Le Shadow IT consiste en l’utilisation non autorisée d’un terminal ou d’un service numérique que l’équipe informatique n’a pas approuvé formellement et ne prend pas en charge. En voici quelques exemples :
- Création de workloads cloud à l’aide de comptes ou d’identifiants personnels
- Achat d’applications SaaS (Software-as-a-Service) ou d’abonnements à d’autres services cloud inférieurs aux seuils d’autorisation définis par l’équipe IT
- Utilisation d’applications de flux de travail ou de productivité, comme Trello ou Asana
- Utilisation de services cloud publics, comme Google Drive ou Box, pour accéder à des données et d’autres ressources, les stocker et les partager
- Utilisation de plateformes de messagerie ou d’applications de communication, telles que WhatsApp ou Zoom, pour les communications professionnelles
Si les utilisateurs ont souvent recours au Shadow IT pour travailler plus vite, comme les services concernés sont inconnus de l’équipe IT, ils ne sont pas protégés par les solutions ou protocoles de cybersécurité de l’entreprise. Dans le cas de workloads cloud et d’autres services utilisés par les développeurs, ces ressources peuvent contenir de graves vulnérabilités, telles que l’utilisation de mots de passe par défaut ou des erreurs de configuration. Cette pratique accroît de façon exponentielle le risque de compromission de données, en particulier, ainsi que de non-conformité et d’autres problèmes engageant la responsabilité de l’entreprise.
Pourquoi le Shadow IT pose-t-il de plus en plus problème ?
Ces dernières années, les entreprises se sont lancées dans des projets de transformation métier qui ont entraîné une généralisation du Shadow IT. Selon une étude de 2019 d’Everest Group, près de la moitié des dépenses informatiques « sont tapies dans l’ombre ». Comme il s’agit de chiffres pré-pandémie, il est probable que le passage soudain au télétravail dû aux restrictions liées à la pandémie de COVID-19 a encore accru le recours au Shadow IT, tandis que les collaborateurs se démenaient pour rester productifs dans un environnement nouveau limité en ressources.
L’utilisation du Shadow IT a rarement une finalité malveillante. Si les collaborateurs adoptent cette pratique, c’est généralement parce que leurs tâches quotidiennes exigent un accès rapide, flexible et fluide aux outils et applications de l’entreprise.
L’adoption du DevOps est l’un des principaux motifs de la prolifération du Shadow IT. Les équipes Cloud et DevOps aiment travailler vite et sans encombre. Cependant, obtenir les niveaux de visibilité et de gestion dont les équipes de sécurité ont besoin entraîne souvent des revers et des retards dans le cycle de développement. Lorsqu’un développeur crée un workload cloud à l’aide de ses identifiants personnels, il ne le fait pas par égoïsme ou malveillance, mais plutôt par peur que l’utilisation des canaux internes officiels le retarde dans son travail et fasse rater une échéance à toute l’équipe.
En conséquence, pour contrer le Shadow IT, mieux vaut fournir aux collaborateurs les ressources dont ils ont besoin pour atteindre leurs objectifs métier rapidement et à grande échelle que d’empêcher son utilisation.
Risques et avantages du Shadow IT
Du point de vue informatique et de la cybersécurité, le Shadow IT est une problématique qu’il convient de prendre en charge pour conserver la visibilité sur le réseau et assurer sa sécurité. Mais qu’en est-il des collaborateurs qui s’appuient sur ce type de ressource pour travailler, et des responsables qui ferment les yeux sur ces pratiques ? Toutes ces personnes trouvent clairement un avantage à utiliser le Shadow IT. Mais ces avantages l’emportent-ils sur les risques ?
Dans cette section, nous examinons les avantages et les risques du Shadow IT afin de vous aider à mieux en cerner les enjeux et à comprendre pourquoi les équipes informatiques doivent améliorer leurs processus et procédures afin de garantir la convivialité et la rapidité du Shadow IT sans générer de risques excessifs.
Atouts du Shadow IT
Si le Shadow IT introduit des risques considérables dans l’entreprise, il présente également d’importants avantages, parmi lesquels :
- Accès plus rapide aux ressources requises, ce qui améliore l’efficacité et stimule l’innovation
- Réduction des coûts via l’utilisation de services cloud gratuits ou abordables
- Optimisation des ressources informatiques limitées, y compris des effectifs, via la possibilité de traiter les demandes de base en libre service
- Amélioration de la communication et de la collaboration au moyen d’applications et de plateformes hautement intuitives et accessibles
- Amélioration de l’expérience utilisateur grâce à la diminution de l’administration et de la bureaucratie
Risques du Shadow IT
Bien que le Shadow IT présente de nombreux avantages évidents, les entreprises ne doivent pas sous-estimer le niveau de risque engendré par l’utilisation d’outils, d’applications ou de terminaux non autorisés — qui représentent autant de points d’entrée pour les cybercriminels. À l’heure où les entreprises sont confrontées à un paysage des menaces toujours plus agressif, il est important de limiter le risque introduit par le Shadow IT. Ces risques incluent :
Visibilité et contrôle
Il est clair qu’il est impossible de protéger ce que l’on ne voit pas.
Par définition, le Shadow IT échappe à la surveillance de l’équipe de sécurité informatique, ce qui accroît le risque que des vulnérabilités, des erreurs de configuration et des violations des règles ne soient pas détectées.
Si l’expansion du provisionnement automatique peut être avantageuse en termes de vitesse, elle n’est pas sans danger du point de vue de la sécurité. En décentralisant le provisionnement des ressources, les entreprises peuvent créer un environnement qui offre davantage de flexibilité sans compromettre la visibilité.
Perte de données
Le Shadow IT pose un autre problème : les autres collaborateurs de l’entreprise n’ont pas accès aux données et autres ressources stockées dans des comptes personnels. Si un collaborateur démissionne ou est renvoyé, il pourra toujours accéder aux ressources stockées dans le cloud — ce qui n’est pas forcément le cas de l’entreprise.
Par ailleurs, le Shadow IT n’est pas soumis aux règles et procédures de l’entreprise. Cela signifie que les données stockées sur un serveur cloud ne seront peut-être pas sauvegardées, archivées ou chiffrées conformément aux règles en vigueur dans l’entreprise.
Élargissement de la surface d’attaque
Bien que la perte de données constitue une préoccupation importante pour les entreprises, le vol de données représente un risque probablement plus grand encore.
Chaque instance de Shadow IT étend la surface d’attaque. Comme l’équipe informatique ou de cybersécurité n’a aucune visibilité sur le Shadow IT, les ressources impliquées ne sont pas protégées par les solutions de cybersécurité de l’entreprise, notamment les services EDR, d’antivirus de nouvelle génération ou de cyberveille.
En outre, dans de nombreux cas, les services de Shadow IT sont créés à l’aide d’identifiants faibles ou par défaut, ou peuvent être sujets à des erreurs de configuration. Autant de failles que les cyberadversaires peuvent exploiter pour infiltrer le réseau plus large de l’entreprise.
Inefficacités du système
Le Shadow IT est un problème à plusieurs facettes. Lorsqu’une entreprise n’offre pas à ses collaborateurs les ressources adéquates pour effectuer leur travail, et que ceux-ci recourent au provisionnement automatique pour pallier une lacune, elle a moins de chances de prendre conscience de la nécessité d’investir dans l’infrastructure, de nouvelles compétences ou des procédures.
De plus, en cas de recours au Shadow IT, les entreprises ne disposent pas d’une source unique d’informations fiables. De ce fait, les rapports et les analyses de données peuvent comporter des erreurs, des incohérences ou des lacunes. La qualité des renseignements tirés de ces données en pâtira forcément, et des problèmes de conformité pourraient surgir.
Coût
Bien souvent, les collaborateurs se tournent vers le Shadow IT pour réduire les coûts. Cependant, l’utilisation à long terme de ces services — ou leur adaptation à l’échelle de l’entreprise — peut se révéler non rentable. Par exemple, un service de stockage cloud privé mis à l’échelle pour un compte d’entreprise est très coûteux par rapport à des services spécialement conçus pour des clients professionnels.
Le Shadow IT peut aussi engendrer des coûts indirects, sous la forme d’amendes et de sanctions pour non-conformité, d’atteinte à la réputation en cas de compromission, ou d’une assistance informatique rapide et intensive dès lors que le service doit être migré ou mis hors service.
Comment gérer les risques liés au Shadow IT ?
C’est aux entreprises qu’il incombe de réduire le recours au Shadow IT, pas aux collaborateurs. Elles doivent dès lors prendre toutes les mesures nécessaires pour comprendre et satisfaire les besoins de leurs collaborateurs, de même que pour accélérer et simplifier le processus d’approbation et de provisionnement.
Même dans les entreprises les plus avancées, une certaine part de Shadow IT est inévitable. Les entreprises doivent dès lors trouver des solutions pour identifier efficacement ces cas et gérer les risques. Pour limiter l’utilisation du Shadow IT et les risques associés, les entreprises peuvent prendre les mesures suivantes :
- Comprendre les besoins organisationnels et des équipes en menant régulièrement des audits complets à l’échelle de l’entreprise
- Utiliser une technologie avancée pour surveiller le réseau en continu afin de garantir visibilité et contrôle sur l’ensemble des terminaux, applications et systèmes
- Communiquer et collaborer avec l’ensemble des effectifs, ainsi que les former à l’utilisation des outils et technologies en toute sécurité, ainsi qu’au protocole formel de provisionnement d’un nouveau service
- Établir et appliquer un niveau donné de sécurité, des règles et des politiques de conformité
- Créer un cadre afin d’évaluer les risques et de prioriser les efforts de correction
Élimination des risques liés au Shadow IT avec CrowdStrike Falcon Horizon
CrowdStrike Falcon Horizon™ est un outil de gestion du niveau de sécurité du cloud (CSPM) qui détecte et prévient les erreurs de configuration et les menaces sur le plan de contrôle, élimine les angles morts et assure la conformité sur toutes les plateformes cloud, notamment AWS, Azure et Google Cloud.
Falcon Horizon offre une visibilité totale sur votre environnement multicloud grâce à une source unique d’informations fiables pour les ressources cloud.
Falcon Horizon vous offre les fonctionnalités suivantes :
- Surveillance intelligente et continue des ressources cloud pour identifier les instances de Shadow IT et détecter les erreurs de configuration et les menaces de façon proactive
- Déploiement sécurisé des applications dans le cloud de manière plus rapide et efficace
- Visibilité et contrôle unifiés dans les environnements multiclouds
- Correction guidée des risques de sécurité
- Garde-fous pour éviter aux développeurs de coûteuses erreurs
- Détection ciblée des menaces pour réduire la lassitude face aux alertes répétées
- Intégration transparente aux solutions de gestion des événements et des informations de sécurité (SIEM)
Pour découvrir comment Falcon Horizon peut aider votre entreprise à réduire les risques liés au Shadow IT, téléchargez notre fiche technique ou demandez une démonstration sans plus tarder.