paint-brush
Le Shadow IT expliqué : un guide complet [avec statistiques]par@uniqkey
546 lectures
546 lectures

Le Shadow IT expliqué : un guide complet [avec statistiques]

par Uniqkey10m2023/08/25
Read on Terminal Reader

Trop long; Pour lire

Le « Shadow IT » fait référence aux systèmes et solutions informatiques construits et utilisés au sein des organisations sans l'approbation explicite de l'organisation. Elle est souvent motivée par des services ou des individus qui cherchent à améliorer leur efficacité sans passer par les canaux formels. Même si cela peut conduire à l’innovation et à l’agilité, cela pose également des risques importants en matière de sécurité et de conformité. Ce guide approfondit le concept, étayé par des statistiques pertinentes, soulignant à la fois ses avantages et ses inconvénients potentiels.
featured image - Le Shadow IT expliqué : un guide complet [avec statistiques]
Uniqkey HackerNoon profile picture
0-item


Même si le shadow IT (ou l'utilisation de logiciels, de systèmes ou d'appareils sans l'approbation explicite de l'entreprise) peut faciliter le travail de certains employés, cette pratique présente également des inconvénients importants que les organisations doivent résoudre.


Dans cet article, nous expliquerons ce qu'est le shadow IT, pourquoi il est important en termes de violations et de fuites de données, et toutes les mesures que votre équipe informatique peut prendre pour minimiser ses effets, y compris en utilisant des outils de détection et de surveillance du shadow IT . Enfin, le shadow IT étant quelque peu inévitable), nous évaluerons la possibilité d’exploiter son potentiel plutôt que de l’éliminer complètement.

Qu’est-ce que le Shadow IT ?

Le Shadow IT se produit lorsque des employés ou des services adoptent ou déploient des technologies pour répondre à leurs besoins, mais n’en informent pas l’équipe informatique.


Voici quelques exemples courants de shadow IT :


  • applications de programme
  • services cloud (comme Dropbox)
  • outils de communication (comme WhatsApp ou Trello)
  • appareils personnels pour les tâches liées au travail.


Par exemple, pensez à accéder à un compte Dropbox personnel, à utiliser Skype (lorsque l'entreprise dispose de WebEx) ou à copier des fichiers depuis ou vers une clé USB.

Ce sont tous des cas d’utilisation non autorisée d’outils numériques qui pourraient potentiellement mettre votre organisation en danger s’ils venaient à être compromis.

Pourquoi le Shadow IT est-il présent dans les entreprises ?

En raison de l’évolution rapide des technologies cloud et du Software-as-a-Service (SaaS), le shadow IT est devenu plus répandu et plus complexe ces dernières années.

Dans de nombreux cas, les unités commerciales ont également commencé à adopter de nouvelles applications de manière indépendante pour conduire la transformation numérique ; par exemple, les programmes de partage de fichiers, les outils de gestion de projet et les services basés sur le cloud comme ceux mentionnés ci-dessus.


Le résultat? Entre 30 % et 40 % des dépenses informatiques des grandes entreprises concernent le shadow IT, les entreprises gaspillant plus de 135 000 $ par an en licences et outils SaaS inutiles. De plus, un rapport de 2023 a montré que 65 % de toutes les applications SaaS sont des applications non autorisées (ou des applications que le service informatique n'a pas approuvées).

Exemples de Shadow IT

Comme expliqué, le Shadow IT fait référence à l'utilisation de systèmes, appareils, logiciels, applications et services informatiques sans l'approbation explicite du service informatique. Il a été largement adopté dans de nombreuses organisations en raison de sa flexibilité et de sa commodité. Cependant, même si elle présente certains risques, elle peut également présenter des avantages lorsqu’elle est gérée de manière appropriée.


Examinons quelques exemples pour comprendre comment le Shadow IT est utilisé :


Services cloud : avec l'avènement du cloud computing, les employés utilisent de plus en plus des services cloud tiers tels que Google Drive, Dropbox ou OneDrive pour le partage de fichiers et la collaboration. Ces outils permettent d'accéder facilement aux données depuis n'importe quel endroit et facilitent la collaboration, mais ils sont souvent utilisés sans la supervision du service informatique.


Outils de communication : des outils comme Slack, WhatsApp ou Microsoft Teams sont souvent utilisés par les employés pour une communication rapide et informelle. Ces plates-formes peuvent améliorer la productivité en permettant une communication instantanée. Cependant, ils peuvent également présenter un risque de sécurité si des informations sensibles sont partagées sans protocoles de cryptage ou de sécurité appropriés.


Appareils personnels : les employés utilisent souvent leurs appareils personnels pour le travail, appelés Bring Your Own Device (BYOD). Bien que cela puisse améliorer la flexibilité et l’équilibre entre vie professionnelle et vie privée, cela peut également créer des vulnérabilités si ces appareils sont perdus, volés ou infectés par des logiciels malveillants.


Logiciels non autorisés : les employés peuvent télécharger et installer des logiciels que le service informatique n'approuve pas. Cela peut aller des outils de gestion de projet aux logiciels de conception graphique. Bien que ces outils puissent améliorer la productivité, ils peuvent également introduire des problèmes de compatibilité ou des vulnérabilités de sécurité.


Matériel : Au-delà des logiciels, le Shadow IT peut également s'étendre au matériel comme les routeurs personnels, les périphériques de stockage ou encore les serveurs que les employés peuvent installer pour améliorer leur espace de travail. De tels appareils peuvent présenter de sérieux risques de sécurité s'ils ne sont pas correctement configurés ou entretenus.

Risques et défis en matière de sécurité informatique fantôme

Le Shadow IT crée des risques de sécurité invisibles et sérieux pour les organisations, car lorsqu'un employé utilise des outils, des applications, des services cloud ou des appareils non autorisés, cela augmente le risque de failles de sécurité (en fait, une étude d'IBM a montré que 83 % des personnes interrogées ont souffert au moins d'un an). au moins une violation de données d’entreprise où des données sensibles ont été compromises).


Beaucoup de ces outils manquent également de mesures de sécurité robustes, telles qu'un cryptage fort ou le recours à des informations d'identification faibles ou par défaut.


Si votre organisation doit respecter des réglementations et des lois spécifiques sur la protection des données, telles que le CCPA ou le RGPD, le shadow IT peut également entraîner des violations de conformité, en particulier si votre service informatique ne peut pas voir ou contrôler les données stockées ou partagées. Nous savons par exemple qu’un tiers de toutes les cyberattaques réussies proviennent de données stockées dans le shadow IT.


Enfin, le shadow IT est souvent difficile à intégrer à l’infrastructure existante, ce qui peut facilement entraîner des problèmes de compatibilité, des silos de données, des systèmes fragmentés, une utilisation inefficace des ressources, des coûts incontrôlés et une redondance.

Dernières statistiques du Shadow IT

Voici quelques statistiques récentes et pertinentes sur le Shadow IT :


Statistiques du Shadow IT

  • 80 % des travailleurs admettent utiliser des applications SaaS sans obtenir l'approbation du service informatique.
  • Les utilisations du cloud Shadow IT sont estimées à 10 fois la taille de l’utilisation du cloud connue.
  • L’entreprise moyenne dispose de 975 services cloud inconnus .
  • La plupart des entreprises disposent de plus de 108 services cloud connus .
  • 37 % des responsables informatiques déclarent que les politiques de sécurité constituent le plus grand défi pour une expérience numérique efficace pour les employés.
  • Le Shadow IT représente 30 à 40 % des dépenses informatiques des grandes entreprises.
  • 82 % des responsables informatiques déclarent que les utilisateurs réagissent lorsque la direction tente de dicter les outils à utiliser.
  • 67 % des travailleurs ont introduit leurs propres outils dans leur organisation.
  • 1 employé sur 3 dans les entreprises Fortune 1000 utilise des services cloud que le service informatique n'a pas approuvés.
  • 53 % des équipes refusent d'utiliser uniquement des outils approuvés par l'informatique.


Source : Plus de 124 statistiques sur la cybersécurité que les responsables informatiques doivent connaître en 2023


Ces statistiques devraient fournir une compréhension approfondie de la prévalence, des risques et des défis associés au Shadow IT.

Différents éléments du Shadow IT

Le Shadow IT est un concept à multiples facettes et peut être décomposé en différents éléments en fonction du type de technologie utilisé, de la manière dont elle est utilisée et de la raison de son utilisation. Voici quelques-uns des éléments clés du Shadow IT :


  1. Software as a Service (SaaS) : les applications SaaS sont une forme courante de Shadow IT. Ils sont faciles d’accès et souvent gratuits ou disponibles à faible coût. Les exemples incluent des applications de partage de fichiers comme Dropbox, des outils de productivité comme Google Docs ou des plateformes de communication comme Slack. Les employés peuvent utiliser ces outils pour leur commodité et leur facilité d'utilisation, souvent à l'insu ou sans l'approbation du service informatique.
  2. Matériel : cela inclut tous les appareils physiques utilisés sans le consentement du service informatique, tels que les ordinateurs portables personnels, les smartphones ou les tablettes utilisés à des fins professionnelles. Cela peut également inclure des routeurs, des serveurs ou des périphériques de stockage installés par les employés pour améliorer leur espace de travail.
  3. Plateformes en tant que service (PaaS) : ce sont des plates-formes qui permettent aux utilisateurs de développer, d'exécuter et de gérer des applications sans avoir à gérer l'infrastructure sous-jacente. Les exemples incluent Microsoft Azure, Google Cloud et AWS. Ils peuvent être utilisés pour créer des applications personnalisées répondant à des besoins métier spécifiques, en contournant souvent les protocoles informatiques.
  4. Infrastructure as a Service (IaaS) : Cela implique l'utilisation de ressources informatiques virtualisées sur Internet, telles que des machines virtuelles, du stockage ou des réseaux. Les exemples incluent AWS, Google Cloud et Microsoft Azure. Bien que ces services offrent flexibilité et évolutivité, leur utilisation peut également entraîner des failles de sécurité s'ils ne sont pas correctement gérés.
  5. Bring Your Own Device (BYOD) : Il s’agit de la pratique des salariés utilisant leurs appareils personnels à des fins professionnelles. Bien que cela puisse accroître la commodité et la productivité, cela peut également présenter des risques de sécurité si ces appareils sont perdus, volés ou infectés par des logiciels malveillants.
  6. E-mails et comptes personnels : L'utilisation de comptes de messagerie personnels pour les communications liées au travail est une autre forme de Shadow IT. Bien que cela puisse paraître inoffensif, cette pratique peut entraîner des fuites de données, rendant difficile pour l'organisation le contrôle du flux d'informations.
  7. Fournisseurs informatiques non agréés : cela fait référence au recours à des prestataires de services informatiques ou à des consultants sans l'approbation ou la connaissance explicite du service informatique. Ces fournisseurs peuvent ne pas suivre les politiques informatiques de l'entreprise, ce qui entraîne des risques potentiels de sécurité et des problèmes de conformité.


Chacun de ces éléments pose des défis et des risques différents pour une organisation. Cependant, ils représentent également des opportunités accrues de productivité, de collaboration et d’innovation. Comprendre ces éléments peut aider les organisations à gérer efficacement le Shadow IT, en exploitant ses avantages tout en atténuant les risques potentiels.

Comment découvrir et gérer le Shadow IT

La meilleure façon d’éviter ces problèmes est d’identifier si votre organisation utilise du shadow IT. Les trois meilleures pratiques que vous devriez prendre en compte pour ce faire sont les politiques de gouvernance, l’engagement du service informatique et la formation des employés. Examinons rapidement chacun d'entre eux plus en détail.


  • Politiques de gouvernance : établissez toujours des politiques et des lignes directrices sur l'utilisation des ressources technologiques au sein de votre entreprise – et assurez-vous de communiquer clairement leurs conséquences.
  • Engagement du service informatique : essayez d'encourager une communication et une collaboration ouvertes entre les employés et le service informatique. Vous pouvez y parvenir en favorisant un environnement dans lequel les employés se sentent à l’aise pour aborder l’informatique avec leurs besoins et défis technologiques.
  • Éducation et sensibilisation des employés : N'oubliez pas d'organiser régulièrement des sessions de formation et des campagnes de sensibilisation pour sensibiliser les employés aux risques liés au shadow IT.


Le directeur informatique (CIO) et les équipes informatiques jouent un rôle crucial dans la gestion du shadow IT. D’une part, le DSI peut assurer un leadership stratégique, en définissant des politiques, des procédures et des cadres. Ils peuvent travailler aux côtés de l'équipe informatique pour garantir que les ressources technologiques sont utilisées de manière contrôlée et conforme.

Coûts et conséquences du Shadow IT

Le coût du Shadow IT peut être assez important, et il va au-delà du seul aspect financier. Malgré des années d’initiatives de modernisation, les RSSI sont toujours aux prises avec ce problème de la vieille école. Les logiciels, services et équipements non vérifiés peuvent potentiellement introduire une multitude de vulnérabilités, de points d'entrée pour les acteurs malveillants et les logiciels malveillants, posant ainsi un risque de sécurité considérable.


Considérez les chiffres de Gartner, qui révèlent que 41 % des employés ont acquis, modifié ou créé des technologies hors de la visibilité de l'informatique en 2022, et ce chiffre devrait grimper à 75 % d'ici 2027. Parallèlement, l'enquête parallèle de Capterra sur l'informatique et la gestion de projet de 2023 a révélé que 57 % des petites et moyennes entreprises ont déployé des efforts de shadow IT à fort impact en dehors de la compétence de leur service informatique.​


Tout en offrant des avantages en matière de flexibilité et de commodité pour l'utilisateur, le shadow IT entraîne également des coûts importants dont les organisations doivent être conscientes. Ces coûts peuvent être globalement classés en coûts directs et indirects.

Coûts directs:

  1. Dépenses inutiles : Sans une surveillance et un contrôle appropriés, les employés pourraient souscrire à des services redondants ou acheter plus de licences que nécessaire, entraînant ainsi des dépenses inutiles. Par exemple, différentes équipes peuvent s'abonner à des outils de gestion de projet similaires, créant ainsi des coûts inutiles.
  2. Support informatique accru : le Shadow IT entraîne souvent des problèmes de compatibilité et une augmentation des demandes d’assistance. Le service informatique doit consacrer du temps et des ressources à la résolution des problèmes liés à des logiciels ou du matériel non approuvés.
  3. Failles de sécurité : le Shadow IT peut entraîner des failles de sécurité que les cybercriminels peuvent exploiter. Le coût d'une violation de données peut être énorme, compte tenu des sanctions financières, de la perte de confiance des clients et de l'atteinte à la réputation de l'entreprise.

Coûts indirects:

  1. Perte de productivité : les employés qui utilisent des outils non approuvés ou non pris en charge peuvent être confrontés à des problèmes de compatibilité ou à des pannes logicielles inattendues. Cela peut entraîner une perte de productivité, car les employés ont du mal à résoudre ces problèmes au lieu de se concentrer sur leurs tâches principales.
  2. Risques de conformité : de nombreux secteurs ont des réglementations strictes en matière de gestion des données et de confidentialité. L’utilisation du Shadow IT peut conduire à des violations de conformité, entraînant de lourdes amendes et des problèmes juridiques.
  3. Perte de données : le Shadow IT peut conduire au stockage des données dans des emplacements non sécurisés, augmentant ainsi le risque de perte de données. Le coût de la récupération des données perdues peut être élevé et, dans certains cas, les données peuvent être irrécupérables.


Même si les coûts du Shadow IT peuvent être importants, il est important de garder à l’esprit que le Shadow IT émerge souvent du besoin de meilleurs outils ou de processus plus efficaces. Les organisations devraient se concentrer sur la gestion efficace du Shadow IT plutôt que d’essayer de l’éliminer .

Conseils pour la protection du Shadow IT

Nous avons établi que le shadow IT pose des défis vitaux en matière de sécurité et de conformité. Il est donc crucial de mettre en œuvre des mesures efficaces.


Voici quelques conseils pratiques pour vous protéger contre les risques du Shadow IT :


  • Créez un processus d’approbation et de provisionnement pour les nouveaux logiciels ou technologies.
  • Organiser régulièrement des sessions de formation et des programmes de sensibilisation pour éduquer les employés.
  • Mettez en œuvre des procédures strictes d’achat de logiciels et des audits réguliers du réseau.
  • Élaborer des politiques et des lignes directrices technologiques complètes.
  • Gérez le Shadow IT de manière à donner le contrôle informatique et à permettre aux employés de continuer à avoir la liberté d'adopter de nouveaux outils.
  • Gardez les solutions de cybersécurité de votre organisation à jour.
  • Assurez-vous que des contrôles d’accès sont en place pour les systèmes, applications et données critiques.

Avantages du Shadow IT

Même si le shadow IT peut ouvrir la porte à de nombreux risques de sécurité, il est important de garder à l’esprit qu’il peut potentiellement bénéficier à votre organisation. La clé est d’exploiter son pouvoir plutôt que de l’éliminer complètement.


N’oubliez pas que le shadow IT peut permettre aux employés d’adopter et d’utiliser rapidement des outils et des technologies adaptés à leurs besoins spécifiques. Ils peuvent, par exemple, expérimenter des outils innovants qui ne figuraient pas initialement dans la feuille de route de votre organisation.


Différents départements auront des exigences uniques auxquelles les systèmes informatiques centralisés ne répondront peut-être pas entièrement. Le Shadow IT peut permettre à ces services de trouver et de mettre en œuvre des services spécialisés. Alors, comment pouvez-vous surveiller ces applications pour vous assurer de ne pas sacrifier la sécurité ?

Un outil simple pour surveiller le Shadow IT

Une alternative à la restriction de leur utilisation consiste à mettre en œuvre une solution Shadow IT pour détecter et gérer les applications et leurs risques associés.


Uniqkey peut faire cela et bien plus encore.


La clé pour exploiter la puissance du Shadow IT est de la mettre en lumière. Dans le cadre de notre solution de gestion des mots de passe professionnels, Uniqkey offre un aperçu détaillé de tous les services de l'entreprise, permettant à votre organisation de :


  • Sachez quels services vos employés utilisent ; surveillance et découvrez le shadow IT au sein de votre organisation.
  • Repérez les points faibles potentiels de sécurité, en identifiant les vulnérabilités et leur impact potentiel sur vos activités commerciales.
  • Économisez de l'argent sur les licences inactives.


La mise en œuvre d'un outil informatique fantôme comme Uniqkey peut vous aider à vous adapter et à répondre aux exigences technologiques changeantes, en vous assurant de pouvoir évaluer toutes les applications émergentes et leur compatibilité avec l'infrastructure existante.


Également publié ici .