventuelles compromissions des informations.

 

Portante, selon une étude de McAfee une organisation de taille moyenne a recours à environ 57 services de partage de fichiers différents ! Là aussi, un inventaire clair du SI et une sensibilisation des employés aux applications approuvées par l’organisation permettent à la fois d’améliorer la sécurité et la productivité des équipes.

 

Lorsqu’on comprend ce qu’est réellement le shadow IT et les risques qui y sont associés, les solutions pour le gérer semblent plutôt évidentes. Celles-ci incluent la mise en place de stratégie et d’outils pour détecter et surveiller les nouvelles applications, mais reposent surtout sur une sensibilisation et une meilleure communication entre le SI et les collaborateurs de l’entreprise.

En comprenant le shadow IT, les DSI et responsables de la cybersécurité peuvent

visualiser les besoins et les attentes des utilisateurs informatiques et transformer cette informatique en parallèle en un ensemble d’outils pour stimuler la productivité et la collaboration.

 

Et vous avez-vous été confronté à des problèmes liés au shadow IT au sein des entreprises pour lesquelles vous avez travaillé ? N’hésitez pas à nous apporter votre témoignage sur le forum IT.

 

Sources et liens utiles :

 

Boostez vos projets IT

Les meilleures missions et offres d’emploi sont chez Free-Work

Continuez votre lecture autour des sujets :
# Actualités
# Outils
# Cybersécurité

Commentaire

Dans la même catégorie