Le Shadow IT désigne l’ensemble des divers systèmes informatiques non gérés qui sont utilisés par les collaborateurs mais passent sous les radars des équipes informatiques et de sécurité. Cela englobe les comptes ou applications de messagerie cloud mais aussi des équipements tels que les ordinateurs portables ou les smartphones personnels employés à l’insu des responsables informatiques. Il en résulte souvent une perte de visibilité sur l’ensemble de l’écosystème. Ces dernières années, avec la montée en flèche du télétravail et du travail hybride, le nombre d’appareils, d’applications et de comptes à surveiller a explosé. A cela s’ajoutent les dettes techniques croissantes que les départements techniques accumulent afin de résoudre des problèmes inattendus à court terme. Des conséquences peuvent en découler : une augmentation de la surface d’attaque et des coûts supplémentaires significatifs, qu’il n’est possible de maîtriser qu’avec une mise en œuvre cohérente de la transparence, l’automatisation et l’intégration.
En 2021, seuls 29% des entreprises ont renforcé, modifié ou mis en place un dispositif de découverte et de contrôle accru du Shadow IT (40 % des entreprises n'ont déployé aucune mesure).
Comment le Shadow IT se développe
Juguler le Shadow IT de manière ciblée requiert une connaissance de l’environnement dans lequel il se développe et des raisons pour lesquelles les collaborateurs utilisent des applications et services non gérés. Les quatre points suivants sont des cas typiques de Shadow IT que les départements informatiques doivent surveiller.
1Télétravail et travail hybride
Afin d’être pleinement productifs dans les environnements de télétravail et de travail hybride, vos collaborateurs ont besoin de divers outils et de services collaboratifs qu’ils n’utilisent pas d’habitude dans leur environnement protégé au bureau. Au tout début de la pandémie, lorsque la majorité des effectifs a été mise en télétravail, dans certains cas sans aucune préparation, nombre de collaborateurs ont spontanément recouru à de nouveaux outils dont le département informatique n’avait pas approuvé l’utilisation, par exemple pour l’envoi de textos ou la publication de données. Ces services incontrôlés et parfois non sécurisés ont eu pour conséquence d’accroître massivement et brusquement la surface d’attaque dans les entreprises.
Le danger ici est que des télétravailleurs disposent eux-mêmes souvent d’un accès administratif à des postes de travail et à des applications internes. Si un cybercriminel réussit à accéder à une machine au moyen des droits d’un administrateur local, il peut s’en servir pour voler des mots de passe, installer des malwares ou exfiltrer des données. Il risque même de pouvoir rehausser ses privilèges pour avoir accès à la totalité de l’environnement informatique.
2Navigateurs non gérés
Aujourd’hui, la majorité des salariés exploitent au moins deux navigateurs web sinon plus sur leurs appareils. Si ces navigateurs ne sont pas gérés par les entreprises elles-mêmes (comme c’est généralement le cas), une grande faille de sécurité est alors ouverte. En effet, les navigateurs incitent souvent les utilisateurs à y enregistrer des informations sensibles (identifiant, mot de passe, numéro de carte de crédit). Les pirates savent comment exploiter cette vulnérabilité et voient dans les navigateurs non gérés une opportunité idéale de dérober des informations critiques. Ils auront ainsi accès à des systèmes et bases de données ou procéder à des paiements frauduleux au nom d’une entreprise.
3Applications de productivité
Les applications de productivité tierces permettant aux utilisateurs d’accomplir leurs tâches avec efficacité et rapidité sont de plus en plus prisées. Qu’elles soient téléchargées sur Google Play, l’App Store ou bien intégrées au navigateur, ces applications peuvent créer des risques si elles sont installées sans vérification par le département informatique. Les utilisateurs non avertis n’ont souvent pas conscience que ces applications répandues sont dans bien des cas dépourvues des contrôles de sécurité nécessaires ou ne sont pas mises à jour aussi fréquemment que l’exige la politique de l’entreprise en la matière. Il n’est pas rare que des données sensibles soient stockées dans toutes sortes de répertoires et que des informations critiques ne soient pas masquées au reste de l’équipe. Ces logiciels peuvent également appliquer des modèles de sécurité en conflit avec les règles en vigueur dans l’entreprise pour le contrôle des accès ou l’usage des données.
4Accélération des cycles de production
Face à la pression croissante pour travailler avec rapidité et efficacité, les développeurs et les équipes DevOps se voient de plus en plus contraintes de sacrifier la sécurité au profit de la vitesse, ce qui favorise le Shadow IT. Par exemple, les développeurs configurent rapidement des instances dans le cloud puis les font disparaître tout aussi vite. Problème : des données perdurent dans l’environnement cloud sans que les équipes informatiques ou de sécurité n’en aient jamais connaissance.
Comment les règles de sécurité aident à reprendre le contrôle
Si l’informatique n’est pas en mesure de fournir à tous les collaborateurs un accès à des outils sécurisés et à des workflows transparents, le risque existe de voir ceux-ci prendre les choses en mains et développer leurs propres solutions. Pour contenir le Shadow IT sur le long terme, les équipes informatiques et de sécurité doivent mettre en balance les exigences de sécurité et de protection des données avec les besoins de productivité. L’idéal est d’instaurer et de mettre en œuvre des consignes et des solutions de contrôle fonctionnant automatiquement et, en arrière-plan, ce qui assure la sécurité tout en évitant les frictions préjudiciables aux processus de travail.
Pour effectuer un « ménage » initial, il est conseillé de faire appel à un outil qui détecte de manière fiable toutes les applications malveillantes, non sécurisées et inconnues sur votre propre réseau pour permettre de les contrôler voire les supprimer. Vous aurez également besoin d’un outil qui identifie et affiche les mots de passe enregistrés dans le navigateur pour tous les utilisateurs Active Directory.
En outre, vous devez mettre en place un contrôle des applications à base de règles, permettant de vérifier automatiquement celles que les utilisateurs souhaitent télécharger en les comparant à des listes de logiciels dignes de confiance ou, au contraire, suspects d’après les plus récentes données sur les menaces. Il faut veiller à ce que toute application inconnue et douteuse soit tout d’abord placée automatiquement dans une sandbox pour un examen plus poussé avant utilisation.
Pourquoi la dette technique est également source de Shadow IT
Le débat autour du Shadow IT néglige souvent le fait que ce problème de sécurité concerne non seulement les utilisateurs métiers et les développeurs travaillant en dehors de la sécurité informatique mais aussi les équipes informatiques elles-mêmes, surtout lorsqu’elles n’opèrent pas de manière coordonnée. En effet, ce manque de coordination aboutit fréquemment à une dette technique. Il s’agit du surcroît d’effort nécessaire lorsque les équipes se focalisent sur des solutions à court terme, plutôt que d’investir du temps, des efforts et du capital dans une approche à long terme. Il n’est pas rare que les départements informatiques choisissent des solutions à la dernière minute, recourent à des outils monofonctionnels ou achètent des produits multiples pour résoudre rapidement des problèmes à mesure qu’ils surviennent et maintenir la continuité d’activité.
Or il s’agit souvent de fausses économies. La dette technique peut alors devenir très coûteuse, ce qui est particulièrement critique pour les entreprises aux budgets serrés et aux ressources limitées. Les dépenses à court terme, modiques en apparence, engendrent dans bien des cas des frais onéreux de renouvellement, de maintenance, de formation et de mise à jour. En outre, les outils manquent généralement de cohérence et ne peuvent être intégrés que dans une certaine mesure. Les systèmes dépendant des utilisateurs posent eux aussi problème en l’occurrence, car les collaborateurs ne sont généralement pas au courant de leur existence. Lorsque celui qui en a la responsabilité quitte l’entreprise, il est fréquent que ces outils tombent dans l’oubli et viennent grossir le « parc informatique fantôme ».
Pour réduire efficacement la dette technique, les départements informatiques doivent mener une réflexion stratégique et prendre des décisions en phase avec les objectifs à long terme de l’entreprise.
Il est important de rendre la cybersécurité pérenne et d’abandonner les solutions monofonctionnelles au profit de technologies riches en fonctionnalités, capables d’accompagner la croissance de l’entreprise et d’apporter une valeur ajoutée dans le temps.
La visibilité, l’automatisation et l’intégration jouent chacune un rôle majeur pour limiter le Shadow IT et la dette technique. Non seulement elles aident les entreprises à réduire leur surface d’attaque mais elles peuvent aussi améliorer leur expérience utilisateur.
Par Yves Wattel, Vice President Southern Europe chez Delinea