Comment assurer la sécurité des SI
4 mars , 2022
Les tendances cloud pour 2024
1 avril , 2022Comment assurer la sécurité des SI
4 mars , 2022Les tendances cloud pour 2024
1 avril , 2022Microsoft estime que
0
%
des applications basées sur le cloud dans les grandes entreprises sont inconnues du service informatique.
Une enquête a révélé que près de 80 % des employés déclarent utiliser des applications au travail qui ne sont pas approuvées par le service informatique. Plus d’une organisation sur cinq a subi un cyberévénement en raison d’une ressource informatique non autorisée. Lorsque les utilisateurs mettent en œuvre leurs propres solutions derrière le dos de l’équipe informatique, c’est le shadow IT. Découvrez les risques qu’implique ce dernier, comment les gérer et les réduire.
Table des matières
Qu’est-ce que le shadow IT ?
Bien que pendant des années, le shadow IT ait été considéré comme un risque pour la sécurité informatique de l’entreprise et la conformité, de nombreuses organisations en voient désormais les avantages. La mise en place d’un politique informatique fantôme efficace peut aider à mettre l’informatique et votre entreprise à l’aise. Cependant, cela implique de comprendre sa définition, ses risques et ses avantages.
Sécuriser les risques de Shadow IT
Définition de shadow IT
Le shadow IT est l’utilisation de systèmes, de logiciels, d’appareils, de services et d’applications de technologie de l’information en dehors ou sans l’approbation explicite du service informatique. Avec la prévalence croissante de l’adoption du cloud ces dernières années, le shadow IT a connu une croissance exponentielle compte tenu de la facilité de téléchargement et d’utilisation des applications et services basés sur le cloud.
Les services informatiques ignorent généralement l’existence de telles applications utilisées par des employés individuels ou des unités commerciales entières, d’où le terme « Shadow IT » ou « informatique fantôme ».
Comment le shadow IT s’est développé ?
Les travailleurs veulent un moyen de faire leur travail efficacement. Beaucoup se tournent vers leurs propres applications pour le faire.
Les employés se tournent généralement vers des comptes de messagerie non autorisés, des plateformes de messagerie, des produits de visioconférence, des outils de collaboration et des services de partage de fichiers, entre autres applications.
La quantité importante de shadow IT que les employés utilisent au sein de l’entreprise est un défi de longue date pour les DSI. Et l’utilisation est à la hausse, car les employés s’attendent à des expériences de consommation sur le lieu de travail. C’est particulièrement vrai pour la nouvelle génération de natifs numériques. Pourtant, les responsables informatiques peuvent utiliser les activités informatiques fantômes pour reconnaître leur valeur en tant que retour d’information et procéder en conséquence, tout en prenant les mesures nécessaires d’atténuation des risques.
Les risques du shadow IT à prévenir
Le shadow IT peut présenter de multiples risques :
Des failles de sécurité pouvant entraîner des cyberattaques
De nombreuses divisions informatiques ont des intégrations entre différents systèmes. Des violations de données peuvent se produire si un élément de cette intégration est compromis en raison du shadow IT.
Une application inconnue peut devenir pour une pirate informatique un point d’accès aux bases de données de l’entreprise lorsque le service informatique met à niveau un système intégré. Ce type de violation peut entraîner n’importe quoi, allant d’un temps d’arrêt substantiel à une peine d’emprisonnement pour le DSI.
Des fuites de données sensibles
Le partage de fichiers est une pratique shadow IT courante qui rend les entreprises vulnérables de plusieurs manières. Le partage de fichiers ouvre la porte à l’exfiltration de données. Cela peut être dangereux si un logiciel malveillant effectue un transfert de données non autorisé. Les données sensibles de l’entreprise pourraient être détruites, vendues ou divulguées. Même dans des circonstances bénignes, des liens de fichiers pourraient accidentellement être partagés sur les réseaux sociaux.
Un budget informatique plus conséquent
Le temps consacré à la mise en œuvre de la technologie est perdu et le retour sur investissement est limité sans une adhésion suffisante. L’utilisation de produits non autorisés pour effectuer des tâches pour lesquelles une organisation dispose déjà de solutions signifie que l’organisation paie effectivement deux fois pour faire le même travail. Même les applications gratuites peuvent être coûteuses si elles entraînent une perte de données ou un incident de sécurité.
Le shadow IT, présente-t-il des avantages ?
Pour vous aider à mieux comprendre le shadow IT, voici une liste des avantages que ce dernier offre aux organisations.
- Améliorer la satisfaction et la fidélisation des employés : permettre à l’utilisateur final de choisir les outils qu’il souhaite utiliser le rend plus efficace et engagé. Permettre aux employés de donner leur avis sur les nouveaux logiciels augmente également l’adoption. De cette manière, le shadow IT peut aider à préserver les meilleurs talents.
- Gain de temps des employés : plutôt que de passer par les étapes ou de demander un nouvel outil et d’attendre la mise en œuvre informatique, un employé peut configurer lui-même une application pour commencer à gagner du temps et/ou à améliorer la productivité instantanément.
À bien des égards, cette activité peut être considérée comme un héritage inévitable des pratiques BYOD. Où les gens se sont familiarisés avec la recherche de leurs propres solutions.
Mesures de prévention et protection du shadow IT
Les équipes informatiques d’entreprise peuvent atténuer les risques du shadow IT en comprenant les défis de l’entreprise et en proposant des solutions qui les résoudront. Voici quelques mesures que vous pouvez prendre pour réduire le besoin (et les risques) liés au shadow IT.
Former et sensibiliser ses employés
Les employés doivent se sentir entendus et compris si une politique informatique fantôme doit être adoptée. L’ouverture du dialogue entre l’informatique et l’entreprise permet aux deux parties d’apprendre les unes des autres.
Il peut être difficile pour les employés de se rendre compte du risque qu’ils introduisent avec le shadow IT. Lors de la mise en place de la politique informatique fantôme, le service informatique peut avoir la possibilité d’expliquer pourquoi certaines technologies peuvent être difficiles à intégrer aux systèmes d’entreprise actuels ou à maintenir en sécurité. Donner à la main-d’œuvre des exemples pratiques de ce qui est autorisé et interdit est crucial pour l’adoption de la politique.
Mettre en place des solutions alternatives proposées par le service informatique de l’entreprise
Toutes les technologies shadow IT ne représentent pas la même menace. L’évaluation continue des technologies utilisées sur le lieu de travail peut permettre aux organisations d’élaborer des stratégies d’activités d’atténuation des risques en fonction de la sensibilité au risque de chaque infraction informatique fantôme.
Le service informatique central doit identifier tous les systèmes actuellement utilisés. Pour le SaaS, cela peut signifier des enquêtes logicielles, des audits financiers et budgétaires, voire des audits manuels du système. Pour l’infrastructure et les services cloud, certaines solutions fourniront des mécanismes qui automatisent la découverte des ressources utilisées par compte. À partir de cette étape de découverte, le service informatique peut commencer à choisir un hébergement cloud raisonnable et responsable pour aller de l’avant.
Il est à savoir qu’il existe aujourd’hui des outils basés sur le cloud possédant la capacité de s’intégrer à plusieurs infrastructures et qui offrent aux sociétés une solution pour trouver l’équilibre entre risques et avantages du shadow IT. En effet, les problèmes soulevés par cette pratique peuvent être considérablement atténués par des solutions qui intègrent la gouvernance des données pour garantir la fiabilité des data et une disponibilité pour tous les utilisateurs qui en ont besoin.
Surveiller le shadow IT
Les politiques écrites et la formation des utilisateurs finaux sont essentielles. La technologie est en constante évolution et demain continuera d’apporter de nouvelles façons de travailler. Rien ne remplace le fait de s’assurer que les employés sont au courant des politiques et directives clairement définies pour le traitement acceptable des données de l’entreprise.
Les services informatiques ou prestataire informatique doivent savoir et comprendre comment les informations confidentielles sont contenues et gérées dans l’ensemble de l’entreprise. Il existe une variété d’outils de surveillance du réseau qui peuvent découvrir quelles applications sont en cours d’exécution et qui les exécute. Microsoft Cloud App Security est une solution qui peut faciliter le processus de collecte d’informations.