Qu’est-ce que le shadow IT et quels en sont les risques ?

L'essor de la technologie cloud a permis aux utilisateurs de contourner plus facilement les procédures d'approvisionnement informatiques traditionnelles et d'accéder aux outils dont ils ont besoin pour leur travail sans la permission du département de l’informatique. La surveillance informatique et les normes de gouvernance strictes sont généralement développées en gardant à l'esprit la sécurité de l'entreprise plutôt que les besoins des utilisateurs individuels. 

Le « Shadow IT » est donc devenu une stratégie permettant d'accéder aux solutions informatiques nécessaires sans le contrôle du service informatique officiel. 

Qu’est-ce que le shadow IT ? 

Le « Shadow IT » se produit lorsque les employés utilisent des logiciels, des applications ou d'autres systèmes et services au sein d'une organisation sans que le service informatique ne l'ait approuvé 

Contrairement à l’infrastructure informatique classique, qui est soigneusement surveillée et gérée par l’organisation, le shadow IT passe inaperçu.

Le Shadow IT peut s’infiltrer dans l’organisation de différentes manières, mais généralement selon deux façons: 

1. Quelqu'un utilise un outil non approuvé pour accéder, stocker ou partager les données de l'entreprise. Par exemple, une organisation a uniquement approuvé Google Workspace pour le partage de fichiers, mais un employé décide, à la place, d'utiliser Microsoft 365.
2. Quelqu'un utilise un outil approuvé de manière non autorisée. Par exemple, si le service informatique a approuvé Google Workspace via des comptes contrôlés par l'entreprise, un employé peut toujours choisir d'utiliser, à la place, un compte Google personnel.

Que cela soit intentionnel ou non, le shadow IT peut avoir des conséquences vraiment néfastes pour l’entreprise. Cela augmente le risque de violation de données, de vol et d'autres cyberattaques, tout en rendant plus difficile -pour le service informatique- de protéger l'organisation et de minimiser les risques.

Pourquoi les employés utilisent-ils le shadow IT ?

Compte tenu de tous les risques de sécurité liés au shadow IT, il est étonnant que les employés choisissent encore de contourner les règles qu’impose le département de l’informatique. Voici plusieurs raisons qui motivent les employés à utiliser, sans autorisation, ces programmes informatiques:

• Premièrement, les employés peuvent ne pas être conscients des risques du shadow IT. Ils n’essaient pas délibérément d’éviter les contrôles informatiques, mais ne savent tout simplement pas que leurs choix peuvent mettre en danger les données sensibles de l’entreprise et augmenter le risque de violations de données et d’attaques.
• Dans un second temps, les employés privilégient les outils qu’ils aiment, même s’ils ne sont pas approuvés. Les meilleurs outils ne sont pas toujours ceux que le service informatique a sélectionné. 
• Enfin, certains utilisent des outils non approuvés avec de mauvaises intentions. 

Dans la plupart des cas, le shadow IT n’est pas malveillant. Cependant, il arrive que des employés choisissent d'utiliser des applications non autorisées pour voler des données ou accéder à des informations confidentielles.

Quels sont les risques du shadow IT ? 

Même si le shadow IT peut aider les employés, les risques sont trop élevés pour les entreprises. Si les équipes informatiques ne maîtrisent pas les outils et les services utilisés au sein de l'organisation, elles peuvent rapidement mettre en danger la sécurité de l’entreprise et n'avoir aucune idée de la manière dont les données de l'entreprise sont gérées, stockées et partagées.

Le Shadow IT fait perdre à l’équipe informatique le contrôle de la gestion des données. 

Lorsque les employés utilisent des services non approuvés ou des services approuvés de manière non autorisée, ils peuvent compromettre des données sensibles sans même que le service informatique s'en aperçoive.

En raison de ce manque de visibilité et de contrôle, le shadow IT peut entraîner des risques majeurs :

• Les données sensibles peuvent tomber entre de mauvaises mains ou être volées. Les pirates peuvent exploiter les erreurs et les faiblesses des services basés sur le cloud, ce qui peut entraîner des violations de données et des cyberattaques. Ces attaques peuvent se produire sans même que le service informatique s’en aperçoive. Surtout s’ils ciblent des applications et des outils non autorisés et pas totalement sécurisés. Faire face à de telles attaques coûte cher : selon une étude de 2020, IBM a estimé que les violations de données causées par des erreurs dans le cloud coûtent en moyenne 4,41 millions de dollars.
• Les entreprises peuvent également enfreindre accidentellement les lois sur la protection des données sans le savoir. Pour ceux qui doivent se conformer à des réglementations telles que le RGPD  le règlement général sur la protection des données), il est extrêmement important de pouvoir suivre et contrôler la manière dont les données sont traitées et partagées. Si les employés utilisent des outils non autorisés pour traiter des données sensibles, ils peuvent par conséquence placer l'entreprise dans une situation où ils enfreignent la loi, ce qui peut entraîner de lourdes amendes et autres sanctions.

Comment les organisations peuvent-elles détecter et gérer le shadow IT ?

Il existe des moyens à adopter par les équipes informatiques pour détecter et gérer le shadow IT : 

Trouver le shadow IT : Utilisez un outil qui aide l'équipe informatique à trouver et à analyser tous les systèmes et services utilisés par les employés. Ils peuvent alors décider d’autoriser, de restreindre ou de bloquer ces programmes.

Utiliser un courtier de sécurité d'accès au cloud (CASB) : Un CASB est comme un bouclier de protection pour les applications et services basés sur le cloud, de la détection du shadow IT au contrôle d'accès, en passant par la protection des données (DLP), la protection du navigateur et bien plus encore.

Sensibilisez les collaborateurs à la gestion des risques : De nombreux employés ne connaissent peut-être pas les risques de sécurité liés au shadow IT. En apprenant les meilleures pratiques, comme éviter les adresses e-mail personnelles pour des questions professionnelles, signaler l'utilisation de matériel et de logiciels non autorisés et signaler les violations de données, vous pouvez réduire le risque de perte ou de vol de données.

Montrez aux employés les outils dont ils ont besoin : Les employés savent souvent quels outils fonctionnent le mieux pour leur travail, mais hésitent parfois à demander l'approbation du service informatique pour des raisons budgétaires ou autres. En vous ouvrant à ces conversations et en créant une culture « sans reproche » (pour ceux qui ont déjà utilisé le shadow IT), vous pouvez créer un environnement de travail plus sain.

Exemples de Shadow IT

Les logiciels et services non approuvés sont des exemples les plus courants de shadow IT. Voici quelques exemples supplémentaires : 

• Des applications de management comme Trello et Asana.
• Les services cloud et les logiciels de gestion de documents tels que Dropbox, Google Docs, Google Drive et Microsoft OneDrive.
• Des outils et applications de communication tels que Skype, Slack, WhatsApp, Zoom, Signal et Telegram, ainsi que des comptes de messagerie personnels.

Les salariés apprécient ces services car ils sont simples, souvent gratuits ou peu coûteux. Ils travaillent -au sein de leur entreprise- avec les applications qu’ils utilisent pour des raisons personnelles. 

Le Shadow IT est aussi présent sur les smartphones, les ordinateurs portables, les ressources de stockage tels que les clés USB et les disques durs externes. Un programme Bring Your Own Device (Apportez votre Equipement Personnel de Communication) permet aux employés d'utiliser leurs propres appareils pour accéder, stocker ou transférer des données d'entreprise, à distance et au bureau.