Le Shadow IT, menace fantôme pour la sécurité informatique des entreprises ?

Ces dernières années, le Shadow IT s’est répandu au sein des entreprises françaises. Ce phénomène désigne l’utilisation par les salariés de logiciels, d’applications en ligne ou encore d’appareils, sans l’accord de leur département informatique. Et sans les pare-feu mis en place par la direction des systèmes d’information. Quelles sont les conséquences de cette pratique sur la sécurité de l’entreprise ? RNMPS vous donne quelques éléments de réponse.

Sur Internet, les risques cyber sont omniprésents, et ne cessent d’évoluer. Depuis quelques années, de nouveaux comportements à risque font leur apparition au sein des entreprises. C’est notamment le cas du Shadow IT – aussi appelé informatique de l’ombre –, un phénomène qui désigne l’utilisation de systèmes informatiques, d’applications ou encore d’appareils, sans l’approbation du département informatique.

Apparu dès les prémices des ordinateurs individuels, ce phénomène connaît actuellement un véritable essor. Une enquête réalisée par le CESIN (Club des experts de la sécurité de l’information et du numérique) et le spécialiste informatique Symantec a révélé qu’en moyenne 1 700 applications cloud sont utilisées dans une entreprise, en 2018. Et ce, alors que l’estimation moyenne d’applications cloud connues par entreprise est de 30 à 40. L’écart est considérable.

Nombreux sont les collaborateurs à télécharger des applications comme Google Docs, Workplace by Facebook ou Dropbox. Parallèlement, ils travaillent parfois depuis leurs appareils personnels, qu’il s’agisse d’un smartphone, d’une tablette, ou encore d’un ordinateur portable. On parle également de politique BYOD pour “Bring Your Own Device”, soit “prenez vos appareils personnels”. Si l’utilisation de ces outils répond à un besoin de productivité et de souplesse, elle n’en représente pas moins un  danger pour la sécurité de l’entreprise.

Quels sont les risques du Shadow IT ?

Alors que les systèmes informatiques autorisés par l’entreprise font l’objet d’importantes mesures de sécurité, ce n’est pas le cas des outils non approuvés. L’utilisation de messageries grand public, de services de partage ou de stockage de données dans le cloud fait courir plusieurs risques pour le système d’information de l’entreprise, parmi lesquels :

• Des erreurs dans les données : le Shadow IT multiplie les logiciels utilisés au sein de l’entreprise, et donc les emplacements de stockage des données. Or, plus ils sont nombreux, plus les différences entre les données sont possibles. 

• Un risque accru de pertes d’informations : lorsqu’une application s’exécute hors du contrôle de l’équipe informatique, aucune stratégie de sauvegarde et de restauration dédiée n’est mise en place. Par conséquent, des données essentielles pour l’entreprise peuvent être perdues en cas d’incident. 

• Un risque de violation de données : avec le Shadow IT, le service informatique n’a aucun contrôle sur les accès aux ressources de l’entreprise. Des collaborateurs, des sous-traitants voire d’anciens employés peuvent ainsi consulter, modifier ou copier des données auxquelles ils ne devraient pas accéder. De même, certaines applications telles que les services stockage de données et de collaboration comme Google Docs ou DropBox peuvent engendrer des fuites de données ou de vol d’identifiants. 

• Des failles dans la sécurité informatique : avec le Shadow IT, le service informatique ne connaît pas les applications utilisées par les employés d’une entreprise. Or, elles constituent une véritable porte d’entrée pour les hackers, d’autant plus qu’il n’est pas toujours possible pour un utilisateur lambda de déceler les vulnérabilités et failles d’une application. 

• Des coûts cachés pour l’entreprise : le Shadow IT empêche les entreprises d’obtenir un retour sur investissement satisfaisant sur les outils acquis. Avec l’utilisation d’applications et de services non approuvés par le service informatique, les licences des outils officiels sont en effet sous-utilisées, voire non utilisées.  

• Des applications non conformes : les applications de Shadow IT utilisées par les collaborateurs représentent parfois un risque concernant la conformité aux règlements comme le règlement général sur la protection des données (RGPD), qui a pour but d’octroyer aux particuliers plus de contrôle sur leurs données personnelles, en pénalisant les entreprises qui ne font pas suffisamment preuve de transparence sur la façon dont elles exploitent ces informations. Des collaborateurs peuvent ainsi conserver des informations liées à leurs clients sur un service qui stocke les données en dehors de l’Union européenne. L’entreprise risque alors une amende pouvant aller jusqu’à 4 % de son chiffre d’affaires.

Accompagner les collaborateurs

Au sein des entreprises, le Shadow IT va devenir toujours plus populaire auprès des employés. C’est que “la lenteur des processus d’approbation [NDLR : des DSI] peut frustrer les employés, et les amener à introduire encore plus de risques de sécurité dans les organisations”, expliquent les auteurs de l’enquête réalisée par le CESIN. Pour faire simple : les directions informatiques sont encore trop lentes pour la nouvelle génération de salariés.

Les DSI doivent d’abord bien comprendre les raisons qui incitent les collaborateurs à se diriger vers des solutions non officielles. Selon une enquête publiée par Entrust Datacard en 2019, le Shadow IT n’a pas que de mauvais côtés : 97 % des professionnels de l’informatique précisent que les employés sont plus productifs lorsqu’ils sont autorisés à utiliser leurs technologies préférées au travail. 

D’une manière générale, il s’agit pour les DSI d’établir un dialogue ouvert avec les employés, afin d’avoir une idée plus précise des technologies susceptibles d’être déployées, et d’en évaluer les risques. Encore une fois en matière de cybersécurité, la communication entre la DSI et les utilisateurs semble clé.