Qu'est-ce que le shadow IT ?

On parle de Shadow IT lorsque des employés accèdent à des données et les partagent sur du matériel ou des logiciels non autorisés, exposant ainsi les organisations à des risques.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir Shadow IT
  • Expliquer les risques introduits par le Shadow IT
  • Apprenez des stratégies pour une gestion efficace du Shadow IT

Copier le lien de l'article

Qu'est-ce que le shadow IT ?

Le terme « Shadow IT » désigne l'utilisation non autorisée de logiciels, de matériel ou d'autres systèmes et services au sein d'une organisation, souvent à l'insu du service informatique de cette organisation. Contrairement à l'infrastructure informatique standard, le Shadow IT n'est pas géré en interne par une organisation. le Shadow IT peut pénétrer dans une organisation de différentes manières, mais se produit généralement lors de l'une des deux actions suivantes :
  1. L'utilisation d'un outil non approuvé pour accéder aux données de l'entreprise, les stocker ou les partager. Par exemple, si une organisation a exclusivement approuvé Google Workspace pour le partage de fichiers, un employé peut introduire le Shadow IT dans l'entreprise en choisissant de partager des fichiers via Microsoft 365.
  2. Le fait d'accéder à un outil approuvé de manière non autorisée. Pour poursuivre l'exemple, si un service informatique a approuvé l'utilisation de Google Workspace par le biais de comptes gérés par l'entreprise, un employé peut introduire le Shadow IT dans l'entreprise en choisissant d'accéder à Google Workspace par le biais d'un compte personnel non géré.
Que l'adoption du Shadow IT soit intentionnelle ou non, elle engendre des problèmes de sécurité et des coûts importants. Elle augmente le risque de violations de données, de vol et d'autres cyberattaques, tout en empêchant les équipes informatiques de prendre des mesures cruciales pour minimiser les dommages qu'elles peuvent causer.

Pourquoi les utilisateurs adoptent-ils le Shadow IT ?

En raison des très nombreux risques de sécurité que présente le Shadow IT, il peut sembler surprenant que les employés choisissent de contourner l'approbation du service informatique lorsqu'ils adoptent de nouveaux outils. Ils peuvent agir de la sorte peuvent être les suivantes :
  • Les employés ne sont pas conscients des risques de sécurité inhérents au Shadow IT. Les employés n'essaient peut-être pas délibérément de contourner les contrôles mis en place par leur département informatique, mais ils ignorent tout simplement pas que leurs actions peuvent compromettre les données sensibles de l'entreprise et augmenter le risque de violation et d'attaque des données.
  • Les employés se concentrent davantage sur les avantages de l'utilisation d'outils non approuvés. Les meilleurs outils pour le travail peuvent ne pas être ceux qui ont été explicitement approuvés par le département informatique d'une organisation. Cela pousse souvent les employés à adopter des services supplémentaires qui les aident à répondre à un besoin professionnel spécifique, à obtenir un avantage concurrentiel sur leur marché ou à collaborer plus efficacement.
  • Les employés utilisent des outils non approuvés pour mener des activités malveillantes. La plupart des systèmes informatiques parallèles ne sont pas adoptées à des fins malveillantes ; toutefois, certains employés peuvent choisir d'adopter des applications et des outils non approuvés afin de voler des données, d'accéder à des informations confidentielles ou d'introduire d'autres risques pour l'organisation.

Quels sont les risques du Shadow IT ?

Si le Shadow IT peut faciliter le travail de certains employés, ses inconvénients l'emportent largement sur ses avantages. Si les équipes informatiques ne peuvent pas suivre la manière dont les outils et les services sont utilisés dans l'ensemble de l'organisation, elles peuvent ignorer à quel point le Shadow IT est présente dans l'organisation - et n'ont aucune idée de la manière dont les données de l'entreprise sont consultées, stockées et transférées. L'utilisation du Shadow IT fait également perdre aux équipes informatiques le contrôle de la gestion et du déplacement des données. Lorsque les employés mettent en œuvre des services non approuvés ou travaillent dans des services approuvés via des méthodes non approuvées, ils peuvent être en mesure de visualiser et de déplacer des données sensibles sans la surveillance appropriée du service informatique. En raison de ce manque de visibilité et de contrôle, le Shadow IT peut créer des risques supplémentaires, notamment les suivants :
  • Les données sensibles peuvent être compromises ou volées. Les attaquants peuvent exploiter les erreurs de configuration et les vulnérabilités des services hébergés dans le cloud, ouvrant ainsi la voie à des violations de données et à d'autres cyberattaques. Ces attaques peuvent être menées à l'insu du service informatique, en particulier lorsqu'elles visent des applications et des outils non approuvés (et éventuellement non sécurisés). Et remédier à ces attaques peut s'avérer coûteux : dans une étude réalisée en 2020, IBM a estimé que les violations de données causées par une mauvaise configuration du cloud coûtent en moyenne 4,41 millions de dollars.
  • Les organisations peuvent violer sans le savoir les lois sur la conformité des données. Pour les organisations qui doivent se conformer aux réglementations sur la protection des données (par exemple, le GDPR), il est impératif qu'elles aient la capacité de suivre et de contrôler la façon dont les données sont traitées et partagées. Lorsque les employés utilisent des outils non autorisés pour traiter des données sensibles, ils peuvent par inadvertance faire courir à leur organisation le risque d'enfreindre ces lois, ce qui peut entraîner de lourdes pénalités et amendes.

Comment les organisations peuvent-elles détecter le Shadow IT et y remédier ?

Il existe plusieurs mesures qu'une équipe informatique peut prendre pour minimiser les effets du Shadow IT au sein de son organisation :
  • Mettre en œuvre la détection du shadow IT. L'utilisation d'un outil de découverte du shadow IT peut aider les équipes informatiques à découvrir, suivre et analyser tous les systèmes et services –approuvés ou non – que les employés utilisent actuellement. Ensuite, les équipes informatiques peuvent créer des politiques pour autoriser, restreindre ou bloquer l'utilisation de ces outils selon les besoins.
  • Utilisez un courtier de sécurité d'accès au cloud (CASB). Un CASB permet de protéger les applications et services hébergés dans le cloud grâce à des technologies de sécurité groupées, notamment la découverte de le Shadow IT, le contrôle d'accès, la prévention des pertes de données (DLP), l'isolation du navigateur, et plus encore.
  • Améliorer la formation des employés à la gestion des risques. Les employés peuvent ne pas être conscients des risques de sécurité liés à le Shadow IT. La formation des utilisateurs aux meilleures pratiques : ne pas utiliser d'e-mail personnel pour accéder aux ressources de l'entreprise, divulguer l'utilisation de tout matériel et logiciel non autorisé, signaler les violations de données, etc.
  • Communiquez avec les employés sur les outils dont ils ont besoin. Les employés savent souvent quels sont les outils qui conviennent le mieux à leur travail, mais peuvent ne pas se sentir à l'aise pour demander l'approbation explicite du service informatique en raison de contraintes budgétaires ou d'autres préoccupations. L'ouverture de ces conversations et la mise en œuvre d'une culture « sans reproche » (pour ceux qui ont déjà adopté le Shadow IT) peuvent contribuer à favoriser un environnement de travail plus ouvert et plus sûr.

Qu'est-ce qu'une politique de Shadow IT ?

Une politique de Shadow IT permet d'établir des protocoles pour l'adoption, l'approbation et la gestion de nouveaux matériels et logiciels au sein d'une organisation. Les départements informatiques créent ces politiques et peuvent les adapter en fonction de l'évolution des risques de sécurité et des besoins de l'entreprise. Les politiques de Shadow IT sont l'une des nombreuses étapes nécessaires pour contrôler et gérer les systèmes et les services au sein d'une organisation, tout en évitant l'introduction d'outils non approuvés. Cependant, de nombreuses organisations n'ont toujours pas normalisé les politiques de Shadow IT ; dans une enquête menée auprès de 1 000 professionnels américains de l'informatique, Entrust a constaté que 37 % des personnes interrogées ont déclaré que leur organisation n'avait pas de conséquences claires pour l'utilisation du Shadow IT.

Comment Cloudflare se protège-t-il contre le Shadow IT ?

La suite de sécurité Zero Trust de Cloudflare aide les services informatiques à découvrir, cataloguer et gérer facilement les outils non approuvés au sein de leur organisation. En savoir plus sur comment Cloudflare détecte le Shadow IT.

Service commercial