Le Shadow IT fait référence à l’utilisation de systèmes, d’appareils, de logiciels, d’applications et de services informatiques sans l’approbation explicite du service informatique de l’entreprise. Il peut présenter des risques en termes de sécurité, de conformité et de gestion des données pour une entreprise. Parmi les motivations à l’origine du Shadow IT, les besoins des collaborateurs sont en haut de la liste. En effet, les employés ont recours à des technologies non autorisées lorsqu’ils estiment que celles-ci répondent mieux à leurs besoins spécifiques. Parfois, ces solutions non approuvées offrent une convivialité supérieure ou une meilleure adaptation à leurs tâches quotidiennes.
Dans certains cas, le Shadow IT permet de contourner des procédures d’approbation longues et complexes. Les employés cherchent alors des moyens plus rapides d’obtenir les outils dont ils ont besoin, contournant ainsi les processus établis. Dans d’autres cas, les collaborateurs, confrontés à des délais serrés, se tournent vers des solutions non autorisées et facilement accessibles pour gagner du temps. Cependant, outre ces motivations, l’environnement numérique et l’évolution des technologies peuvent constituer des terrains favorables à l’expansion de l’informatique sauvage. Comprendre les causes de cette augmentation est essentiel pour les entreprises afin de mettre en place des solutions efficaces.
Une pratique qui se répand
Malgré les risques encourus, le Shadow IT continue d’augmenter, stimulé par des évolutions comme le cloud, le SaaS et plus généralement la consumérisation de l’IT, et accéléré par l’évolution des usages et des modes de travail. Selon une étude réalisée en 2021, 97 % des applications cloud utilisées en entreprise étaient des applications non approuvées par les départements IT. L’installation, la configuration et l’utilisation de ces applications peuvent contourner les procédures et contrôles internes, rendant les entreprises plus vulnérables aux cyberattaques. Par ailleurs, la prolifération de ces applications Shadow IT est en grande partie due à l’augmentation du télétravail. Le rapport HP Wolf Security de 2021 a révélé que 91 % des équipes informatiques ont ressenti une pression les poussant à compromettre la sécurité pour permettre la continuité des activités dans des conditions de travail à distance.Le souci de l’efficacité des employés joue également un rôle dans l’adoption du Shadow IT. En effet, de nombreuses études indiquent que les employés ressentent le besoin de contourner les politiques de sécurité de leur entreprise pour accomplir leur travail. Cela souligne le défi pour les entreprises de trouver un équilibre entre les raideurs des procédures de sécurité et les impératifs de productivité. En outre, la collaboration croissante par le biais d’applications cloud, telles que le partage et le stockage de fichiers, alimente la tendance du Shadow IT. Nombreux sont les employés qui s’envoient des documents sur leur courriel personnel pour travailler à domicile ou utilisent des réseaux domestiques non sécurisés. Cela expose les données de l’entreprise dans des environnements non maîtrisés par le service informatique.
Shadow IoT, une préoccupation grandissante
Enfin, l’émergence du Shadow IoT constitue une préoccupation grandissante pour les entreprises. Avec l’augmentation du nombre d’appareils du quotidien connectés, comme les téléviseurs intelligents, les appareils de cuisine connectés, et d’autres objets intelligents, le risque de cyberattaques s’accroît. Ces appareils sont souvent construits sans contrôles de sécurité de niveau entreprise et configurés avec des identifiants et des mots de passe par défaut faciles à déchiffrer.D’après un document de BeyondTrust, il est impératif pour les entreprises d’aborder le problème du Shadow IT de manière proactive. Il faut établir des politiques claires concernant l’utilisation des applications et des appareils personnels, fournir une formation sur la sécurité informatique aux employés, et investir dans des outils qui permettent de détecter et de gérer le Shadow IT. De plus, les entreprises doivent envisager des solutions qui favorisent la collaboration et la productivité sans compromettre la sécurité.
Comment maîtriser le Shadow IT
Voici, selon BeyondTrust, les solutions et politiques qui peuvent aider à jugulerle Shadow IT :
- Une solution PAM correctement mise en place peut aider à atténuer les risques liés au Shadow IT en proposant la visibilité sur le réseau, en appliquant le principe du moindre privilège et en sécurisant les accès à distance, notamment pour les centres de services et les fournisseurs. La solution découvre, intègre, gère activement et audite le Shadow IT, tout en limitant les mouvements latéraux et en appliquant des contrôles de moindre privilège, réduisant ainsi les risques.
- Établir une politique de gestion appropriée, quel que soit l’endroit à partir duquel l’employé se connecte : sur site, à distance ou dans un environnement hybride.
- Repérer la présence du shadow IT et en reprendre la gestion, que ce soit des appareils ou des applications, car, correctement habilités et gérés, certains pourraient contribuer positivement à la productivité.
- Soutenir une politique IT « ouverte », c’est-à-dire rester ouvert aux nouveaux projets et idées, et aider à fournir des conseils pour accélérer la conception et le déploiement de nouveaux projets. Le Shadow IT a tendance à se produire en réponse aux obstacles rencontrés par l’informatique en place, il est donc essentiel d’accompagner les demandes et besoins émis par les équipes.
- Adopter une politique d’identification des implémentations du Shadow IT. L’idée est d’utiliser des techniques de découverte pour détecter le Shadow IT et classer son niveau de risque pour l’entreprise. Si les systèmes contiennent des informations sensibles, les utilisateurs peuvent se voir proposer des options pour transférer au service informatique la gestion de ces actifs ou mettre les systèmes hors service.
- Trouver le juste équilibre entre la sécurité et les demandes émises par les équipes : cela nécessite quelques concessions des deux côtés, mais il en résulte une solution supportable et sécurisée qui peut répondre aux objectifs de toutes les équipes.