Retour au blog

Qu'est-ce que le shadow IT et quels en sont les risques ?

Transferts sécurisés de fichiers • 07 avril 2023

 


À l’ère du digital, le shadow IT est devenu un véritable fléau pour les entreprises, quelle que soit leur taille. Il se réfère en effet aux pratiques technologiques effectuées par les collaborateurs, sans l'autorisation ni la supervision de l'entreprise.

 

Chez LockSelf nous parlons tous les jours avec des DSI et des RSSI qui luttent contre les pratiques de shadow IT. Ces actes sont souvent initiés afin de répondre à des besoins spécifiques tels que l’envoi rapide de fichiers volumineux ou la coopération en ligne.

 

Malheureusement, cette pratique peut avoir de graves conséquences vis-à-vis de la protection de données sensibles, la conformité réglementaire ainsi que la productivité et la sécurité des employés. Découvrez dans cet article la définition du shadow IT, les risques encourus par l’entreprise et les moyens de lutter contre cette menace grandissante.

Qu'est-ce que le shadow IT ? 

 

Au fil des années, la pratique du shadow IT s'est intensifiée avec l'avènement de nouvelles technologies, notamment le cloud. Elle est aussi appelée informatique de l'ombre ou rogue IT.

 

Elle fait référence à l’usage de technologies de l'information, de logiciels, de services et d'applications n’ayant pas eu l'approbation ou la connaissance du département informatique de l'entreprise. Il s'agit souvent d'un phénomène spontané et non planifié dans lequel les employés utilisent des outils de leur choix pour faciliter leur travail. Ces personnes ne se soucient pas des politiques de sécurité ni des réglementations de l' entreprise.

Les motivations derrière le shadow IT

 

En général, la plupart des employés ne pratiquent pas l’informatique de l’ombre de manière intentionnelle ou malicieuse. Ils le font plutôt parce qu'ils cherchent à être plus productifs et efficaces dans leur travail. En outre, le rogue IT est motivé par plusieurs facteurs qui incluent :

  • Les besoins spécifiques : il est tout à fait possible que les collaborateurs ne soient pas satisfaits par les outils ou les services informatiques fournis par l’entreprise. Dans certaines situations, ils préfèrent recourir à des dispositifs en ligne, car ces derniers offrent des fonctionnalités plus avancées que ceux mis à leur disposition.

  • La facilité d'utilisation : il arrive que les agents trouvent les outils officiels trop compliqués à manipuler ou non adaptés à leurs besoins. Ils choisissent donc de chercher des alternatives plus simples ou plus pratiques.

  • La culture de l’entreprise : l'habitude d’œuvrer de manière autonome et de prendre des décisions en dehors des canaux officiels est une qualité fortement souhaitée au sein de certaines sociétés. Le personnel est ainsi enclin à employer des logiciels ou d’autres instruments qui sont hors de portée du département informatique.


À noter que ces dernières années, le télétravail a généralisé la pratique du shadow IT. Les salariés sont souvent confrontés à des problèmes de communication et de partage de fichiers avec leurs collègues lorsqu'ils travaillent à distance. Dans la majorité des cas, ils sont inconscients des risques qui y sont liés. Ils l’exercent donc, sans se rendre compte du danger que leurs actes représentent. 


Les formes les plus courantes du shadow IT

 

Le rogue IT revêt différentes formes au sein d'une organisation, cela dépend des besoins, des préférences ainsi que des habitudes des employés. Voici quelques exemples de celles qui sont courantes :

  • Les services cloud, incluant les services de stockage et de partage de fichiers tels que Dropbox, Microsoft OneDrive, WeTransfer ou Google Drive. Ils sont généralement faciles d’accès et certaines fonctionnalités sont disponibles gratuitement, ce qui les rend très populaires auprès des salariés.

  • Les applications mobiles (Skype, WhatsApp, etc.) : qu'elles soient téléchargées à partir des App Store officiels ou non, elles sont souvent déployées par le personnel pour gérer leur travail.

  • Les périphériques personnels : les employés utilisent habituellement leur propre smartphone, tablette, clé USB ou ordinateur portable afin d’accéder aux fichiers et aux applications de l' entreprise.

  • Les réseaux sociaux (Twitter, Facebook, etc.): le personnel communique et coopère régulièrement avec des clients et des partenaires sur les réseaux sociaux, sans savoir que ceux-ci peuvent être source de fuites de données.


D’ailleurs, il n’est pas rare que les clients de l'entreprise invitent les collaborateurs à travailler ensemble sur des projets. Ce qui implique, dans la majorité des cas, l’utilisation d’applications de productivité qui leur sont propres.Supports-personnels-accès-données

Utiliser des supports personnels pour accéder aux données de l’entreprise est une forme de shadow IT

Les pratiques du shadow IT en quelques chiffres

 

Plusieurs enquêtes ont établi que l’informatique de l’ombre est courante dans de nombreuses entreprises à travers le monde.

 

Selon une étude menée en 2020, 80 % des employés ont avoué avoir utilisé des applications ou des services cloud, sans l'autorisation du département informatique. De plus, il a été constaté que la pratique du shadow IT a augmenté de 59 % en raison de l'exigence du télétravail à la suite de la pandémie Covid-19 (source : Core). Cette tendance ne cesse de s'accentuer avec l'adoption croissante de la technologie dans l'environnement de travail. 

 

Récemment, le rapport du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) montrait que le shadow IT était encore très fréquent en 2022 et à l'origine de nombreux incidents de sécurité au sein des organisations.

Les-principales-causes-des-incidents-de-sécurité-selon-le-rapport-CESIN-2023

Les principales causes des incidents de sécurité selon le rapport CESIN 2023

 

Par ailleurs, 35 % des employés ont le sentiment de devoir contourner les règles de sécurité de leur entreprise afin d'accomplir leur travail.

 

La majorité des sociétés (soit 60 %) ne considèrent pas d’ailleurs le rogue IT comme une menace lorsqu'elles évaluent les risques liés à la sécurité de leur réseau et de leurs données. Toutefois, une étude réalisée par Gartner a révélé qu'en 2020, un tiers des attaques informatiques ont visé le shadow IT. 

Quels sont les risques liés au shadow IT ? 

 

Les pratiques du shadow IT au sein d’une entreprise partent généralement d’une bonne intention. Malgré cela, il est crucial de rester vigilant, car les conséquences peuvent être catastrophiques. De l’exposition à des risques de cyberattaque jusqu’à la perte de données hautement confidentielles, voici les principaux dangers liés à ce phénomène.

Ralentissement de la productivité 

 

Les employés pensent que les pratiques du shadow IT les aident à travailler plus efficacement, et c’est en partie vrai. Toutefois, cela ralentit également la productivité dans l’ensemble, surtout au niveau de la DSI (Direction des Systèmes d'Information).

 

Il est en effet courant que chacun des collaborateurs traite les fichiers sensibles de la société via diverses applications, puis les stocke dans différents endroits. Des logiciels ou des programmes inconnus sont alors déployés sur le réseau de l'entreprise. Cela complique davantage le travail du département informatique. Il est dans l’obligation de trouver et d’analyser la moindre faille, puis de planifier des ajustements en fonction de la situation. Des retards dans ses principales tâches seront perçus, affectant l’organisation globale de l'entreprise tout en exposant la sécurité.

 

De plus, la collaboration est perturbée lorsque le personnel utilise des applications différentes. Imaginez si deux employés travaillent sur le même projet et que l’un utilise Google Sheets et l’autre ProofHub. En plus d’apporter une incohérence dans l’ensemble, cela risque de ne pas fluidifier le déroulement des processus. 

Affaiblissement des défenses contre les cyberattaques

 

Il est très difficile, voire impossible, de délimiter une surface d'attaque lorsque des données sont partagées dans un environnement non contrôlé. L’entreprise devient en effet vulnérable chaque fois qu’un collaborateur pratique le shadow IT. Un simple échange de fichiers via un e-mail ou un logiciel installé sans approbation sur un ordinateur est en effet un potentiel point d’ouverture pour les cyberattaques. Même si le responsable informatique effectue très bien son travail, les utilisateurs finaux, quant à eux, ne sont pas aussi fiables. Plus le traitement des données se fait en dehors des limites de sécurité établies, plus les risques d’attaque malveillante augmentent. Si un cybercriminel est connecté aux ressources de l'entreprise, il lui sera facile de passer d'un service à l'autre sur le réseau et d'accéder à des informations délicates. 

 

À noter que notre solution LockTransfer qui est certifiée par l’ANSSI permet de réduire considérablement la surface d’attaque de votre entreprise. Munie d’une interface intuitive, notre plateforme mise tout sur l’efficacité et la simplicité d’utilisation. Notre suite s’intègre facilement dans vos outils à l’aide de plug-in notamment pour Office365 & Outlook. Avec elle, deux ou trois clics suffisent à sécuriser vos fichiers sensibles et leur envoi auprès de collaborateurs ou de prestataires externes.  

Perte ou fuite de données sensibles

 

Les collaborateurs ont tendance à sauvegarder ou à partager des données confidentielles de l’entreprise sur le cloud à titre personnel. Sans que le DSI soit au courant, ces derniers utilisent des services de stockage disponibles gratuitement en ligne tels que Google Drive ou Dropbox. Cependant, ces applications sont souvent sujettes à des attaques de pirate informatique. Même si elles offrent une sécurité accrue, il est toujours conseillé d’être vigilant et de prendre des mesures supplémentaires. La moindre négligence expose en effet la société à une fuite de données, dont la répercussion peut nuire à la réputation ou entraîner une perte financière importante. Dans ce contexte, les liens de confiance entre clients et fournisseurs seront rompus et des sanctions légales tomberont si l'entreprise est jugée coupable.

 

D’ailleurs, l’usage des services de stockage en ligne est soumis à de multiples réglementations qu’il est nécessaire de connaître. Si elles ne sont pas respectées, la société est exposée à des amendes ou à d'autres conséquences juridiques.

Comment empêcher les pratiques de shadow IT dans votre entreprise ? 

 

Qu’on se le dise, il est difficile de lutter contre le shadow IT dans une entreprise. Il est toutefois envisageable de minimiser les risques qui y sont liés en se posant la question : « pourquoi les employés utilisent-ils des technologies non autorisées ? ». En trouvant les raisons sous-jacentes, il vous est possible de résoudre le problème à la racine et d’éviter qu'il ne se reproduise. Attention ! La première grosse erreur est de tout bloquer, car cela créera à coup sûr de la frustration et entraînera une perte de productivité chez les collaborateurs. L’approche optimale est de procéder étape par étape. À savoir : 

Éduquer les employés

 

Afin de prévenir le shadow IT, la première étape consiste à éduquer les employés sur les risques et les conséquences potentielles. Ils doivent comprendre que ce genre de pratique est susceptible de causer des problèmes de sécurité et de conformité pour l'entreprise. Organisez des conférences ou des formations sur le sujet et donnez-leur des ressources pour qu'ils puissent s'informer davantage (liste des appareils autorisés, procédure à respecter, etc.). La sensibilisation des cadres aide aussi dans ce sens. Leur statut leur permet d’encourager une culture de normalité et de soutenir les politiques ainsi que les processus établis au sein de l' entreprise.

Mener des audits réguliers

 

En second lieu, il est important de s'assurer que le réseau de l’entreprise est sûr en tout temps. Le DSI doit dénicher et analyser les technologies fantômes employées par les collaborateurs. S'il les trouve à temps, il a la possibilité d'éviter les éventuels problèmes en les supprimant ou en les sécurisant. À noter d’ailleurs que tous les actes liés au shadow IT ne représentent pas le même niveau de danger. Certaines activités qui pourraient impliquer des risques majeurs nécessitent de prendre des mesures drastiques. 

Établir des politiques claires

 

L’entreprise doit établir des politiques claires sur les pratiques du rogue IT, que ce soit à partir d’un logiciel ou de n’importe quel appareil connecté. L’important est que l’énoncé général soit facilement accessible et compréhensible par les collaborateurs.

Évaluer les besoins du personnel

 

Afin de lutter contre le shadow IT, l’évaluation des besoins du personnel tout en leur fournissant des solutions appropriées est indispensable. Les employés seront enclins à ne plus recourir à des outils non autorisés si leurs exigences sont satisfaites. D’ailleurs, il est aussi efficace d’établir un processus qui consiste à formuler une demande pour l'utilisation d'un tel ou tel instrument. Ensuite, cette dernière sera évaluée par le département informatique. Et comme vous le savez, la communication est la clé entre les parties prenantes. Alors, si une proposition est rejetée, essayez d'en expliquer clairement les raisons et d'offrir des alternatives (s’il y en a bien sûr).

Réévaluer et optimiser les outils utilisés

 

Parfois, les outils numériques que les employés introduisent informellement dans l’entreprise améliorent réellement la productivité. Réévaluez ces ressources et, au lieu de les interdire, essayez de les rendre officielles tout en assurant qu’elles sont fiables. En effet, des solutions existent afin de mieux protéger les fichiers sensibles ainsi que les activités de la entreprise. L’une d’entre elles est de mettre en place une surveillance automatisée du réseau.


Notre suite LockSelf vous offre d’ailleurs un équilibre optimal entre les avantages et les risques du shadow IT. Elle permet en effet de bien sécuriser la gestion et le partage de vos données sur le Net. En adoptant notre solution, vous prodiguerez à vos employés la flexibilité et la productivité dont ils ont besoin tout en garantissant la sécurité de votre entreprise.


 


 

Découvrez LockSelf

Protégez vos données dès aujourd'hui

Accédez à l'ensemble des fonctionnalités de la suite LockSelf pendant 14 jours.