18
Décembre
2020
|
10:45
Europe/Amsterdam

En quoi consiste le Shadow IT et quels sont les risques ?

Résumé

Les entreprises éprouvent aujourd'hui des difficultés à garder le contrôle des moyens ou appareils technologiques qui sont utilisés par leurs collaborateurs. Ces derniers installent de plus en plus souvent des systèmes et applications sans l’autorisation explicite du département informatique, et ne tiennent généralement pas compte des prescriptions et règles qui garantissent la sécurité au sein de l’entreprise. Le Shadow IT existe depuis longtemps déjà, mais nous avons assisté à une hausse considérable ces dernières années, laquelle coïncide avec l’introduction du cloud computing.

Qu’est-ce que le Shadow IT ?
Le Shadow IT est également baptisé Rogue IT ou Stealth IT. Ces termes qualifient les outils informatiques utilisés par les collaborateurs, qui ne relèvent pas de la gestion du département informatique. Le Shadow IT est donc une application ou un logiciel qui est utilisé pour des processus d’entreprise, mais qui n’a pas été approuvé par un département informatique centralisé. Le responsable informatique n’en est souvent pas informé, de sorte qu'il ne peut pas déterminer si le logiciel est soutenu ou sûr. Cette situation renforce le risque de flux de données non officiels, et il devient plus difficile de respecter la réglementation sur la conformité des données.

Concrètement, le Shadow IT est considéré sous les formes suivantes :

  • Applications : Slack, Dropbox, Google Docs, WeTransfer...
  • Services Cloud ou solutions SaaS : il existe une offre croissante d’applications basées sur le Cloud qui peuvent être utilisées par les collaborateurs et dont le département informatique n’est généralement pas au courant. De plus en plus de fichiers du cloud contiennent des données sensibles et il arrive de plus en plus souvent que ce type d’informations soit transmis par le biais d'un lien ouvert, accessible du public.
  • Matériel : disques durs, ordinateurs portables personnels, smartphones, tablettes, etc. principalement dans le cadre de la tendance BYOD (Bring Your Own Device).

Ce type de Shadow IT se retrouve dans différents secteurs, et aussi bien dans de petites entreprises privées que dans de grandes organisations politiques, financières ou de santé régulées.

Comment apparaît le Shadow IT ?
Tous les appareils ou logiciels informatiques utilisés devraient être sécurisés et conformes à la réglementation. C’est au responsable informatique que revient cette mission. Lorsqu’il est question d’une politique BYOD, le Shadow IT doit être abordé. Mais il peut également être question de Shadow IT lorsque les collaborateurs utilisent un appareil approuvé. Le meilleur exemple est l’utilisation de WeTransfer pour envoyer des fichiers volumineux qui ne peuvent pas être transmis par e-mail. Ou des collaborateurs qui communiquent via WhatsApp ou Facebook Messenger au lieu des outils de communication prévus par la société, par souci de facilité.

Le Shadow IT naît souvent du fait que les collaborateurs aiment davantage utiliser leurs applications habituelles, déjà installées sur leurs smartphone, ordinateur portable personnel ou tablette. Ils ne doivent dès lors plus faire l’effort d'installer les applications approuvées par l’entreprise. L’utilisateur est finalement celui qui sait ce dont il a besoin et qui connait le logiciel ou l’application capables de répondre à ses besoins fonctionnels, et non le service informatique.

Quels sont les risques du Shadow IT ?
La plupart des services informatiques n’aiment pas le Shadow IT car il induit des risques juridiques et de sécurité. De plus, la responsabilité de la sécurité et de la conformité des données d’entreprise incombe à l’équipe IT et Information Security. Si elle n’est pas au courant du Shadow IT utilisé, la protection des données d’entreprise est alors vouée à l’échec.

Les risques induits par le Shadow IT :

  • Sécurité : risque accru de violation de données et de perte de données critiques pour l’entreprise, car cela complique le contrôle des personnes qui ont accès à certaines applications dans lesquelles des données sont stockées.
  • Efficacité : si le Shadow IT augmente parfois l’efficacité, l’inverse arrive aussi. Au fil du temps, les différents systèmes utilisés dans l’entreprise sont tellement nombreux qu’il est impossible d’en avoir un aperçu clair. Cette situation peut donner lieu à une mauvaise communication et souvent à une perte de temps liée à la recherche des informations les plus récentes.
  • Gestion des coûts : Le Shadow IT est souvent plus onéreux que les solutions approuvées en interne, surtout lorsque les départements utilisent différents logiciels ou applications. Les frais de gestion du Shadow IT doivent être pris en ligne de compte, tout comme les frais de mise en œuvre et d’entretien.
  • La durabilité et la continuité du Shadow IT sont difficiles à garantir.

Des règles claires doivent être posées au niveau de la conformité et doivent être respectées par les collaborateurs de l’entreprise. Les règles existantes doivent également toujours être actualisées lorsque de nouveaux outils ou processus sont utilisés.

Certaines entreprises considèrent cependant le Shadow IT comme une évolution positive, car il stimule l’innovation et la productivité. Il permet à une entreprise d’être plus flexible et aux collaborateurs d’être employés plus efficacement. Il est toutefois important que le département informatique émette des règles adaptées en matière de surveillance et de contrôle.

Comment gérer le Shadow IT ?
Comme indiqué ci-dessus, le Shadow IT a des avantages et des inconvénients, et ne peut pas toujours être exclu. Voici quelques éléments que votre entreprise peut mettre en œuvre pour mieux gérer le Shadow IT :

  • Le département informatique peut se montrer à l’écoute des souhaits des collaborateurs et leur proposer des choix au lieu de décliner toutes les demandes qui ne font pas partie des applications d’entreprise déjà approuvées. Un meilleur alignement entre le département informatique et les collaborateurs opérationnels peut améliorer la productivité de l’entreprise et réduire l’utilisation du Shadow IT.
  • Une bonne gestion des logiciels, applications et services cloud utilisés est importante pour pouvoir assurer à tout moment un contrôle des données traitées et des technologies utilisées à cette fin. Une bonne pratique consiste à offrir aux collaborateurs un aperçu clair des logiciels approuvés, afin qu'ils puissent choisir eux-mêmes celui qu'ils souhaitent utiliser. Ce catalogue de logiciels doit alors être actualisé régulièrement sur la base de l’input des collaborateurs.
  • Le département informatique doit mener des contrôles stricts sur l’accès aux données d’entreprise afin de garantir la sécurité et la rigueur. En outre, l’entreprise doit toujours tenir compte de la réglementation, comme le RGPD, qui oblige les entreprises à protéger les données de leurs clients.

Nous pouvons en conclure que le Shadow IT n’a pas que des inconvénients, tant qu'il est utilisé correctement. Il peut même être une source d’efficacité et d'innovation. Il est préférable que les entreprises se montrent ouvertes aux nouvelles idées concernant les logiciels et applications, afin de réduire le Shadow IT.

Vous voulez en savoir plus sur le Shadow IT ou connaître le degré de sécurisation de votre infrastructure informatique ? Alors, demandez votre Konica Minolta Security Audit ici, afin de découvrir vos maillons faibles en matière de sécurisation, et d’apprendre comment les renforcer.