Comprendre ce qu’est le Shadow IT et les risques qu’il représente est essentiel pour pouvoir le reconnaître et gérer le problème.
Le Shadow IT consiste en l’utilisation de systèmes, appareils, logiciels, applications et services IT sans l’approbation explicite du service informatique de l’entreprise. Il n’est généralement pas mis en œuvre avec une intention malveillante.
Le plus souvent, il résulte d’employés ou de départements confrontés à des inefficacités ou à des obstacles qui entravent leur productivité ou la réalisation d’une mission commerciale urgente. Cependant, il peut introduire de graves risques de sécurité pour l’entreprise, entraînant notamment des fuites de données et de potentielles violations de la conformité.
Shadow IT : une pratique de plus en plus courante
Malgré les risques encourus, le shadow IT augmente dans les entreprises. En voici les raisons :
L’adoption du cloud
Selon une étude1, en 2021, 97 % des applications cloud utilisées en entreprise étaient du cloud shadow IT et ceci en grande partie parce que l’installation, la configuration et l’utilisation peuvent contourner les procédures et contrôles internes.
Le travail à distance
Le rapport HP Wolf Security de 2021 a révélé que 91 % des équipes informatiques ont ressenti une pression les poussant à compromettre la sécurité afin de permettre la continuité des activités dans des conditions de travail à distance.
L’efficacité des employés
De nombreuses études ont indiqué que les employés ressentent le besoin de contourner les politiques de sécurité de leur entreprise juste pour faire leur travail.
La collaboration
L’utilisation croissante d’applications cloud pour pouvoir collaborer, telles que le partage/stockage de fichiers.
L’e-mail personnel
De nombreux employés s’envoient des documents sur leur e-mail personnel pour travailler à domicile ou travaillent à partir de réseaux domestiques non sécurisés, exposant les données à des réseaux qui ne peuvent pas être surveillés par le service informatique.
Le shadow IoT
Le nombre d’appareils du quotidien a priori inoffensifs qui sont connectés ne cesse d’augmenter. Cependant, ils sont souvent construits sans contrôles de sécurité du niveau de ceux de l’entreprise et configurés à l’aide d’identifiants et de mots de passe par défaut faciles à déchiffrer.
Les types les plus récurrents et dangereux de Shadow IT
Voici les six principaux types de Shadow IT auxquels font face la majorité des entreprises :
1. Le Shadow IoT
Grâce à leurs capacités de plus en plus avancées, les appareils connectés intelligents, même ceux autrefois considérés comme inoffensifs comme les cafetières connectées, sont devenus des voies potentielles d’accès au réseau d’entreprise pour des acteurs malveillants.
2. Les applications SaaS
Les applications SaaS peuvent avoir des comptes locaux dont les accès ne sont pas gérés par le service informatique, ne pas permettre l’usage des bonnes pratiques de sécurité comme ne pas permettre de faire des sauvegardes de données, etc.
3. Les machines virtuelles
Les machines virtuelles sont présentes partout pour permettre aux utilisateurs de tester un logiciel, de démontrer une solution, d’exploiter des applications spécifiques, etc. La possibilité de créer et de détruire des machines virtuelles via un clic de souris représente un risque de shadow IT inacceptable, lorsque les actifs ne sont pas gérés. Cela peut introduire des vulnérabilités, des comptes par défaut, une mauvaise hygiène de configuration, etc.
4. Les sous-réseaux
Lorsqu’elles se développent, les entreprises ajoutent des bureaux, acquièrent d’autres entreprises et donc étendent leurs réseaux. Cela se traduit souvent par des sous-réseaux routables inconnus de l’entreprise et, en fin de compte, non gérés.
5. Le matériel réseau
Souvent, ajouter un appareil au réseau est aussi simple que de le brancher sur une prise réseau ou de le connecter au WiFi avec un nom d’utilisateur et un mot de passe. Or, chaque appareil non géré ajouté présente un risque car personne n’en surveille les vulnérabilités ou les accès inappropriés.
6. Les applications locales
Chaque entreprise dispose de quelques applications « uniques » sur les serveurs et les postes de travail des utilisateurs finaux qui, non gérées, peuvent être une porte dérobée, même une simple application comme un commutateur KVM.
Aborder le shadow IT
Pour toute entreprise, les solutions et politiques informatiques suivantes peuvent aider à gérer le Shadow IT :
1. Une solution PAM correctement mise en place peut aider à atténuer les risques liés au Shadow IT en offrant de la visibilité sur le réseau, en appliquant le principe du moindre privilège et en sécurisant les accès à distance, notamment pour les centres de services et les fournisseurs
. Elle découvre, intègre, gère activement et audite le Shadow IT, tout en limitant les mouvements latéraux et en appliquant des contrôles de moindre privilège, réduisant ainsi ses dommages potentiels.
2. Établir une politique de gestion appropriée, que l’employé soit sur site, à distance ou dans un environnement hybride.
3. Reconnaître la présence du shadow IT et chercher à reprendre la gestion de ces appareils et applications car, correctement habilités et gérés, certains pourraient contribuer positivement à l’entreprise.
4. Soutenir une politique IT « ouverte », c’est-à-dire rester ouvert aux nouveaux projets et idées, et aider à fournir des conseils rapides pour la conception et le déploiement de nouveaux projets. Le Shadow IT a tendance à se produire en réponse aux obstacles rencontrés par l’informatique en place, il est donc essentiel d’accompagner les demandes et besoins émis par les équipes.
5. Adopter une politique d’identification des implémentations du shadow IT ; l’idée est d’utiliser des techniques de découverte pour détecter le shadow IT et classer son niveau de risque pour l’entreprise. Si les systèmes contiennent des informations sensibles, les chefs d’entreprise peuvent se voir proposer des options raisonnables pour laisser le service informatique gérer les actifs ou mettre les systèmes hors service sur le réseau de l’entreprise.
6. Trouver le juste équilibre en la sécurité et les demandes émises par les équipes : cela nécessite un peu de concessions des deux côtés, mais il en résulte une solution supportable et sécurisée qui peut répondre aux objectifs de toutes les équipes.
Le Shadow IT induit des risques d’introduction de logiciels malveillants, de création de portes dérobées pour des attaquants, d’augmentation des tickets/charges du service desk causant des problèmes sur les postes de travail ou créant des incompatibilités système, des problèmes de conformité et de qualification pour les cyberassurances, des coûts imprévus et, bien entendu, de perte et de vol de données.
Comprendre ce qu’est le Shadow IT et les risques qu’il représente est essentiel pour pouvoir le reconnaître et gérer le problème. Cette menace existera toujours et nier son existence ne pourra finalement que nuire à l’entreprise. Il est important de comprendre la raison de son usage, tout en supposant une intention positive de la part du salarié à son origine pour pouvoir trouver avec lui une alternative qui puisse être gérée par l’entreprise et qui soit par conséquent sécurisée.
1 2021 Digital workplace trends & insights, Beezy
