Ressources

News

Quels sont les dangers du Shadow IT ?

Le développement de la transformation numérique des entreprises ces dernières années a contribué à l’émergence d’un nouveau défi majeur pour les départements IT : le Shadow IT, ou l’utilisation de technologies de l’information non approuvées par l’entreprise. C’est une pratique de plus en plus courante dans les milieux professionnels.

En effet, avec l’essor des technologies de l’information et de la communication, les employés ont de plus en plus facilement accès à une variété d’outils en ligne et peuvent les utiliser pour travailler plus efficacement. Cependant, bien qu’elle puisse sembler bénéfique pour les employés, elle peut entraîner de nombreux risques pour la sécurité et la conformité réglementaire de l’entreprise. Dans cet article, nous examinerons les dangers du Shadow IT et les mesures que les entreprises peuvent prendre pour le prévenir.

Qu’est-ce que le Shadow IT ?

Le Shadow IT est ni plus ni moins qu’une IT parallèle. Il peut s’agir d’applications, de logiciels ou de services en ligne (cloud) qui ne sont pas officiellement approuvés par le département informatique de l’entreprise, mais utilisé par les employés. Les exemples courants de Shadow IT comprennent l’utilisation de services de messagerie instantanée personnels ou de stockage en ligne pour partager des fichiers professionnels.

Plus concrètement, utiliser WeTransfer pour transférer des documents dans un contexte professionnel par ce qu’ils sont trop lourds pour passer par email, télécharger une application pour nettoyer l’ordinateur ou préférer utiliser Zoom plutôt que l’application de visioconférence de l’organisation pour contacter des clients sont des exemples de Shadow IT.

Les dangers du Shadow IT

Le Shadow IT peut conduire à des risques liés à la sécurité des données et la conformité réglementaire, les employés utilisant des applications en ligne ou des outils de collaboration qui n’ont pas été testées et sécurisées et qui peuvent ne pas respecter les normes de sécurité et de confidentialité établies par l’entreprise. Ils peuvent également être vulnérables aux cyberattaques, aux logiciels malveillants et aux fuites de données.

Les employés peuvent également stocker des données sensibles dans des applications non sécurisées, augmentant ainsi le risque de vol ou de perte de données. Il faut aussi noter que l’augmentation du nombre d’endroits contenant de la donnée sensible rend plus difficile sa protection et sa surveillance.

Cette pratique peut également entraîner des répercussions sur la conformité réglementaire. Les entreprises doivent respecter des normes strictes en matière de protection des données, notamment en ce qui concerne la confidentialité des données personnelles des clients (RGPD, directive E-Privacy…). Si des données sont stockées ou partagées via des applications non autorisées, cela peut entraîner des violations de ces réglementations.

Enfin, cela peut entraîner des coûts supplémentaires pour les entreprises. Les incidents liés au Shadow IT, tels que les violations de données, peuvent entraîner des coûts considérables pour les organisations, notamment en termes de réparation des dommages et de perte de réputation.

Les causes du Shadow IT

Les employés peuvent avoir recours au Shadow IT pour différentes raisons. Les politiques informatiques de l’entreprise peuvent être complexes et difficiles à suivre, ce qui peut pousser les employés à chercher des solutions alternatives. Les outils de travail fournis par l’entreprise peuvent également être inefficaces ou obsolètes, incitant les employés à chercher des alternatives plus performantes, et plus récentes en dehors de l’organisation.

Enfin, les employés peuvent chercher à utiliser des outils de travail plus flexibles, tels que les services de stockage en ligne ou les applications de collaboration, qui leur permettent de travailler de manière plus efficace et plus productive, notamment en combinant le BYOD (Bring your Own Device) et le télétravail.

Comment prévenir le Shadow IT ?

Les entreprises peuvent prendre plusieurs mesures pour prévenir le Shadow IT. Tout d’abord, elles doivent sensibiliser et former leurs employés aux risques associés à l’utilisation de technologies non autorisées. Les employés doivent comprendre les risques pour la sécurité et la confidentialité des données, ainsi que les implications en termes de conformité réglementaire et de coûts pour l’entreprise. Les politiques informatiques doivent également être claires et strictes, et régulièrement mises à jour pour tenir compte des nouvelles technologies et des risques émergents.

L’utilisation d’outils de gestion et de surveillance peut également aider à prévenir le Shadow IT. Les entreprises peuvent mettre en place des outils de gestion des applications qui permettent de suivre l’utilisation des applications par les employés et de détecter les applications non autorisées, comme des outils d’inventaire ou de gestion de flotte (appelés MDM, Mobile Device Management). Les outils de surveillance du réseau (antivirus nouvelle génération ou EDR) peuvent également être utilisés pour détecter les logiciels ou activités (connexion à des services cloud par exemple) suspects. Enfin, certains VPN vérifient la configuration de l’ordinateur avant de permettre sa connexion au réseau, un outil bien utile pour une entreprise dont la population télétravaille massivement.

Enfin, les entreprises peuvent envisager d’offrir des alternatives plus efficaces et plus flexibles à leurs employés. Les outils de travail fournis par l’entreprise doivent être adaptés aux besoins des employés et offrir des fonctionnalités modernes et performantes. Les solutions de stockage en ligne et de collaboration doivent être proposées en interne pour répondre aux besoins des employés, tout en offrant un niveau de sécurité et de confidentialité approprié. L’idéal est une excellente coopération entre la DSI et les métiers. Un « comité » peut être mis en place afin de faire remonter les besoins des métiers et des employés à la DSI, qui peut en échange proposer des solutions qu’elle juge suffisamment sécurisées et qui seront testées et acceptées par les requérants. Cela passe évidemment par des concessions et de la souplesse ; une DSI inflexible et n’écoutant pas les besoins métiers est la plus sûre des manières de multiplier le Shadow IT.

Conclusion

En fin de compte, prévenir le Shadow IT est un effort continu qui nécessite une collaboration entre les équipes informatiques et les employés de l’entreprise. En travaillant ensemble, les entreprises peuvent protéger leurs données, leurs finances et leur réputation contre les risques du Shadow IT et garantir leur succès à long terme.

Article rédigé par : Maguette Diaw, consultante chez Coralium