En tant que consommateurs de services en cloud, nous avons pris l’habitude de télécharger des applications de productivité ou d’utiliser des référentiels de stockage en cloud pour nous aider dans nos activités quotidiennes.
Avec l’essor récent du travail à distance, il n’était pas rare qu’un employé utilise des applications et des outils qui l’aidaient à être productif et à combler un besoin dans sa journée de travail.
Leurs bonnes intentions étaient honorables, cependant, ce type d’activité peut créer des risques de cybersécurité pour une organisation. La pratique consistant pour les employés à déployer des outils et des services à l’insu de la direction informatique ou sans l’approbation de celle-ci est connue sous le nom de Shadow IT.
Qu’est-ce que le Shadow IT ?
Gartner, une société de recherche et de conseil de premier plan, définit le Shadow IT comme « des dispositifs, des logiciels (parfois en mode SaaS) et des services qui ne sont pas la propriété ou sous la supervision des entreprises informatiques ». En d’autres termes, les employés compromettent la sécurité en utilisant des technologies non autorisées. Les services informatiques (dont la DSI) se retrouvent dans le noir, incapables d’appliquer les tests de cyber sécurité ou la politique de groupe lorsque cela se produit.
Voici quelques exemples de Shadow IT :
- Des comptes de messagerie personnels utilisés pour mener des affaires,
- l’utilisation non autorisée d’appareils personnels (BYOD), ou
- Applications SaaS (Software-as-a-Service) de tiers hors du viseur de votre département informatique et de la DSI.
Shadow-IT-Mobile-Devices
La plupart du temps, les employés utilisent le Shadow IT avec de bonnes intentions. Ils ne se rendent pas toujours compte de l’examen de la sécurité qui doit être effectué lors de l’approbation des applications et de la sélection des appareils. Si les nouvelles technologies ne font pas l’objet d’un examen approfondi, le shadow IT peut créer des risques de cyber sécurité pour l’organisation.
Selon une enquête, plus d’une organisation sur cinq a connu un cyber-événement dû à une ressource informatique non approuvée.
Comment le Shadow IT crée-t-il un risque de cyber sécurité ?
Toutes les entreprises, en particulier celles des secteurs réglementés, tels que les soins de santé, le droit ou la finance, disposent de certains types d’infos qui doivent être protégées. Les informations ne peuvent pas être sécurisées si les collaborateurs les stockent dans des endroits qui échappent à la surveillance de l’entreprise. De même, les services informatiques ne sauront pas si les données des clients sont en danger s’ils ne savent pas où se trouvent toutes ces éléments.
La perte de données est une autre considération. Un scénario courant est celui d’un employé qui quitte l’entreprise et qui a utilisé le Shadow IT pour ses activités professionnelles.
Les applications et les données d’identification qu’il a utilisée peuvent être inconnues de votre service informatique, de sorte que vous n’aurez peut-être jamais accès à ce sur quoi il travaillait ou à l’endroit où étaient stockées des données critiques.
Que peut-on faire contre le Shadow IT ?
Comme pour la plupart des questions en matière d’informatique, les réponses varieront. Un cabinet d’avocats aura une approche différente de celle d’un fabricant, mais les étapes initiales pour contrôler le Shadow IT restent les mêmes.
1. Créez des classifications d’éléments pour votre entreprise.
Votre entreprise, et en fin de compte vos salariés, doivent comprendre clairement ce que sont les données publiques, privées ou confidentielles. Les classifications d’une entreprise peuvent varier, mais le processus de création de celles-ci aidera à déterminer les directives d’utilisation acceptables.
Par exemple, une entreprise peut décider que les informations confidentielles contenant des numéros de sécurité sociale ne sont autorisées que dans un ensemble prédéfini d’applications sanctionnées par la direction. La même entreprise autorisera toutefois les collaborateurs à utiliser leurs services de cloud préférés pour les éléments privés, tels que les notes de réunion.
2. Découvrez le Shadow IT existant.
Les services informatiques doivent savoir et comprendre comment les données confidentielles sont contenues et gérées dans l’entreprise. Il existe une variété d’outils de surveillance du réseau qui peuvent découvrir quelles applications sont exécutées et qui les exécute.
Microsoft Cloud App Security est une application SaaS qui peut contribuer au process de collecte d’éléments. Au sein d’une plus petite organisation, une solution telle qu’une enquête peut être suffisante.
Bon nombre des services Shadow IT découverts au cours du process de découverte proposeront des versions professionnelles avec une gestion centralisée. Si le service apporte une valeur ajoutée, envisagez de le vérifier et de l’adopter tout en déterminant les classifications d’informations autorisées.
3. Former les collaborateurs.
Les politiques écrites et la formation des utilisateurs finaux sont essentielles. La technologie est en constante évolution, et demain continuera d’apporter de nouvelles méthodes de travail. Rien ne remplace l’assurance que les collaborateurs connaissent des politiques et des directives clairement définies pour une manipulation acceptable des données de l’entreprise.
Votre entreprise peut adopter le Shadow IT en créant une culture de sensibilisation à la sécurité. La mise en œuvre et l’adoption d’une politique d’utilisation acceptable peut contribuer à réduire le temps et les efforts que les services informatiques consacrent à la recherche de l’informatique fantôme.
Avec les bonnes politiques et les bons plans en place, votre entreprise peut se concentrer sur l’augmentation de la productivité tout en gardant la sécurité des données comme priorité absolue.
Comment gérer le Shadow IT ?
Les meilleures stratégies pour gérer le shadow IT incluent la création de politiques pour superviser et contrôler les nouvelles applications.
Si les applications tierces peuvent poser de sérieux problèmes de sécurité et de conformité, vous ne voulez pas non plus étouffer vos salariés en les empêchant de télécharger un produit qui pourrait les rendre plus productifs.
Encouragez-les plutôt à rechercher de nouvelles technologies susceptibles de faciliter leur travail. Mettez en place des politiques qui encouragent les salariés à s’adresser au service informatique lorsqu’ils veulent demander une nouvelle application. Il est impératif que la relation entre le service informatique et le reste de l’entreprise reste ouverte et honnête.
Créer cette relation ouverte entre votre département informatique et votre entreprise n’est pas la chose la plus facile à faire. Heureusement, vous n’avez pas à le faire seul.
Certains éditeurs proposent une multitude de solutions de cybersécurité pour aider les entreprises à contrôler leur système informatique parallèle et à y voir plus clair, à identifier les applications que vos collaborateurs utilisent à votre insu, à consolider vos services de cloud computing et à remettre tout le monde sur la même longueur d’onde.
No Comment