Shadow IT : le cauchemar des entreprises
Nous vivons avec, mais le manque de connaissance du terme signifie que nous ne savons pas exactement ce que nous voulons dire quand nous l'entendons. Cependant, le Shadow IT est à l'ordre du jour, et c'est un problème auquel toutes les entreprises du monde sont confrontées et qui peut constituer une menace plus grande qu'il n'y paraît.
Mais qu'est ce que c'est exactement? Comment cette situation se produit-elle ? Qu'est-ce que cela signifie pour les organisations? Ensuite, nous éclairons toutes ces questions.
Le terme Shadow IT fait référence à tout élément technologique (matériel, logiciel, cloud...) qui est utilisé par un utilisateur sans l'autorisation et la connaissance du responsable informatique de l'organisation. C'est-à-dire lorsqu'un travailleur prend des décisions par lui-même sans être d'accord avec son supérieur et décide, par exemple, d'utiliser un service basé sur le cloud sans en discuter au préalable avec l'entreprise.
Violations et fuites de données
Comme d'habitude, chaque entreprise fournit son équipement et ses programmes à ses employés, mais nombre d'entre eux téléchargent et installent également d'autres programmes qui ne sont pas supervisés par le service informatique. Environ 821 TP2T des entreprises ignorent toutes les applications utilisées par leurs travailleurs au quotidien.
C'est une pratique plus récurrente qu'on ne le croit actuellement. Selon IBM Security, "un employé sur trois partage et télécharge des données d'entreprise vers des applications cloud tierces", ainsi que "un sur quatre se connecte à des solutions cloud à l'aide de son nom d'utilisateur et de son mot de passe d'entreprise".
Le terme Shadow IT fait référence à tout élément technologique (matériel, logiciel, cloud...) qui est utilisé par un utilisateur sans autorisation
Avec le télétravail, les utilisateurs ont utilisé leurs propres appareils tels que le smartphone ou l'ordinateur portable personnel pour les questions de travail, où ils ont indirectement partagé des documents d'entreprise via des applications stockage en ligne, réseaux non autorisés, ordinateurs non contrôlés ou applications tierces telles que Saas. A noter que seulement 7% de ces applications Internet gratuites répondent aux normes de sécurité minimales, donc les personnes qui les utilisent exposent l'organisation sans le savoir.
Pourquoi cela se produit-il et comment peut-il être géré ?
Ce type de situation se produit principalement en raison du besoin de l'utilisateur de résoudre une situation spécifique. Par exemple, lorsque l'employé doit envoyer plusieurs fichiers volumineux qui ne peuvent pas être joints à un e-mail en raison de leur taille, ou lorsqu'il peut effectuer une fonction spécifique parce que son équipe ne le permet pas.
Tout cela a priori peut représenter une série d'avantages tels que l'immédiateté, l'autonomie et l'efficacité dans le travail, on peut même en venir à croire que cela se traduit par des économies pour notre entreprise. Rien ne pourrait être plus éloigné de la vérité. La vérité est que le Shadow IT laisse la porte ouverte au manque de contrôle, à la fuite de données, au vol d'informations confidentielles et à un nombre infini de vulnérabilités qui se traduisent par un cauchemar de coûts, d'inefficacités et même par l'arrêt complet de l'activité commerciale.
Comment le RSSI peut lutter contre le Shadow IT dans l'entreprise : Conseils et recommandations
La meilleure façon de lutter contre les menaces et les risques du Shadow IT passe par l'application de lignes directrices, de bonnes pratiques, de politiques et d'initiatives gérées par l'équipe informatique, et de plus en plus par la figure du CISO (Security Manager), qui sont proportionnelles au niveau technique. et les possibilités budgétaires de l'entreprise et aux besoins de l'entreprise. Quelques clés pour reprendre le contrôle, dans les différents vecteurs d'action sont :
1) Analyser les processus et la manière de travailler : Cette tâche est plus typique des services d'une entreprise que du responsable informatique. Il consiste à revoir périodiquement le fonctionnement de chaque département et les besoins dans leurs processus de travail. Cette analyse nous permettra de vérifier si les outils technologiques existants sont suffisants ou si de nouveaux éléments doivent être intégrés à leur façon de travailler. C'est là que nous pouvons identifier si ces nouveaux éléments technologiques nécessaires sont conformes aux mesures de sécurité nécessaires et les faire identifier et sous contrôle.
2) Inventorier et surveiller : Il est important de maintenir un catalogue de matériel, de logiciels et d'applications cloud et, à son tour, de disposer de méthodes de surveillance, d'analyse et de vérification du réseau qui nous permettent de vérifier que les configurations de nos éléments technologiques n'ont pas subi de modifications. Par exemple, le MDM (Mobile Device Management) permet de gérer à distance le parc matériel et logiciel d'une organisation, en contrôlant à tout moment les applications utilisées et installables. Les pare-feu et IDS nous permettront de surveiller notre trafic réseau.
3) Identifier et agir : Lorsque nous détectons une menace, nous devons analyser et évaluer l'avantage qu'elle comporte, les inconvénients et l'impact sur l'entreprise. L'adoption du nouvel élément peut supposer la solution et une amélioration, mais il faut peser la possibilité qu'il existe une alternative plus sûre et plus optimale pour réaliser la même fonction.
4) Sensibiliser : Une initiative importante consiste à former les employés et à les éduquer sur les questions de sécurité afin qu'ils soient conscients que leurs actions peuvent entraîner de grands risques pour l'entreprise. Les travailleurs doivent être conscients de la dangerosité des actions menées dans l'ombre sans en informer notre responsable informatique.
Cependant, la clé la plus importante pour gérer ce type de situation et y mettre fin est de disposer d'outils permettant aux entreprises d'éliminer le Shadow IT. En bref, il est essentiel de disposer de solutions permettant de gérer le canal de communication d'entrée et de sortie des dossiers des employés, de manière sécurisée, contrôlée, auditée et efficace.
