À l’ère du digital, le shadow IT est devenu un véritable fléau pour les entreprises, quelle que soit leur taille. Il se réfère en effet aux pratiques technologiques effectuées par les collaborateurs, sans l'autorisation ni la supervision de l'entreprise.
Chez LockSelf nous parlons tous les jours avec des DSI et des RSSI qui luttent contre les pratiques de shadow IT. Ces actes sont souvent initiés afin de répondre à des besoins spécifiques tels que l’envoi rapide de fichiers volumineux ou la coopération en ligne.
Malheureusement, cette pratique peut avoir de graves conséquences vis-à-vis de la protection de données sensibles, la conformité réglementaire ainsi que la productivité et la sécurité des employés. Découvrez dans cet article la définition du shadow IT, les risques encourus par l’entreprise et les moyens de lutter contre cette menace grandissante.
Au fil des années, la pratique du shadow IT s'est intensifiée avec l'avènement de nouvelles technologies, notamment le cloud. Elle est aussi appelée informatique de l'ombre ou rogue IT.
Elle fait référence à l’usage de technologies de l'information, de logiciels, de services et d'applications n’ayant pas eu l'approbation ou la connaissance du département informatique de l'entreprise. Il s'agit souvent d'un phénomène spontané et non planifié dans lequel les employés utilisent des outils de leur choix pour faciliter leur travail. Ces personnes ne se soucient pas des politiques de sécurité ni des réglementations de l' entreprise.
En général, la plupart des employés ne pratiquent pas l’informatique de l’ombre de manière intentionnelle ou malicieuse. Ils le font plutôt parce qu'ils cherchent à être plus productifs et efficaces dans leur travail. En outre, le rogue IT est motivé par plusieurs facteurs qui incluent :
À noter que ces dernières années, le télétravail a généralisé la pratique du shadow IT. Les salariés sont souvent confrontés à des problèmes de communication et de partage de fichiers avec leurs collègues lorsqu'ils travaillent à distance. Dans la majorité des cas, ils sont inconscients des risques qui y sont liés. Ils l’exercent donc, sans se rendre compte du danger que leurs actes représentent.
Le rogue IT revêt différentes formes au sein d'une organisation, cela dépend des besoins, des préférences ainsi que des habitudes des employés. Voici quelques exemples de celles qui sont courantes :
D’ailleurs, il n’est pas rare que les clients de l'entreprise invitent les collaborateurs à travailler ensemble sur des projets. Ce qui implique, dans la majorité des cas, l’utilisation d’applications de productivité qui leur sont propres.
Utiliser des supports personnels pour accéder aux données de l’entreprise est une forme de shadow IT
Plusieurs enquêtes ont établi que l’informatique de l’ombre est courante dans de nombreuses entreprises à travers le monde.
Selon une étude menée en 2020, 80 % des employés ont avoué avoir utilisé des applications ou des services cloud, sans l'autorisation du département informatique. De plus, il a été constaté que la pratique du shadow IT a augmenté de 59 % en raison de l'exigence du télétravail à la suite de la pandémie Covid-19 (source : Core). Cette tendance ne cesse de s'accentuer avec l'adoption croissante de la technologie dans l'environnement de travail.
Récemment, le rapport du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) montrait que le shadow IT était encore très fréquent en 2022 et à l'origine de nombreux incidents de sécurité au sein des organisations.
Les principales causes des incidents de sécurité selon le rapport CESIN 2023
Par ailleurs, 35 % des employés ont le sentiment de devoir contourner les règles de sécurité de leur entreprise afin d'accomplir leur travail.
La majorité des sociétés (soit 60 %) ne considèrent pas d’ailleurs le rogue IT comme une menace lorsqu'elles évaluent les risques liés à la sécurité de leur réseau et de leurs données. Toutefois, une étude réalisée par Gartner a révélé qu'en 2020, un tiers des attaques informatiques ont visé le shadow IT.
Les pratiques du shadow IT au sein d’une entreprise partent généralement d’une bonne intention. Malgré cela, il est crucial de rester vigilant, car les conséquences peuvent être catastrophiques. De l’exposition à des risques de cyberattaque jusqu’à la perte de données hautement confidentielles, voici les principaux dangers liés à ce phénomène.
Les employés pensent que les pratiques du shadow IT les aident à travailler plus efficacement, et c’est en partie vrai. Toutefois, cela ralentit également la productivité dans l’ensemble, surtout au niveau de la DSI (Direction des Systèmes d'Information).
Il est en effet courant que chacun des collaborateurs traite les fichiers sensibles de la société via diverses applications, puis les stocke dans différents endroits. Des logiciels ou des programmes inconnus sont alors déployés sur le réseau de l'entreprise. Cela complique davantage le travail du département informatique. Il est dans l’obligation de trouver et d’analyser la moindre faille, puis de planifier des ajustements en fonction de la situation. Des retards dans ses principales tâches seront perçus, affectant l’organisation globale de l'entreprise tout en exposant la sécurité.
De plus, la collaboration est perturbée lorsque le personnel utilise des applications différentes. Imaginez si deux employés travaillent sur le même projet et que l’un utilise Google Sheets et l’autre ProofHub. En plus d’apporter une incohérence dans l’ensemble, cela risque de ne pas fluidifier le déroulement des processus.
Il est très difficile, voire impossible, de délimiter une surface d'attaque lorsque des données sont partagées dans un environnement non contrôlé. L’entreprise devient en effet vulnérable chaque fois qu’un collaborateur pratique le shadow IT. Un simple échange de fichiers via un e-mail ou un logiciel installé sans approbation sur un ordinateur est en effet un potentiel point d’ouverture pour les cyberattaques. Même si le responsable informatique effectue très bien son travail, les utilisateurs finaux, quant à eux, ne sont pas aussi fiables. Plus le traitement des données se fait en dehors des limites de sécurité établies, plus les risques d’attaque malveillante augmentent. Si un cybercriminel est connecté aux ressources de l'entreprise, il lui sera facile de passer d'un service à l'autre sur le réseau et d'accéder à des informations délicates.
À noter que notre solution LockTransfer qui est certifiée par l’ANSSI permet de réduire considérablement la surface d’attaque de votre entreprise. Munie d’une interface intuitive, notre plateforme mise tout sur l’efficacité et la simplicité d’utilisation. Notre suite s’intègre facilement dans vos outils à l’aide de plug-in notamment pour Office365 & Outlook. Avec elle, deux ou trois clics suffisent à sécuriser vos fichiers sensibles et leur envoi auprès de collaborateurs ou de prestataires externes.
Les collaborateurs ont tendance à sauvegarder ou à partager des données confidentielles de l’entreprise sur le cloud à titre personnel. Sans que le DSI soit au courant, ces derniers utilisent des services de stockage disponibles gratuitement en ligne tels que Google Drive ou Dropbox. Cependant, ces applications sont souvent sujettes à des attaques de pirate informatique. Même si elles offrent une sécurité accrue, il est toujours conseillé d’être vigilant et de prendre des mesures supplémentaires. La moindre négligence expose en effet la société à une fuite de données, dont la répercussion peut nuire à la réputation ou entraîner une perte financière importante. Dans ce contexte, les liens de confiance entre clients et fournisseurs seront rompus et des sanctions légales tomberont si l'entreprise est jugée coupable.
D’ailleurs, l’usage des services de stockage en ligne est soumis à de multiples réglementations qu’il est nécessaire de connaître. Si elles ne sont pas respectées, la société est exposée à des amendes ou à d'autres conséquences juridiques.
Qu’on se le dise, il est difficile de lutter contre le shadow IT dans une entreprise. Il est toutefois envisageable de minimiser les risques qui y sont liés en se posant la question : « pourquoi les employés utilisent-ils des technologies non autorisées ? ». En trouvant les raisons sous-jacentes, il vous est possible de résoudre le problème à la racine et d’éviter qu'il ne se reproduise. Attention ! La première grosse erreur est de tout bloquer, car cela créera à coup sûr de la frustration et entraînera une perte de productivité chez les collaborateurs. L’approche optimale est de procéder étape par étape. À savoir :
Afin de prévenir le shadow IT, la première étape consiste à éduquer les employés sur les risques et les conséquences potentielles. Ils doivent comprendre que ce genre de pratique est susceptible de causer des problèmes de sécurité et de conformité pour l'entreprise. Organisez des conférences ou des formations sur le sujet et donnez-leur des ressources pour qu'ils puissent s'informer davantage (liste des appareils autorisés, procédure à respecter, etc.). La sensibilisation des cadres aide aussi dans ce sens. Leur statut leur permet d’encourager une culture de normalité et de soutenir les politiques ainsi que les processus établis au sein de l' entreprise.
En second lieu, il est important de s'assurer que le réseau de l’entreprise est sûr en tout temps. Le DSI doit dénicher et analyser les technologies fantômes employées par les collaborateurs. S'il les trouve à temps, il a la possibilité d'éviter les éventuels problèmes en les supprimant ou en les sécurisant. À noter d’ailleurs que tous les actes liés au shadow IT ne représentent pas le même niveau de danger. Certaines activités qui pourraient impliquer des risques majeurs nécessitent de prendre des mesures drastiques.
L’entreprise doit établir des politiques claires sur les pratiques du rogue IT, que ce soit à partir d’un logiciel ou de n’importe quel appareil connecté. L’important est que l’énoncé général soit facilement accessible et compréhensible par les collaborateurs.
Afin de lutter contre le shadow IT, l’évaluation des besoins du personnel tout en leur fournissant des solutions appropriées est indispensable. Les employés seront enclins à ne plus recourir à des outils non autorisés si leurs exigences sont satisfaites. D’ailleurs, il est aussi efficace d’établir un processus qui consiste à formuler une demande pour l'utilisation d'un tel ou tel instrument. Ensuite, cette dernière sera évaluée par le département informatique. Et comme vous le savez, la communication est la clé entre les parties prenantes. Alors, si une proposition est rejetée, essayez d'en expliquer clairement les raisons et d'offrir des alternatives (s’il y en a bien sûr).
Parfois, les outils numériques que les employés introduisent informellement dans l’entreprise améliorent réellement la productivité. Réévaluez ces ressources et, au lieu de les interdire, essayez de les rendre officielles tout en assurant qu’elles sont fiables. En effet, des solutions existent afin de mieux protéger les fichiers sensibles ainsi que les activités de la entreprise. L’une d’entre elles est de mettre en place une surveillance automatisée du réseau.
Notre suite LockSelf vous offre d’ailleurs un équilibre optimal entre les avantages et les risques du shadow IT. Elle permet en effet de bien sécuriser la gestion et le partage de vos données sur le Net. En adoptant notre solution, vous prodiguerez à vos employés la flexibilité et la productivité dont ils ont besoin tout en garantissant la sécurité de votre entreprise.