Qu’est-ce que le Shadow IT dans le domaine de la cybersécurité ?
En cybersécurité, le Shadow IT est une pratique bien connue de la plupart des employés et qui peut en tenter plus d’un. Elle consiste à utiliser un logiciel, un appareil et des ressources informatiques non autorisés dans le réseau d’une entreprise.
C’est un peu comme les passages secrets dans un château : quels que soient la complexité de ses défenses et le nombre de gardes postés à ses portes, il suffirait que quelqu’un ouvre un passage secret que personne ne connaît et laisse passer des ennemis sans que les gardes le sachent, pour rendre inutiles toutes les protections mises en place. Ce château est l’image de toute entreprise. Les gardes placés aux portes sont les membres du service informatique. Lorsque les employés ont recours à une informatique fantôme, ils contournent les protocoles de sécurité prévus pour assurer l’intégrité de la structure et offrent aux attaquants un point d’entrée qui échappe à toute surveillance.
Alors que notre génération est de plus en plus à l’aise avec la technologie, le problème du Shadow IT gagne du terrain au sein des entreprises. Selon les experts de Gartner , le taux d’employés créant, modifiant ou acquérant des technologies à l’insu des services informatiques atteindra 75 % en 2027 contre 41 % en 2022. Alors que de nombreux risques, en matière de cybersécurité, sont le fait d’attaquants extérieurs, le Shadow IT est une menace qui vient de l’intérieur et les employés qui introduisent ces outils le font dans une bonne intention. Mais malgré toute leur bonne volonté, c’est une pratique qui vulnérabilise les sociétés, les exposant à d’éventuelles violations de données.
Principales causes du Shadow IT
L’idée qui est à l’origine du Shadow IT est probablement celle de travailler mieux en déployant moins d’efforts. En effet, dans un souci d’efficacité, les employés téléchargent et installent des outils informatiques parallèles sans penser à mal. Ils trouvent que certains outils non approuvés fonctionnent mieux ou offrent plus de fonctionnalités que ceux validés par le service informatique et les utilisent pour se simplifier la tâche. Ainsi, en cherchant à booster leur productivité, ils ouvrent aussi aux hackers l’accès aux systèmes de l’entreprise.
La question qui se pose alors est de savoir pourquoi ces collaborateurs ne vont pas, conformément aux politiques de la société, demander à l’équipe informatique d’autoriser l’utilisation de telle ou telle application. En général, surtout dans les grandes entreprises, le processus de demande d’approbation pour une nouvelle application est tellement long et compliqué qu’il décourage les employés qui veulent obtenir une réponse rapidement. Ils vont donc à ce qui leur semble le plus simple et le plus efficace en contournant les procédures administratives.
Avec la généralisation du télétravail, les employés travaillent de plus en plus sur leurs ordinateurs personnels et il est très probable que ceux-ci contiennent des logiciels non autorisés. Si le service informatique ne sait pas que certains collaborateurs utilisent ces applications, il n’est pas en mesure d’assurer la protection des systèmes et des appareils de l’utilisateur et c’est toute l’entreprise qui est alors en danger. Dans le même ordre d’idée, les politiques de type BYOD, qui invitent le personnel à amener ses équipements informatiques privés au sein de l’environnement professionnel sont une aubaine pour les cybercriminels : dans la mesure où un ordinateur privé est plus facile à hacker, ce cas de figure leur offre une porte d’accès toute trouvée pour s’insinuer dans le réseau de la société qui, lui, est mieux protégé.
Types de Shadow IT
Le Shadow IT peut prendre des formes diverses et variées. Ce n’est pas forcément le téléchargement d’une application ou d’une extension inconnue : il peut s’agir d’un geste aussi innocent que la connexion de votre montre connectée à un smartphone qui est lui-même rattaché au réseau de l’entreprise. Voici quelques types de Shadow IT fréquents et des explications sur la façon dont ils permettent l’accès à un réseau.
Services sur le cloud
Les services sur le cloud sont le type de Shadow IT le plus fréquent. Ils peuvent se présenter sous la forme d’une application innocente qui permet de répartir les tâches dans une équipe ou de partager des fichiers d’un service à l’autre, mais les risques qu’ils impliquent sont loin d’être négligeables. Beaucoup d’employés vont ainsi se tourner vers des services parallèles comme Dropbox, Google Drive ou OneDrive pour stocker et partager des fichiers, ou encore vers des services de SaaS tels que Zoom, Shopify, Salesforce et Zendesk.
Matériel
Outre les ordinateurs personnels, portables ou de bureau, et les tablettes, le Shadow IT inclut également les périphériques IoT, les clés USB, les montres connectées, les serveurs, les smartphones et même les haut-parleurs de conférence. Lorsque vous amenez un périphérique personnel sur votre lieu de travail, il est susceptible de se connecter directement au réseau de l’entreprise. Or, ces appareils ne sont pas dotés d’une protection adaptée et le service informatique n’a aucun contrôle sur eux… Les attaquants disposent donc d’un accès facile pour pénétrer directement dans le réseau.
Logiciels parallèles
Certains services comme les gestionnaires de mots de passe, les clients VPN, les applications d’accès à distance telles que TeamViewer ou AnyDesk, et les applications de messagerie telles que WhatsApp et Telegram constituent une menace pour l’infrastructure de la société s’ils ne sont pas installés par des professionnels. Les outils collaboratifs comme Slack, Trello et Asana peuvent aussi offrir une porte d’accès aux attaquants s’ils n’ont pas fait l’objet d’une validation par le service informatique.
En matière de Shadow IT, l’équipe informatique ne bénéficie pas non plus de passe-droits. Ses membres sont certes moins susceptibles d’utiliser des outils pouvant nuire à l’entreprise, mais tout recours à des équipements informatiques parallèles de leur part peut avoir des conséquences plus graves encore que chez le reste du personnel, puisque ces professionnels bénéficient d’un accès privilégié à des ressources essentielles. Le Shadow IT ne se limite pas, cependant, aux éventuels logiciels libres développés par des tiers. Les informaticiens de métier disposent de connaissances suffisantes pour développer eux-mêmes de nouvelles applications. Bien que cette compétence soit très appréciable, elle peut aussi comporter des dangers, si le logiciel développé en interne n’est pas approuvé par l’équipe de sécurité.
Protocole OAuth
Le Shadow IT prend souvent la forme d’autorisations OAuth accordées par les utilisateurs à des applications tierces. OAuth est un protocole très pratique qui permet à un utilisateur d’autoriser une application à accéder à ses données sans partager le mot de passe de son compte. Le risque est cependant qu’en cliquant sur tous les messages pop-up qui vous invitent à vous connecter ou à autoriser l’accès à d’autres applications, vous ouvriez la porte à des programmes qui vont collecter et enregistrer vos données. Vous pouvez ainsi, sans être vraiment conscient de toute la portée de votre geste, exposer les données sensibles de votre entreprise ou contrevenir à des réglementations en matière de confidentialité ou de protection des données comme le RGPD.
Si les protocoles OAuth et les autres formes de Shadow IT comportent de réels dangers pour votre entreprise, il faut pourtant considérer qu’à l’origine, les employés cherchent de nouveaux outils pour être plus efficaces, autonomes et résoudre des problèmes qu’ils rencontrent dans leur travail. Certaines formes de Shadow IT peuvent aussi présenter des avantages pour toute l’entreprise en améliorant la productivité dans divers domaines. Cependant, si ces initiatives ne sont pas encadrées par des professionnels, les risques peuvent surpasser les bénéfices.
Quels sont les risques du Shadow IT ?
Le Shadow IT n’est ni plus ni moins qu’une invitation au piratage. Vous aurez beau avoir la protection cyber la plus solide et les règles les plus strictes en la matière, les attaquants profiteront de la moindre faille pour s’infiltrer dans le réseau de votre société. Cela fait, les conséquences peuvent être très graves. Voici quelques-uns des risques qui peuvent se cacher derrière le Shadow IT :
- Manque de contrôle : si le service informatique ignore que le personnel utilise des logiciels parallèles, ils ne peuvent pas renforcer les politiques de sécurité en conséquence, assurer la surveillance ou identifier les éventuelles vulnérabilités. Les données et le système de l’entreprise sont alors en danger.
- Perte de données : le logiciel non autorisé n’est pas suffisamment protégé contre les attaques. Il sera d’autant plus facile pour d’éventuels attaquants d’accéder à des données sensibles et de provoquer des pertes ou des fuites de données. En outre, si les données gérées par les logiciels ou les systèmes parallèles venaient à être perdues, la société ne disposerait d’aucun backup pour les restaurer.
- Obsolescence des informations : les actifs de Shadow IT échappent au contrôle centralisé. Il se peut que vous vous trouviez, de ce fait, amené à travailler sur des données qui ne sont pas mises à jour et ne comportent pas les corrections apportées par l’entreprise.
- Problèmes de compatibilité : le Shadow IT peut être à l’origine de problèmes de compatibilité avec les systèmes et l’infrastructure informatique de l’entreprise. Comme ces outils ne sont pas intégrés dans le reste du système, ils peuvent causer des défaillances au niveau des contrôles de sécurité et empêcher une prise en charge des vulnérabilités ou des incidents de sécurité.
- Problèmes de conformité : le recours à du matériel ou à des logiciels non autorisé(s) peut constituer une violation involontaire des politiques de protection des données et de confidentialité, du RGPD ou d’autres exigences légales, ce qui peut entraîner des sanctions légales et nuire à l’image de l’entreprise.
- Surface d’attaque accrue : chaque matériel ou logiciel de Shadow IT constitue un point d’entrée potentiel pour les cybercriminels et augmente de fait les risques de cyberattaque.
- Affectation inefficace des ressources : le recours au Shadow IT entrave le processus de partage d’informations entre les services et entraîne des pertes de productivité.
- Coûts financiers : les logiciels ou appareils parallèles utilisés par les employés peuvent faire doublon avec des solutions déjà mises en place par la société (parce qu’ils utilisent les mêmes outils ou des outils similaires) ; pour l’entreprise, cette situation multiplie les coûts par deux. Sans compter que, en cas d’attaque liée au Shadow IT, la société mettra plus de temps pour résoudre la crise et déploiera davantage de ressources.
Comment l’avènement de l’IA alimente le problème du Shadow IT
Avec la popularité croissante de l’IA, le problème du Shadow IT est encore plus préoccupant. Pour trouver des solutions plus créatives et gagner du temps, les employés et les cadres supérieurs expérimentent différents outils d’intelligence artificielle. Si ces tentatives échappent au contrôle du service informatique, elles présentent un risque pour l’ensemble du réseau et des données de l’entreprise.
L’IA est une nouveauté pour tout le monde, même pour les informaticiens, de sorte qu’il existe très peu de protocoles réglementant son utilisation. Or, elle se développe si rapidement que les administrateurs informatiques ont du mal à suivre le rythme. De nombreuses entreprises se trouvent donc exposées à des outils d’IA peu fiables, voire suspects. Beaucoup d’entre elles en sont venues à interdire tout recours à l’IA ce qui a souvent l’effet inverse à celui recherché : les employés se tournent alors vers d’autres options, encore plus risquées, pour intégrer l’IA à leur travail. D’autant qu’en interdisant l’IA, les sociétés se privent aussi de tous les avantages qu’elle peut leur procurer.
Pour trouver le juste équilibre, il faut pouvoir offrir aux employés une alternative sécurisée qui leur permette d’utiliser l’IA afin de gagner en productivité. Il existe, pour ce faire, plusieurs options que nous aborderons ci-dessous.
Comment prévenir le Shadow IT
La plupart du temps, le recours au Shadow IT ne part pas d’une mauvaise intention et vise simplement à gagner en efficacité. Bien que cela constitue un risque pour l’entreprise, jeter le blâme sur des employés qui cherchent des solutions pour mieux faire leur travail n’est pas une bonne manière de résoudre le problème : cette réaction ne peut que faire stagner l’entreprise et susciter, au sein du personnel, de la résistance au changement et à l’amélioration. Il faut au contraire encourager celles et ceux qui font preuve de curiosité et expérimentent de nouvelles méthodes pour accroître leur productivité… mais en leur conseillant de se laisser guider par l’équipe informatique.
Voici quelques idées pour limiter les risques de Shadow IT au sein de votre entreprise, tout en préservant l’esprit d’initiative.
- Comprendre les besoins des utilisateurs : en prenant le temps de bien comprendre les besoins des employés, les équipes informatiques pourront proposer de meilleures solutions et limiter les envies d’essayer des logiciels parallèles. Pourquoi les employés se tournent-ils vers des solutions non autorisées ? Quelles sont les lacunes des outils actuels ?
- Mettre à jour les politiques informatiques : pour encourager les initiatives tout en limitant les risques de Shadow IT, l’idéal est de mettre en place des politiques de sécurité indulgentes et tolérantes, tout en sensibilisant le personnel. Les entreprises doivent définir des politiques claires et indiquer aux employés les procédures pour demander l’accès à de nouvelles technologies et les inclure dans leur quotidien professionnel sans prendre le risque que cela devienne du Shadow IT.
- Créez un type de projet « fast track » : il est recommandé de prévoir une procédure alternative simplifiée, en complément des politiques informatiques habituelles pour l’inclusion de nouveaux logiciels et appareils. Les employés bénéficieront ainsi d’instructions appropriées pour inclure différents outils dans leur flux de travail sans se mettre en danger.
- Utilisez un CASB : un Cloud Access Security Broker (CASB) est un outil sur le cloud qui se trouve entre les utilisateurs et leur service cloud pour appliquer des politiques de sécurité lorsqu’ils accèdent aux ressources basées sur le cloud. Il peut aussi mettre en œuvre des politiques de protection des données, surveiller les utilisateurs et identifier d’éventuelles activités inhabituelles.
- Passez les rapports de frais au peigne fin : les délégués à la cybersécurité peuvent superviser les activités au sein de la société et passer au peigne fin, avec le concours du service financier, tous les rapports de frais ou autres documents similaires afin d’identifier d’éventuelles dépenses évoquant la présence de Shadow IT. Cette méthode permet notamment de découvrir des demandes de remboursement d’outils technologiques qui ne sont pas passées par la procédure officielle parce qu’elles concernaient des sommes peu importantes.
- Sensibilisez les employés : les employés n’ont souvent pas conscience des risques liés au Shadow IT et ont besoin de suivre une formation spécialisée qui les sensibilise à l’importance de se conformer aux pratiques approuvées en matière de technologie.
Comment SoSafe peut aider les sociétés à gérer le risque de Shadow IT
Nous vivons à l’ère du numérique et il est essentiel que les sociétés prennent conscience du Shadow IT et de son impact sur leur fonctionnement au quotidien. Il leur faut trouver des solutions pour encourager la créativité et les expérimentations tout en protégeant leurs ressources. Aidez vos employés à faire des choix qui préservent leur sécurité en développant des politiques claires en matière de Shadow IT et en veillant à ce que vos employés communiquent librement avec l’équipe de cybersécurité. Dans le même temps, donnez-leur accès à une formation adaptée et régulière.
La plateforme de sensibilisation de SoSafe propose un module de formation en ligne entièrement dédié au Shadow IT qui permettra à vos équipes d’acquérir les connaissances et les outils nécessaires pour protéger votre entreprise de tout accès non autorisé. Au fil d’un parcours interactif et gamifié, vos collaborateurs apprendront à détecter les cas d’utilisation non autorisée de logiciels, appareils et applications, découvriront comment prévenir ces situations et prendront conscience des éventuelles conséquences. Ils sauront ainsi, à l’issue de cette formation, où trouver des outils fiables et comment les utiliser sans compromettre les ressources de la société.
Grâce à des méthodes de sensibilisation adaptées, vous pourrez sécuriser vos données, assurer une approche homogène dans tous les services et éviter tout problème de compatibilité. Vos employés auront conscience de leur responsabilité et n’auront pas peur d’explorer les nouveautés technologiques disponibles en ligne, parce qu’ils sauront le faire dans le respect de toutes les normes de sécurité en vigueur dans votre entreprise. Votre meilleure ligne de défense, c’est votre équipe.