Même si le shadow IT (ou l'utilisation de logiciels, de systèmes ou d'appareils sans l'approbation explicite de l'entreprise) peut faciliter le travail de certains employés, cette pratique présente également des inconvénients importants que les organisations doivent résoudre.
Dans cet article, nous expliquerons ce qu'est le shadow IT, pourquoi il est important en termes de violations et de fuites de données, et toutes les mesures que votre équipe informatique peut prendre pour minimiser ses effets, y compris en utilisant des outils de détection et de surveillance du shadow IT . Enfin, le shadow IT étant quelque peu inévitable), nous évaluerons la possibilité d’exploiter son potentiel plutôt que de l’éliminer complètement.
Le Shadow IT se produit lorsque des employés ou des services adoptent ou déploient des technologies pour répondre à leurs besoins, mais n’en informent pas l’équipe informatique.
Voici quelques exemples courants de shadow IT :
Par exemple, pensez à accéder à un compte Dropbox personnel, à utiliser Skype (lorsque l'entreprise dispose de WebEx) ou à copier des fichiers depuis ou vers une clé USB.
Ce sont tous des cas d’utilisation non autorisée d’outils numériques qui pourraient potentiellement mettre votre organisation en danger s’ils venaient à être compromis.
En raison de l’évolution rapide des technologies cloud et du Software-as-a-Service (SaaS), le shadow IT est devenu plus répandu et plus complexe ces dernières années.
Dans de nombreux cas, les unités commerciales ont également commencé à adopter de nouvelles applications de manière indépendante pour conduire la transformation numérique ; par exemple, les programmes de partage de fichiers, les outils de gestion de projet et les services basés sur le cloud comme ceux mentionnés ci-dessus.
Le résultat? Entre 30 % et 40 % des dépenses informatiques des grandes entreprises concernent le shadow IT, les entreprises gaspillant plus de 135 000 $ par an en licences et outils SaaS inutiles. De plus, un rapport de 2023 a montré que 65 % de toutes les applications SaaS sont des applications non autorisées (ou des applications que le service informatique n'a pas approuvées).
Comme expliqué, le Shadow IT fait référence à l'utilisation de systèmes, appareils, logiciels, applications et services informatiques sans l'approbation explicite du service informatique. Il a été largement adopté dans de nombreuses organisations en raison de sa flexibilité et de sa commodité. Cependant, même si elle présente certains risques, elle peut également présenter des avantages lorsqu’elle est gérée de manière appropriée.
Examinons quelques exemples pour comprendre comment le Shadow IT est utilisé :
Services cloud : avec l'avènement du cloud computing, les employés utilisent de plus en plus des services cloud tiers tels que Google Drive, Dropbox ou OneDrive pour le partage de fichiers et la collaboration. Ces outils permettent d'accéder facilement aux données depuis n'importe quel endroit et facilitent la collaboration, mais ils sont souvent utilisés sans la supervision du service informatique.
Outils de communication : des outils comme Slack, WhatsApp ou Microsoft Teams sont souvent utilisés par les employés pour une communication rapide et informelle. Ces plates-formes peuvent améliorer la productivité en permettant une communication instantanée. Cependant, ils peuvent également présenter un risque de sécurité si des informations sensibles sont partagées sans protocoles de cryptage ou de sécurité appropriés.
Appareils personnels : les employés utilisent souvent leurs appareils personnels pour le travail, appelés Bring Your Own Device (BYOD). Bien que cela puisse améliorer la flexibilité et l’équilibre entre vie professionnelle et vie privée, cela peut également créer des vulnérabilités si ces appareils sont perdus, volés ou infectés par des logiciels malveillants.
Logiciels non autorisés : les employés peuvent télécharger et installer des logiciels que le service informatique n'approuve pas. Cela peut aller des outils de gestion de projet aux logiciels de conception graphique. Bien que ces outils puissent améliorer la productivité, ils peuvent également introduire des problèmes de compatibilité ou des vulnérabilités de sécurité.
Matériel : Au-delà des logiciels, le Shadow IT peut également s'étendre au matériel comme les routeurs personnels, les périphériques de stockage ou encore les serveurs que les employés peuvent installer pour améliorer leur espace de travail. De tels appareils peuvent présenter de sérieux risques de sécurité s'ils ne sont pas correctement configurés ou entretenus.
Le Shadow IT crée des risques de sécurité invisibles et sérieux pour les organisations, car lorsqu'un employé utilise des outils, des applications, des services cloud ou des appareils non autorisés, cela augmente le risque de failles de sécurité (en fait, une étude d'IBM a montré que 83 % des personnes interrogées ont souffert au moins d'un an). au moins une violation de données d’entreprise où des données sensibles ont été compromises).
Beaucoup de ces outils manquent également de mesures de sécurité robustes, telles qu'un cryptage fort ou le recours à des informations d'identification faibles ou par défaut.
Si votre organisation doit respecter des réglementations et des lois spécifiques sur la protection des données, telles que le CCPA ou le RGPD, le shadow IT peut également entraîner des violations de conformité, en particulier si votre service informatique ne peut pas voir ou contrôler les données stockées ou partagées. Nous savons par exemple qu’un tiers de toutes les cyberattaques réussies proviennent de données stockées dans le shadow IT.
Enfin, le shadow IT est souvent difficile à intégrer à l’infrastructure existante, ce qui peut facilement entraîner des problèmes de compatibilité, des silos de données, des systèmes fragmentés, une utilisation inefficace des ressources, des coûts incontrôlés et une redondance.
Voici quelques statistiques récentes et pertinentes sur le Shadow IT :
Ces statistiques devraient fournir une compréhension approfondie de la prévalence, des risques et des défis associés au Shadow IT.
Le Shadow IT est un concept à multiples facettes et peut être décomposé en différents éléments en fonction du type de technologie utilisé, de la manière dont elle est utilisée et de la raison de son utilisation. Voici quelques-uns des éléments clés du Shadow IT :
Chacun de ces éléments pose des défis et des risques différents pour une organisation. Cependant, ils représentent également des opportunités accrues de productivité, de collaboration et d’innovation. Comprendre ces éléments peut aider les organisations à gérer efficacement le Shadow IT, en exploitant ses avantages tout en atténuant les risques potentiels.
La meilleure façon d’éviter ces problèmes est d’identifier si votre organisation utilise du shadow IT. Les trois meilleures pratiques que vous devriez prendre en compte pour ce faire sont les politiques de gouvernance, l’engagement du service informatique et la formation des employés. Examinons rapidement chacun d'entre eux plus en détail.
Le directeur informatique (CIO) et les équipes informatiques jouent un rôle crucial dans la gestion du shadow IT. D’une part, le DSI peut assurer un leadership stratégique, en définissant des politiques, des procédures et des cadres. Ils peuvent travailler aux côtés de l'équipe informatique pour garantir que les ressources technologiques sont utilisées de manière contrôlée et conforme.
Le coût du Shadow IT peut être assez important, et il va au-delà du seul aspect financier. Malgré des années d’initiatives de modernisation, les RSSI sont toujours aux prises avec ce problème de la vieille école. Les logiciels, services et équipements non vérifiés peuvent potentiellement introduire une multitude de vulnérabilités, de points d'entrée pour les acteurs malveillants et les logiciels malveillants, posant ainsi un risque de sécurité considérable.
Considérez les chiffres de Gartner, qui révèlent que 41 % des employés ont acquis, modifié ou créé des technologies hors de la visibilité de l'informatique en 2022, et ce chiffre devrait grimper à 75 % d'ici 2027. Parallèlement, l'enquête parallèle de Capterra sur l'informatique et la gestion de projet de 2023 a révélé que 57 % des petites et moyennes entreprises ont déployé des efforts de shadow IT à fort impact en dehors de la compétence de leur service informatique.
Tout en offrant des avantages en matière de flexibilité et de commodité pour l'utilisateur, le shadow IT entraîne également des coûts importants dont les organisations doivent être conscientes. Ces coûts peuvent être globalement classés en coûts directs et indirects.
Même si les coûts du Shadow IT peuvent être importants, il est important de garder à l’esprit que le Shadow IT émerge souvent du besoin de meilleurs outils ou de processus plus efficaces. Les organisations devraient se concentrer sur la gestion efficace du Shadow IT plutôt que d’essayer de l’éliminer .
Nous avons établi que le shadow IT pose des défis vitaux en matière de sécurité et de conformité. Il est donc crucial de mettre en œuvre des mesures efficaces.
Voici quelques conseils pratiques pour vous protéger contre les risques du Shadow IT :
Même si le shadow IT peut ouvrir la porte à de nombreux risques de sécurité, il est important de garder à l’esprit qu’il peut potentiellement bénéficier à votre organisation. La clé est d’exploiter son pouvoir plutôt que de l’éliminer complètement.
N’oubliez pas que le shadow IT peut permettre aux employés d’adopter et d’utiliser rapidement des outils et des technologies adaptés à leurs besoins spécifiques. Ils peuvent, par exemple, expérimenter des outils innovants qui ne figuraient pas initialement dans la feuille de route de votre organisation.
Différents départements auront des exigences uniques auxquelles les systèmes informatiques centralisés ne répondront peut-être pas entièrement. Le Shadow IT peut permettre à ces services de trouver et de mettre en œuvre des services spécialisés. Alors, comment pouvez-vous surveiller ces applications pour vous assurer de ne pas sacrifier la sécurité ?
Une alternative à la restriction de leur utilisation consiste à mettre en œuvre une solution Shadow IT pour détecter et gérer les applications et leurs risques associés.
Uniqkey peut faire cela et bien plus encore.
La clé pour exploiter la puissance du Shadow IT est de la mettre en lumière. Dans le cadre de notre solution de gestion des mots de passe professionnels, Uniqkey offre un aperçu détaillé de tous les services de l'entreprise, permettant à votre organisation de :
La mise en œuvre d'un outil informatique fantôme comme Uniqkey peut vous aider à vous adapter et à répondre aux exigences technologiques changeantes, en vous assurant de pouvoir évaluer toutes les applications émergentes et leur compatibilité avec l'infrastructure existante.
Également publié ici .