Le shadow IT, une nouvelle menace pour la sécurité informatique des entreprises ?

par Jennifer Montérémal le 23/12/2020

Lorsque le sujet du shadow IT (appelé également rogue IT) est évoqué, il est souvent associé à une connotation négative. Et pour cause, cet usage peut avoir des conséquences néfastes pour les entreprises, en particulier pour la sécurité de leurs systèmes d’information.

Cependant, le shadow IT révèle aussi des besoins métiers non satisfaits.

C’est pourquoi il convient de comprendre exactement de quoi il s’agit, et de connaître les dangers de cette pratique ainsi que les raisons de son développement. De cette manière, les DSI seront en mesure d’apporter une réponse adaptée et d’en tirer des avantages.

Shadow IT : définition

Qu’est-ce que le shadow IT ?

Le shadow IT, traduction d’» informatique de l’ombre», se définit par le fait d’utiliser dans un cadre professionnel des systèmes d’information et de communication sans aval de la DSI.

Cette définition assez large englobe un nombre important de pratiques.

Les applications cloud

Grâce à un développement considérable ces dernières années, les salariés adoptent facilement le réflexe cloud… et son lot d’applications a priori «gratuites». Les solutions de partage de documents comme Google Drive, ou d’envoi de fichiers à l’instar de Wetransfer, sont des cas d’usage particulièrement répandus.

Les tableurs

Dans le cas des tableurs (Excel en particulier), le shadow IT se traduit par le déploiement de macros, langage de programmation. S’ils sont développés sans supervision de la part de la DSI, il risque d’y avoir une perte d’information le jour où le salarié à l’origine de la programmation quitte l’entreprise.

Les messageries personnelles

Un collaborateur envoie des documents internes vers sa boîte mail personnelle afin de continuer de travailler à la maison ? Encore un exemple de shadow IT.

Le matériel

Le BYOD, ou Bring Your Own Device, est un usage de plus en plus répandu. Il s’agit du fait d’utiliser son équipement personnel (ordinateur, smartphone, tablette, clés USB, etc.) dans un cadre professionnel.

Les plateformes de streaming

Le shadow IT se manifeste également dans l’habitude de naviguer sur des plateformes de divertissement pendant ses heures de travail. Certains salariés, par exemple, apprécient travailler avec de la musique, et se rendent de ce fait sur des sites tels que Deezer ou YouTube.

Les réseaux sociaux

LinkedIn, et même Facebook, sont régulièrement utilisés en entreprise pour échanger dans le cadre professionnel… mais aussi parfois pour partager des documents.

Pourquoi s’est-il développé ?

Recherche de performance…

Selon une étude du cabinet de conseil Frost & Sullivan, plus de 80 % des salariés admettent utiliser des solutions informatiques sans l’accord formel de leur DSI. Par ailleurs, sur une vingtaine d’applications utilisées en entreprise, sept d’entre elles n’ont pas été approuvées au préalable.

En effet, le phénomène shadow IT s’est fortement amplifié au cours de la dernière décennie.

Toutefois il ne résulte pas d’une mauvaise volonté de la part des employés. Ces derniers sont surtout motivés par l’idée de gagner en efficacité, sans «perdre de temps à obtenir l’aval des services informatiques». D’ailleurs, certains pointent du doigt des processus trop longs et obsolètes :

Ce sont ces lourds processus mis en place et utilisés depuis plus de 25 ans qui créaient cette zone d’ombre.

Le Journal du Net

… et développement du Cloud Computing

Par ailleurs, dans notre monde de plus en plus digitalisé, l’utilisation de la technologie s’est banalisée. Et il devient facile d’y recourir grâce au développement du Cloud Computing et du SaaS. Google Doc, Skype, Dropbox… autant d’exemples révélateurs.

Les collaborateurs restent donc des internautes habitués à télécharger ou à utiliser des applications, a priori gratuites, et qui répondent instantanément à leurs besoins.

Dans ce contexte, le shadow IT s’avère plus un réflexe qu’une volonté de transgresser les règles établies par les DSI.

Les dangers du shadow IT

Le manque de conformité

Le shadow IT peut engendrer des problèmes de conformité avec certains standards informatiques, à l’exemple d’ITIL.

Mais surtout, cette pratique n’est pas très RGPD compliant. En effet, difficile pour l’entreprise d’assurer la mise en conformité avec la réglementation européenne si elle manque de visibilité sur les outils utilisés par les équipes et les données qui y transitent.

Les risques informatiques

Le shadow IT serait responsable d’un nombre important de cybermenaces à l’encontre des entreprises, à l’exemple des attaques de virus informatiques.

Et pour cause, il est impossible pour les DSI de mettre en place des mesures de sécurité sur des softwares ou hardwares dont ils ignorent l’existence.

La fuite de données

L’utilisation d’outils sur le cloud peut entraîner une fuite de données fort préjudiciable pour l’entreprise. La société Dropbox, par exemple, a déjà révélé s’être fait voler plus de 68 millions d'identifiants utilisateurs.

Le shadow IT constitue donc, pour des personnes mal intentionnées, une porte d’entrée vers les fichiers sensibles de votre organisation.

La perte d’information

Le shadow IT impacte la standardisation et l’interopérabilité des systèmes de l’entreprise. Conséquence : les informations ne circulent pas correctement entre les salariés, et la collaboration semble compromise.

D’autre part, cette perte d’information survient souvent lors de la démission ou du licenciement d’un salarié. Si ce dernier gérait, par exemple, des fichiers clients depuis un logiciel ou un tableur non connu des DSI, de précieuses informations risquent d’être perdues.

Les problèmes techniques et opérationnels

Enfin les technologies utilisées dans le cadre du shadow IT peuvent provoquer des problèmes opérationnels et de gestion, en consommant notamment de la bande passante.

Lorsque les services informatiques n’ont pas conscience de l’ampleur du shadow IT dans leur organisation, ils peuvent difficilement prévoir les capacités, les mises à niveau, etc.

Les opportunités du shadow IT ?

Mais les risques du shadow IT sont à relativiser, puisque de nombreux experts s’accordent à y avoir des opportunités :

  • un gain de temps et de productivité pour les salariés, et par extension pour les services informatiques,
  • l’identification simplifiée des besoins métiers par la DSI.

En constatant vers quel type de solutions se tournent spontanément les collaborateurs, elle glane de précieuses informations afin d’alimenter ses réflexions sur les outils à déployer, et sur les éventuelles alternatives à proposer pour que toute l’entreprise gagne en performance… et en sécurité !

Shadow IT : exemples de pistes d’amélioration pour la DSI

Différenciez le mauvais et le «bon» shadow IT

Avant toute chose, il convient de mesurer ce qui est inoffensif et ce qui se révèle préjudiciable pour l’entreprise.

Vous concentrez ainsi vos efforts là où les risques sont les plus importants en matière de protection et de confidentialité de la donnée.

Restez à l’écoute et réactif aux besoins des salariés

Une bonne communication reste une des meilleures pistes d’amélioration. Soyez donc attentif aux besoins des salariés. Eux seuls ont la connaissance métier pour identifier au plus juste les outils nécessaires. Et s’ils n’en disposent pas, ils les trouveront par eux-mêmes.

En parallèle, demeurez réactif, voire proactif dans vos démarches d’amélioration des systèmes d'information et de communication. En d’autres termes, prouvez aux équipes que la DSI ne doit pas apparaître comme un frein au déploiement de nouvelles solutions.

Proposez des alternatives conformes et simples d’utilisation

En étant à l’écoute des besoins, la DSI est en mesure de proposer des outils similaires à ceux utilisés dans le cadre du shadow IT, mais respectant néanmoins la feuille de route de l’entreprise en matière de sécurité et de conformité.

À titre d'illustration, le RGPD représente une opportunité pour s’aligner avec la réglementation tout en considérant les usages des métiers. Par exemple, vos collaborateurs ont pour habitude d’échanger des fichiers au moyen de Wetransfer, application gratuite, mais non conforme à la réglementation européenne ? Orientez-les vers une solution RGPD compliant comme LockTransfer. Simple à utiliser grâce à la possibilité de l'intégrer à votre mail, elle apporte un haut niveau de sécurité sur les données partagées sans être perçue comme une contrainte pour vos collaborateurs. Autre avantage : l'hébergement de la data puisque le stockage peut se faire en France ou sur les serveurs de votre entreprise.

En proposant de telles alternatives, votre entreprise se responsabilise face aux exigences réglementaires, et réduit les risques de fuites de données personnelles lors de partage avec votre écosystème ou en interne.

Mettez en place des systèmes de surveillance

Il est possible de mettre en place des outils permettant de détecter la présence du shadow IT au sein de l’organisation.

Parmi ces solutions techniques, citons les CASB (Cloud Access Security Broker). Un logiciel tel que Netskope, par exemple, offre une visibilité sur les flux du cloud, permet de surveiller les accès aux informations sensibles et accompagne la mise en conformité RGPD. Il détecte également les comportements à risque, afin de proposer à l’utilisateur une alternative.

Sensibilisez et formez les collaborateurs

Le manque de connaissance des risques occasionnés par le shadow IT reste l’une des raisons principales de son développement. Pour preuve, selon une étude Entrust Datacard, 42 % des salariés affirment qu’ils seraient enclins à intégrer de nouveaux outils de manière plus conforme si la politique des DSI à ce sujet était plus claire.
Prenez donc le temps de sensibiliser l’ensemble de l’entreprise sur les dangers de cette pratique, mais aussi sur les règles et procédures mises en place.

Enfin, organisez des formations aux outils approuvés par le service informatique. Car si les salariés ne les comprennent pas, ils ne les adoptent pas. Et s’ils ne les adoptent pas, ils vont voir ailleurs…