Moteur d’innovation pour les collaborateurs, source de vulnérabilités pour les DSI, le Shadow IT n’en finit plus de se diviser au sein des entreprises. Cette pratique s’accompagne de risques réels pour le SI des entreprises et la multiplication des services cloud facilement accessibles n’est pas pour endiguer ce phénomène, bien au contraire. Que faire face au Shadow IT, dans ce cas ?
Aux racines du Shadow IT
Shadow IT est un terme désignant tous les systèmes d’information, de communication ou les logiciels exploités au sein d’une organisation sans l’approbation de la DSI, d’où son autre appellation, plus rare, Rogue IT. Le Shadow IT peut donc désigner un document Excel exploitant des macros, des solutions cloud de type Dropbox, Google Drive ou WeTransfer, des recours à son ordinateur personnel pour effectuer des tâches de travail, et la liste est encore longue. L’essor des solutions cloud et la pratique de plus en plus présente du BYOD (Bring Your Own Device) sont des raisons qui ont fait croître la pratique du Shadow IT dans les entreprises.
Le Shadow IT : un dispositif risqué
Et oui ! Le Shadow IT expose les entreprises à plus de risques car la multiplication des canaux de communications et des dispositifs utilisés fait qu’il est plus difficile de sécuriser le tout, et c’est d’autant plus compliqué quand on ne connait pas l’existence du dispositif mis en œuvre. Les risques sont nombreux avec un impact plus ou moins sévère, parmi lesquels on peut citer :
La fuite de données : En hébergeant des données sur des services cloud publics, on s’expose forcément à un plus grand risque de fuite de données, sachant que ces plateformes sont souvent prises pour cible par les hackers. Dropbox, notamment, s’est fait dérober les identifiants de 68 millions de comptes en 2016.
La perte de contrôle sur la gestion des attaques : Une bonne gestion des attaques nécessite une bonne connaissance de son réseau et de ses vulnérabilités. Le recours au Shadow IT fait que l’entreprise perd le contrôle de l’infrastructure employée. En effet, rien ne dit qu’un laptop personnel sera efficacement protégé contre des malwares ou si les services Cloud utilisés sont suffisamment protégés contre les attaques externes.
La malveillance interne : Un ancien employé en quête de vengeance peut télécharger des données confidentielles sur leur espace cloud personnel et continuer à y avoir accès, même après l’interruption de leur contrat de travail, et l’entreprise n’a, bien évidemment, aucun moyen d’effacer ces données.
Les problématiques de conformité : Utiliser des sources détournées pour générer des données ou les héberger sur un cloud public peut poser un problème d’un point de vue de conformité légale et aux standards en vigueur. Au moment où le RGPD est au cœur de toutes les attentions, il est très important de savoir où se trouvent les données et quels sont les traitements qui les exploitent.
Que faire face au fantôme du Shadow IT ?
Malgré les risques que nous venons d’évoquer, le Shadow IT connait un beau succès, et pour cause ; les métiers ne pensent pas avoir les bons outils à leur disposition. Par ailleurs, il leur parait fastidieux de suivre des procédures qui peuvent, dans certains cas, être particulièrement rigides. Le recours à des moyens « détournés » est donc une manière d’augmenter leur efficacité au travail.
C’est là que réside tout le paradoxe du Shadow IT. Difficile à combattre, véritable concentré de risques mais un atout lorsqu’on l’utilise à bon escient.
On aurait tendance à dire que le mieux serait de le bannir, étant donné que le risque 0 est une douce utopie, la meilleure alternative serait d’encadrer cette pratique, les mesures suivantes pouvant être un premier pas dans cette direction :
Contrôler son réseau : une première mesure serait d’analyser les logs des firewalls et d’identifier les flux sortant les plus critiques. Ainsi, les échanges d’information sont filtrés en fonction de leur criticité
Gérer les accès : La mise en place de services de gestion des accès et des droits pour les données et fichiers peut réduire le recours abusif aux services de cloud publics. De plus en plus de services offrent la possibilité de gérer les droits d’accès aux données en se basant sur l’Active Directory. Ces services permettent de gérer finement les droits d’accès, mais aussi de chiffrer les données, voire d’empêcher leur copie vers des supports externes
Ecouter : Si les métiers ont autant recours au Shadow IT c’est qu’il y a anguille sous roche. Il est fort possible que les besoins des collaborateurs soient éloignés de ce que propose la DSI. Une manière de faire serait de se rapprocher d’eux afin d’avoir une meilleure compréhension de leur besoin et donc une meilleure appréhension des outils qui leur sont nécessaires.
Sensibiliser : Il est important que les collaborateurs soient conscients des risques qu’engendre cette pratique du Shadow IT. Il n’est pas réaliste d’avoir des chargés de sécurité surveillant les utilisateurs à tout instant. Il est, de fait, important de sensibiliser les métiers aux bonnes pratiques et leur offrir les moyens de discerner les utilisations risquées du Shadow IT de celles qui ne le sont moins.
Les CASB (Cloud Access Security Broker) : Un CASB est un logiciel qui s’insère entre l’infrastructure de l’entreprise et l’infrastructure Cloud. Il permet d’appliquer les politiques de sécurité en vigueur au sein de son organisation aux services Cloud. Tous les flux transitant par un CASB doivent donc se conformer aux règles et politiques de sécurité en vigueur. Par conséquent, il s’agit d’un moyen de s’assurer que les données de l’entreprise sont chiffrées de bout en bout. Ainsi, il s’agit d’une manière de s’assurer que les données sur les applications SaaS sont bien protégées conformément à votre politique de sécurité
Véritable cauchemar à son émergence, le Shadow IT est mieux encadré aujourd’hui du fait de la multiplication des outils permettant de contrôler ses données plus efficacement. Il reste, cependant, nécessaire de faire preuve de vigilance et de bien connaître les risques de cette pratique pour que le Shadow IT soit un rayon de soleil plutôt qu’une ombre menaçante.
Mehdi