Shadow IT – Définition, Avantages & Risques
Le Shadow IT est l’utilisation de logiciels, d’appareils, d’applications, et de systèmes qui n’ont pas été approuvés par le service informatique de l’entreprise. Avec le Cloud, le Shadow IT est de plus en plus utilisée.
Aujourd’hui, de plus en plus de salariés et collaborateurs utilisent le Shadow IT.
Cette pratique possède des avantages, mais également de nombreux risques.
Dans cet article de blog, nous allons définir ce qu’est le Shadow IT, quels sont les avantages, mais aussi les dangers.
Shadow IT, c’est quoi ?
Le Shadow IT est l’utilisation de logiciels, d’appareils, d’applications, et de systèmes qui n’ont pas été approuvés par le service informatique de l’entreprise.
Avec la prolifération des solutions Cloud, le Shadow IT est une pratique de plus en plus utilisée et pratiquée.
En 2012, une étude, menée par RSA, a démontré qu’un tiers des employés disent qu’ils doivent contourner les règles et mesures imposées par le protocole informatique pour réaliser leur travail correctement.
Pourquoi les collaborateurs utilisent le Shadow IT ?
La volonté première des employés lorsqu’ils utilisent des technologies Shadow IT est de travailler efficacement.
En effet, imaginez qu’une entreprise demande aux employés d’utiliser un logiciel compliqué à utiliser et à prendre en main, les collaborateurs vont alors utiliser un autre logiciel par gain de temps et efficacité.
Dans le même esprit, demander l’autorisation au service informatique d’utiliser telle ou telle solution peut prendre du temps alors que l’employé en a besoin de suite.
On peut citer comme exemple également l’utilisation de Drive pour partager des fichiers entre collaborateurs, pourquoi demander une autorisation et perdre du temps alors que cela ne prend que quelques secondes à partager des fichiers.
Les équipements personnels
Quand on parle de Shadow IT, il convient d’aborder le sujet des équipements non approuvé comme les surfaces personnelles.
Avec la démocratisation des solutions Cloud, il est devenu simple et rapide de s’envoyer par Cloud, ou autre, des fichiers professionnels, et cela, sans forcément l’accord du service informatique.
Évidemment, les employés ne pensent pas à mal en faisant cela, et ne réfléchissent pas aux risques encourus, les avantages sont réels et nombreux pour eux.
Quels sont les avantages du Shadow IT ?
Pratiquer le Shadow IT comporte plusieurs avantages, que ce soit pour l’employé, mais aussi pour le service informatique.
Le gain de temps
Le gain de temps est le principal avantage de cette pratique, à la fois pour l’employé et pour le service informatique.
La productivité du salarié peut augmenter en utilisant des outils qu’ils ont l’habitude d’utiliser, et cela, rapidement, sans avoir à demander au service informatique.
Quant à ce dernier, ils n’ont pas que ça à faire à approuver ou réfuter les accès à certains logiciels, cela considérablement du temps, temps qui est précieux.
Ainsi, une bonne solution est d’établir au préalable des protocoles sur les technologies ou solutions qui peuvent être utilisées, sans forcément devoir demander au service IT.
Le temps, c’est de l’argent !
Le gain financier
Imaginez un collaborateur qui utilise une solution payante personnellement et veut l’utiliser professionnellement.
Si cette solution est fiable, autant en profiter.
Cela permet à l’employeur d’économiser, de profiter du talent du collaborateur sur le logiciel en question et au final, ce sera un gain de temps.
Quels sont les risques du Shadow IT ?
Cependant, si les avantages sont réels pour les employés, les risques le sont tout autant pour l’entreprise.
Selon le groupe d’analystes Gartner, en 2020, un tiers des attaques réussies subies par les entreprises proviennent de l’utilisation de solutions par Shadow IT.
L’utilisation de logiciels corrompus
Le problème dans le Shadow IT est que le service informatique n’est pas au courant de l’usage d’un logiciel et il ne peut donc en assurer la sécurité.
En effet, les logiciels approuvés par le service IT ont fait l’objet de mesures de sécurité accrue, tout comme les technologies mises à disposition.
Ce n’est évidemment pas le cas des applications non approuvées.
Le partage de données
L’étude citée précédemment par le RSA démontre que 63% des employés envoient des documents professionnels à leurs adresses personnelles pour s’en occuper à la maison.
Assurément, ces statistiques ont augmenté depuis la crise de la COVID-19 et le télétravail.
Deux problèmes viennent de ces pratiques :
1. Utiliser des réseaux non sécurisés
L’utilisation de réseaux domestiques ou publics représente un risque majeur pour les entreprises.
Ce genre de réseau n’est aucunement sécurisé par le département IT et est donc possiblement vulnérables aux cyberattaques et vols de données.
2. L’utilisation de logiciels de partage de fichiers non approuvés
Le partage et stockage de fichiers, en utilisant un logiciel non sécurisé par le département informatique ou en utilisant le Cloud, peut entraîner des risques de fuites de données plus ou moins sensibles.
Faut-il bannir ou autoriser le Shadow IT ?
La réponse est à la fois simple et complexe.
Si on en vient à bannir cette pratique, cela n’empêche pas les employés de le faire sans le déclarer.
Si on en vient à l’autoriser, cela peut totalement compromettre les données d’une entreprise en cas de cyberattaque sur un logiciel ou une surface Shadow IT.
Empêcher complètement une action par un employé est compliquée, le limiter est possible.
Mais alors que faire ?
Le mieux est sûrement de limiter les risques liés à l’utilisation du Shadow IT.
Voici plusieurs conseils pour réduire le risque de fuite de données via l’utilisation du Shadow IT par un collaborateur :
- Utiliser un logiciel de Cyber Threat Intelligence pour détecter les fuites de données potentielles, comme HTTPCS CyberVigilance.
- Sensibiliser les collaborateurs aux attaques par phishing via une campagne de phishing personnalisée, cela permet d’éviter dans les pièges des attaques par hameçonnages.
- Permettre aux employés d’utiliser des logiciels et équipements spécifiques lorsqu’ils sont en télétravail.
- Avoir un protocole interne pour l’utilisation de technologies, d’applications, de logiciels, et d’équipements personnels non vérifiés.
- Et enfin, former ses employés et collaborateurs aux cyber-risques. C’est le meilleur moyen de limiter au maximum les risques. Comme dirait l’adage : il vaut mieux prévenir que guérir.