Qu’est-ce que le shadow IT ?

Comment fonctionne le shadow IT ?

Dans un environnement informatique typique, les employés n’utilisent que des appareils et des applications approuvés, se connectent aux réseaux et aux ressources de l’entreprise à l’aide de protocoles sécurisés et suivent les procédures de sécurité requises, notamment en utilisant un réseau privé virtuel (VPN).

Dans un environnement de shadow IT, les employés ajoutent au matériel, aux logiciels et aux applications officiels des logiciels libres ou gratuits qu’ils ont trouvés eux-mêmes ou qui leur ont été fournis par des collègues. Il leur arrive également d’utiliser leurs propres appareils (ordinateurs portables personnels, smartphones) pour faire leur travail.

Ce choix s’explique avant tout par la volonté de s’approprier leur environnement informatique et d’avoir l’impression de choisir les applications qui leur conviennent le mieux. Selon une étude menée par Osterman Research et décrite dans le magazine Security, la grande majorité des employés de l’entreprise (92 %) déclarent vouloir un « contrôle total » sur les applications qu’ils utilisent pour le travail, et plus de la moitié (51 %) affirment utiliser les applications de leur choix même lorsqu’elles sont spécifiquement interdites par leur entreprise. De nombreux participants considéraient le service IT comme un obstacle, et (52 %) disaient qu’ils voulaient que le service informatique « cesse de se mettre en travers de leur chemin ».

Quelles sont les applications de shadow IT les plus courantes ?

Il existe des centaines d’exemples de shadow IT, car l’ensemble des applications et des appareils personnels utilisés à des fins professionnelles sans l’autorisation du service IT peuvent être considérés comme tels.

• Une organisation utilise peut-être une plateforme de messagerie basée sur serveur, mais les utilisateurs ont appris à utiliser un client web pour les e-mails.
• Dans les organisations qui ne disposent pas de solutions modernes d’espace de travail partagé, des applications comme Google Docs sont souvent utilisées pour la collaboration et le partage de documents, sans approbation officielle.
• Les applications de stockage et de partage de fichiers telles que Google Drive, Dropbox et Box, sont souvent plus pratiques que les serveurs approuvés par l’entreprise
• La plateforme de messagerie instantanée Slack trouve souvent une place de choix dans le shadow IT des entreprises, où son utilisation est d’abord l’initiative des employés avant de devenir une application officiellement reconnue.
• Les employés utilisent des clés USB personnelles pour stocker et transférer rapidement et facilement des données d’entreprise.
• Les applications de productivité, de listes de tâches et de gestion de projet comme Trello et Asana sont souvent adoptées avant d’avoir été approuvées, que ce soit pour une utilisation individuelle ou en équipe.
• Les employés utilisent parfois des applications de messagerie comme WhatsApp qui offrent plus de fonctionnalités que la messagerie texte de base.
• Les applications de calendrier et de planification, qui se connectent aux serveurs de l’organisation et fournissent des fonctionnalités supplémentaires par rapport à l’application de calendrier officielle, font également partie du shadow IT.
• Les outils de communication tels que Skype et Google Meet offrent des moyens rapides et faciles de discuter sans avoir à passer par l’infrastructure de communication dédiée d’une organisation.
• L’utilisation d’ordinateurs portables, de tablettes et de smartphones personnels (pratique du BYOD) relève également du shadow IT, en particulier lorsque ces appareils sont utilisés à des fins professionnelles sans suivre les protocoles de l’entreprise.

Que sont les shadow data ?

Les shadow data, ou données fantômes, ont plusieurs définitions, et peuvent englober les dark data. Pour résumer simplement, les shadow data sont les données produites par l’utilisation d’applications de shadow IT. Voici quelques exemples :

• les bases de données créées dans Google Sheets et séparées des grandes banques de données de l’entreprise,
• les dépôts de fichiers maintenus sur des sites de stockage et de partage tiers,
• échanges d’e-mails en dehors des canaux de messagerie officiels,
• échanges de messages via des applications non officielles,
• toute information échangée sur un canal non officiel et pouvant faire l’objet d’une réglementation.

Les shadow data sont un défi pour les équipes IT et pour l’entreprise dans son ensemble, car elles sont impossibles à localiser. Elles peuvent également contenir des informations critiques mais hors d’accès de l’entreprise, ouvrant la porte des infractions de conformité réglementaire.

Quel est le lien entre le shadow IT et le cloud computing ?

L’essor du shadow IT est étroitement lié à celui du cloud : la majorité des applications fantômes y sont basées. Le cloud public et les applications SaaS permettent un accès quasi instantané aux logiciels, et les applications modernes et innovantes sont généralement lancées dans le cloud et remplacent souvent les applications installées en local.

Le cloud n’est pas responsable de l’essor de l’informatique fantôme, mais les applications les plus souvent utilisées de façon clandestine sont majoritairement des services cloud. Parce qu’elles sont faciles à utiliser et très rapidement exploitables, les employés ont aussi davantage tendance à essayer des applications cloud, d’où l’importance de sécuriser le cloud.

Quels sont les avantages du shadow IT et pourquoi est-elle aussi populaire ?

Les employés se tournent généralement vers le shadow IT parce qu’aucun outil de leur entreprise ne répond à leur besoin, que répondre à ce besoin prendrait trop de temps ou coûterait trop cher, ou qu’il leur serait interdit d’utiliser l’outil de leur choix. Si le shadow IT comporte un certain nombre de risques, autoriser les équipes à sélectionner leurs propres logiciels présente des avantages potentiels du point de vue de l’utilisateur :

Vitesse : quelle que soit la réactivité du service IT de l’entreprise, le processus de proposition, de vérification, de sélection, d’approbation et de mise en œuvre d’un nouvel outil logiciel ou matériel prend du temps. Si une version fantôme est disponible, un employé n’aura bien souvent qu’à télécharger l’application pour être immédiatement opérationnel.

Flexibilité : pour rester compétitives, les entreprises doivent être agiles et savoir adapter leurs outils et leurs processus à l’évolution rapide des besoins commerciaux et des tendances du secteur. Cela implique notamment de pouvoir pivoter rapidement et d’utiliser des outils intuitifs, conviviaux et moins complexes.

Coût réduit : les entreprises sélectionnent des applications professionnelles malgré leur coût, car elles répondent à certains critères de sécurité et d’évolutivité. Même quand une solution d’entreprise est disponible, les coûts associés sont généralement facturés au service qui l’utilise, ce qui rend une solution gratuite plus séduisante.

Efficacité : les grandes entreprises ont parfois des centres de distribution où les employés peuvent télécharger des logiciels approuvés, mais quand ce n’est pas le cas, le processus d’installation et d’obtention de licences – même pour des logiciels approuvés – peut décourager et rendre les solutions fantômes en libre-service plus attrayantes.

Expérience utilisateur : les employés sont souvent attirés par les solutions de shadow IT qui offrent une interface plus engageante, même si elles ne répondent pas entièrement aux exigences organisationnelles. Les applications gratuites de partage de fichiers par glisser-déposer telles que Dropbox et Box ont été les premières à être utilisées de façon clandestine, car les utilisateurs les trouvaient plus faciles à utiliser que les logiciels de transfert FTP approuvés par l’entreprise. Gmail, la plateforme de messagerie instantanée Slack et l’outil de visioconférence Zoom ont souvent été d’abord adoptés de manière non officielle, avant d’être approuvés à la demande des utilisateurs.

BYOD : le shadow IT ne s’arrête pas aux logiciels. Avec le BYOD, les employés utilisent leurs propres ordinateurs, tablettes, smartphones, dispositifs de stockage et autres appareils personnels pour le travail. Les grandes entreprises autorisent généralement les employés à utiliser leurs propres appareils s’ils respectent les politiques, mais il n’est pas rare que les employés utilisent ces mêmes appareils pour créer, partager et stocker des informations critiques, ou pour se connecter au réseau de l’entreprise sans protections appropriées.

Pourquoi le shadow IT est-il un problème pour les entreprises ?

Poches d’inefficacité, gaspillage des budgets, augmentation des vulnérabilités de sécurité... Le shadow IT pose des problèmes importants aux entreprises et ce, à plusieurs titres.

Conformité : de nombreuses lois fédérales, nationales et étatiques, de même que des protocoles commerciaux, exigent que les organisations restent en conformité avec des réglementations comme la PCI, le RGPD et autres. Mais quand elles utilisent un large éventail d’outils, de solutions et de pratiques qui aboutissent à une dispersion des données, il devient presque impossible de fournir une piste d’audit, et le risque de non-conformité est grand.

Risques de sécurité : le shadow IT crée des risques de cybersécurité importants qui peuvent compromettre la posture de sécurité de l’entreprise, comme nous le verrons plus en détail.

Dédoublement des dépenses et des efforts : le shadow IT entraîne des pertes de temps, d’argent et d’efforts puisque les logiciels clandestins font souvent double emploi avec les solutions existantes. Et si le temps passé par des employés hors IT à installer et maintenir des applications fantômes reste faible à l’échelle individuelle, cette perte s’accumule si on l’envisage à l’échelle des effectifs entiers de l’entreprise.

Incohérence : quel que soit le type d’application envisagé (feuille de calcul ou interface de messagerie), l’utilisation d’une solution approuvée est gage d’une certaine cohérence que l’on perd souvent en multipliant les outils. Les erreurs qui résultent d’un manque de cohérence et de contexte passent souvent inaperçues, ce qui les rend plus difficiles à corriger par la suite.

Manque d’efficacité : les individus et les équipes qui enfreignent la politique informatique pour utiliser leurs propres solutions doivent tout de même utiliser les applications et les systèmes officiels de temps en temps, ce qui entraîne des pertes d’efficacité, notamment parce qu’il faut transférer des informations entre les deux écosystèmes.

Coût d’opportunité des données : les données sont souvent considérées comme l’actif le plus précieux d’une entreprise, en particulier pour appuyer la prise de décision à l’aide d’une solution sophistiquée d’analyse commerciale ou d’une plateforme de données. Si les données sont dispersées sur plusieurs systèmes, il devient impossible de les agréger et d’en extraire des informations.

Quels sont les risques de cybersécurité du shadow IT ?

Augmentation de la surface d’attaque : par nature, les applications cloud, qui constituent la majorité des cas de shadow IT, se trouvent en dehors du pare-feu de l’entreprise et ne sont pas protégées par les protocoles de sécurité établis et appliqués par le service IT. Lorsque les employés utilisent des applications SaaS non autorisées, les conséquences sont doubles : non seulement ils exposent les données et les processus sensibles à un risque de perte, de violations et d’autres menaces, mais ils augmentent considérablement les points d’accès potentiel au réseau de votre entreprise pour les adversaires.

Hors du cadre des politiques et des procédures : les applications de shadow IT ne sont pas régies par les politiques et procédures de votre organisation, ce qui pose plusieurs problèmes, à commencer par un manque de visibilité. Par exemple, le service IT de votre entreprise vous demande probablement de changer régulièrement votre mot de passe et de respecter certaines règles pour le créer. Les applications de shadow IT ont elles aussi des critères dans le domaine, mais ceux-ci sont généralement moins stricts que ceux d’une entreprise.

Transfert et stockage non sécurisés des données : les applications de shadow IT ne fournissent généralement pas le même niveau de chiffrement et d’authentification que les applications d’entreprise, ce qui augmente le risque de vol des données. Et lorsqu’un employé quitte l’entreprise alors qu’il a utilisé ce type d’outils, les workflows et les données peuvent se retrouver bloqués dans des logiciels inaccessibles aux autres employés.

Quelles mesures pouvez-vous prendre pour vous protéger des risques du shadow IT ?

La plupart des experts en conviennent : quelles que soient les mesures prises par les organisations, le shadow IT sera toujours une réalité. Par conséquent, la voie la plus prudente consiste à se concentrer sur l’atténuation des risques tout en sensibilisant les employés à ce sujet. Cela étant dit, il existe des moyens de détecter les logiciels non approuvés sur un réseau d’entreprise.

Écoutez vos employés : il n’est jamais pratique de laisser chaque employé choisir sa palette d’applications, mais l’organisation IT doit être attentive aux besoins des employés, essayer d’anticiper leurs attentes et prendre au sérieux les demandes de nouveaux logiciels. En identifiant les principaux domaines d’insatisfaction des employés et en y répondant par de nouvelles solutions, vous contribuerez grandement à atténuer les frustrations des employés.

Établissez et communiquez les politiques de sécurité : il ne suffit pas d’inclure des politiques de sécurité IT et cloud dans le manuel de l’employé (de nombreux organismes de réglementation exigent d’ailleurs des efforts plus poussés en matière de conformité). Le service IT doit établir des politiques de sécurité compréhensibles et réalistes qui prennent en compte le shadow IT et les diffuser régulièrement, tout en faisant preuve de réactivité face aux commentaires des employés. Les conséquences des fuites de données et des défauts de conformité doivent également être clairement communiquées à chaque employé.

Utilisez la technologie de détection du shadow IT : il existe des technologies pour détecter le shadow IT au sein de votre organisation. Des activités réseau anormales (trafic vers et depuis de nouvelles adresses IP, augmentation significative du trafic) peuvent trahir la présence du shadow IT. Les outils qui supervisent le téléchargement et l’installation de logiciels, ainsi que les migrations de données et de charges de travail, permettent également de détecter le transfert d’informations vers une solution SaaS non approuvée.

Pare-feu : en maintenant les pare-feux à jour pour le trafic entrant et sortant, le service informatique peut identifier tout trafic anormal lié à l’utilisation d’applications clandestines.

Logiciel de sécurité : votre logiciel de sécurité est généralement en mesure d’identifier les activités anormales et suspectes qui peuvent indiquer des pratiques relevant du shadow IT.

Mettez à jour les politiques BYOD : de plus en plus d’employés utilisent leurs appareils personnels au travail, et il est impératif de s’assurer que vos politiques BYOD sont à jour.

Dans la mesure où les employés peuvent installer des logiciels en quelques secondes d’un simple clic, les services IT n’arriveront jamais à empêcher complètement le shadow IT. Il faut donc comprendre pourquoi les employés s’en servent et le gérer efficacement. Le fait que de nombreux employés considèrent le service IT comme un obstacle au progrès est un défi gérable. Votre équipe IT doit s’efforcer de devenir l’alliée des autres employés et les aider à comprendre les politiques existantes tout en ouvrant la porte à de nouvelles applications plus efficaces et plus engageantes. En dernier recours, il existe des solutions technologiques pour aider votre équipe à identifier les cas de shadow IT et atténuer les risques avant qu’ils ne deviennent des problèmes. Une chose est claire : le shadow IT ne disparaîtra pas. Tout le défi réside donc dans la façon dont les services IT réagissent à cette réalité pour aider leurs employés à être plus productifs et autonomes.