Cybersécurité : comment lutter contre le shadow IT ?

Le shadow IT est une méthode à hauts risques : fuite ou perte de données, cyberattaques, ou encore dommages matériels ou financiers. Pourtant, 80 % des employés le pratiquent selon un sondage du Frost & Sullivan. Le nombre d’applications Cloud utilisées passe d’une moyenne de 40 à 1 700 selon Symantec. D’une part, une entreprise investit environ 40 % de son budget informatique dans le Cloud. D’autre part, plus de 68 % des logiciels sur ce service sont malveillants. Face à un tel fléau, les entreprises décident de lutter contre le shadow IT.

Identifier les besoins de vos collaborateurs

La grande disponibilité des outils collaboratifs, des logiciels de stockage ou de partage et des messageries explique le shadow IT. La lutte contre cette pratique s’effectue en deux étapes majeures : la compréhension des besoins et l’identification des outils utilisés. 

La première phase s’intéresse à la motivation des collaborateurs dans l’utilisation de ces logiciels. Pourquoi apportent-ils leurs propres solutions dans leur métier ? Sont-ils conscients des risques auxquels ils s’exposent et, par voie de conséquence, des dangers que cela représente pour leur lieu de travail ? Doivent-ils répondre à une productivité supérieure à celle que permettent leurs outils actuels ? Les réponses à cette série de questions servent déjà de bases pour encadrer le shadow IT avant de le neutraliser.

La deuxième phase évalue la situation en profondeur. Il s’agit de s’interroger sur les outils mis à disposition. Sont-ils en accord avec les besoins des salariés ? Permettent-ils d’atteindre les objectifs fixés ? Correspondent-ils aux normes et exigences actuelles du métier ? Pourquoi les collaborateurs les remplacent-ils par d’autres logiciels ? Dans certains cas, les entreprises ne mettent aucun outil à la disposition des salariés. Ces derniers se tournent ainsi vers le shadow IT.

Comprendre pourquoi le shadow IT se développe 

Les concepteurs rivalisent d’ingéniosité pour proposer des solutions numériques. Celles-ci abondent sur le marché et leur facilité d’accès encourage les utilisateurs à les adopter. D’un autre côté, les démarches auprès de la DSI se révèlent parfois complexes pour les salariés. En effet, l’application de certains protocoles ou procédures décourage à contacter le service. Les collaborateurs se passent ainsi du département informatique de l’entreprise. Ils s’engagent sur le chemin du shadow IT en choisissant eux-mêmes leurs logiciels de travail. Si ce phénomène peut présenter des avantages, il reste dangereux voire coûteux. Lorsque les outils utilisés ne sont pas validés ni contrôlés, ils constituent des failles de sécurité.

Le shadow IT se développe sous plusieurs formes et pour de multiples raisons. La compréhension de chaque situation permet de mettre en place les solutions. Un salarié a besoin de partager des fichiers avec son équipe. En l’absence d’un service dédié, il utilise ses propres ressources, comme son compte Dropbox personnel, par exemple. L’utilisation des applications comme Google Docs, Skype et WhatsApp est une pratique courante. Bien qu’elles soient efficaces et simples d’utilisation, ces solutions ne concilient pas forcément productivité et sécurité. Le risque est d’autant plus élevé avec les identifiants et mots de passe personnels non fournis par une DSI. Les dangers ne se limitent pas au Cloud ni au partage de fichiers en ligne. En effet, la même vigilance s’impose sur les transferts de données via des matériels personnels comme une clé USB ou un ordinateur. Avec le télétravail et la mobilité professionnelle, de plus en plus de salariés utilisent des équipements domestiques dans leur métier.

Respecter l’importance de l’accompagnement

Lutter contre le shadow IT ne consiste pas à l’interdire d’une seule traite. La pratique s’est installée progressivement, et les habitués ont besoin de temps pour s’adapter à d’autres options. Des mesures d’accompagnement et des compromis permettent de bien démarrer le processus d’éradication. Par exemple, il est possible de négocier avec les salariés en établissant une liste d’outils approuvés par la DSI. Les collaborateurs choisissent ainsi les applications qui répondent à leurs attentes parmi les options validées. Le service informatique peut également mettre en place une demande d’application facile d’utilisation. Les salariés y définissent leurs besoins et la DSI conçoit la solution adaptée.

Identifier les outils à disposition pour chaque besoin 

Les salariés utilisent des outils dans leur travail, parce qu’ils en ont besoin pour leur productivité. La menace plane sur l’entreprise lorsque les collaborateurs préfèrent des logiciels autres que ceux installés par la DSI. Pour y remédier, celle-ci doit s’intéresser de plus près aux besoins de chaque métier ou de chaque tâche.

Cette étape consiste à remonter aux origines du problème, c'est-à-dire les outils de shadow IT. Quels sont-ils et quelles en sont les principales fonctionnalités ? Répondent-ils à des besoins spécifiques et à quelle fréquence sont-ils sollicités ? Les plus courants des logiciels en shadow IT sont ceux qui servent à partager des fichiers à distance. Les plateformes collaboratives figurent également parmi les plus téléchargées. Il en va de même pour les systèmes de messagerie instantanée. Une profonde connaissance du quotidien des salariés aide à placer le contexte. Ont-ils besoin d’échanger régulièrement dans un travail collaboratif ? Doivent-ils transférer mutuellement d’importants volumes de fichiers quotidiennement ? Traitent-ils des données et des fichiers sensibles ? Une évaluation des besoins et des risques s’avère incontournable avant de choisir une stratégie appropriée.

Encourager la collaboration entre DSI et salariés

Le département informatique ou la DSI se met à la disposition des salariés afin de recevoir leur demande. Celle-ci se concrétise par des formulaires simples à remplir avec des détails sur l’utilisation et les fonctionnalités requises. Le service informatique étudie la requête et identifie les possibilités. Il s’agit, par exemple, de trouver une alternative à WeTransfer pour le partage de documents en ligne. Si l’application demandée comporte des risques, le salarié doit en être informé et sensibilisé pour ne pas se laisser tenter. En ce sens, la DSI se charge également d’éduquer le personnel sur l’utilisation d’outils disponibles sur le marché. Le low code constitue une option possible pour pallier le manque de ressources sécurisées sur Internet. Toutefois, la plus grande recommandation reste l’orientation vers une alternative fiable comme un tiers de confiance, entre autres.

Les alternatives aux pratiques de shadow IT

En 2021, le shadow IT demeure ancré dans les habitudes des salariés. Ce rapport du Club des Experts de la Sécurité de l’Information et du Numérique atteste des risques qui subsistent. Les plus grands dangers sont notamment la sécurité informatique, l’incompatibilité des outils ou encore l’absence de conformité aux législations. La souveraineté des données ou le respect du RGPD sont compromis dans la plupart des cas. Le choix des alternatives représente la meilleure voie de recours.

Des outils alternatifs au shadow IT 

Les collaborateurs persistent à travailler sur des logiciels non conformes parce qu’ils ne connaissent pas d’autres options. Il appartient au département informatique de l’entreprise de les informer et de les former sur ce point. En partant du contexte et de l’analyse des besoins, la DSI expose et explique clairement les solutions choisies. Celles-ci doivent correspondre parfaitement aux attentes, notamment en termes de sécurité, d’efficacité et surtout de facilité d’utilisation. Il en va de l’adoption des alternatives par le personnel. Les salariés se tournent effectivement vers les outils faciles à prendre en main.

La suite LockSelf constitue une défense efficace contre le shadow IT. Ces outils à la pointe de la technologie et de sécurité élevée sont certifiés ANSSI. En ce sens, la suite est basée sur un chiffrement rigoureux et complexe, garantissant un maximum de protection des données. Mieux encore, les solutions sont entièrement indépendantes tout en étant complémentaires. Les utilisateurs choisissent les outils dont ils ont besoin ou préfèrent la suite pour un équipement complet.

Des solutions indépendantes et complémentaires

LockSelf développe un gestionnaire centralisé de mots de passe appelé LockPass. Les collaborateurs stockent et partagent les codes d’accès en toute sécurité via un plugin pour navigateur. L’interface se caractérise par son intuitivité et sa facilité de prise en main. La fonctionnalité proposée répond exactement aux besoins des salariés, étant conçue par des experts du domaine.

LockTransfer se présente comme une alternative à WeTransfer, avec tous les avantages, mais sans les inconvénients. Les utilisateurs partagent facilement les fichiers avec les partenaires externes. Ils ne compromettent aucunement la confidentialité des fichiers sensibles ni la sécurité de l’entreprise.

LockFiles s’adresse plutôt aux collaborateurs souhaitant stocker et partager des fichiers en interne. Ce produit reprend toutes les caractéristiques que les autres offres LockSelf, à savoir un chiffrement certifié et une sécurité maximum.

Le coffre-fort numérique LockSelf regroupe les trois solutions dans un seul et même outil. Concrètement, il sert à la fois de stockage et de partage pour une gestion centralisée. Les mots de passe et les fichiers sont à l’abri des attaquants potentiels, des fuites ou pertes. Cette suite s’avère plus facile à adopter en combinant plusieurs fonctionnalités essentielles. Les collaborateurs ne se dispersent pas entre les outils de partage en externe et le stockage interne, entre autres. Ils bénéficient également de modules conçus avec un chiffrement robuste sans en compliquer l’usage. 

Des outils fiables et performants

La certification ANSSI et la souveraineté des données sont les garantes de l’efficacité des solutions LockSelf. Les produits bénéficient d’une CSPN ou certification de sécurité de premier niveau. Les utilisateurs ne craignent aucune vulnérabilité applicative en se tournant vers ces applications. La polyvalence se justifie par sa capacité à s’adapter aux organisations de toutes tailles. En effet, cette offre convient aux entreprises de 2 à plusieurs milliers de salariés. Elle s’ajuste ainsi en fonction des besoins spécifiques à chaque organisation. La traçabilité comptant parmi les exigences des organisations, les experts LockSelf ont déployé les moyens pour s’en assurer. Les mêmes efforts sont fournis pour maintenir l’intégrité des données.

La sécurisation des fichiers sensibles engage d’importantes responsabilités. Les solutions sont développées à mesure que les attaques progressent. Les équipes anticipent autant que possible les cybercriminels en imaginant de multiples scénarios d’attaques. Elles sont en recherche permanente d’axes d’amélioration pour répondre aux exigences des DSI. Cette réflexion poussée sur la sécurité et les moyens pour la maintenir distingue les offres LockSelf. Les clients de ce tiers de confiance gagnent du temps tout en maîtrisant leur budget informatique.

Un fonctionnement mûrement réfléchi

Le principal atout de la suite LockSelf réside dans son fonctionnement pointu. Chaque utilisateur dispose d’une paire de clés privées RSA. La mise en place d’un chiffrage asymétrique renforce davantage cette sécurité. Seuls les utilisateurs ayant reçu le code PIN ont accès aux fichiers et peuvent décrypter les données stockées. De plus, les experts ne se sont pas contentés du protocole HTTPS. Ils doublent le chiffrement de bout en bout via HSTS.. Les équipes ont opté pour la technologie la plus avancée du marché. L’Advanced Encrytion System CBC apparaît actuellement comme le plus sécuritaire des dispositifs de protection des données. D’ailleurs, sa puissance en fait un outil classé « military level ».

Mise en place d’un nouvel outil par étape

Les salariés habitués au shadow IT ont besoin de temps pour adopter un nouvel outil. La DSI les accompagne dans cette démarche avec une mise en place en trois étapes :

• la phase d’information consiste à informer les collaborateurs sur le choix d’un outil nouveau ;
  
  
• le département informatique bloque le shadow IT ;
  
  
• les équipes métier apprennent et intègrent le nouveau dispositif dans leurs habitudes.

La décision d’installer des outils numériques fiables implique aussi de considérer tous les aspects du métier. Le service informatique et les RH communiquent continuellement pour établir les besoins et identifier les solutions possibles. Les outils choisis doivent correspondre à des exigences précises, dont la modernité, l’évolutivité et la facilité d’utilisation. Mieux encore, ils doivent être reliés pour un flux de travail plus confortable et bien maîtrisé. Une fois le choix fixé, les collaborateurs sont informés. Cette étape de communication ne consiste pas à culpabiliser, mais surtout à informer clairement la situation. Il faut, par exemple, insister sur l’importance de la sécurité des données et les risques encourus avec le shadow IT. Il convient aussi d’expliquer la praticité du nouvel outil et surtout son intégration à l’environnement de travail.

La DSI procède ensuite à la deuxième étape : bloquer les outils sources de shadow IT. Il s’agit de reprendre le contrôle en impliquant les employés dans l’adoption des nouvelles solutions. Lorsque les outils sont bien compris, les salariés abandonnent automatiquement les anciens. Toutefois, pour s’en assurer, le blocage de ces derniers se révèle nécessaire. Les outils de travail comme la suite LockSelf deviennent ensuite les alternatives les plus efficaces pour lutter contre le shadow IT.