Accélérer votre Digitalisation

Shadow IT : définition et enjeux

Le Shadow IT

Sous le nom quelque peu mystérieux de Shadow IT se cache une pratique de plus en plus répandue dans les entreprises et les services ayant recours à l’informatique. Mais le Shadow IT c’est quoi ? Il s’agit principalement de l’utilisation de logiciels par l’un des membres du personnel sans que les responsables de la sécurité informatique en soient informés. Cette pratique est facilitée de nos jours par le recours accru au Cloud.

Le Shadow it c’est quoi ?

Le principal sujet de préoccupation est lié à l’adoption rapide par les entreprises de services basés sur le Cloud. C’est un des principaux facteurs de l’utilisation croissante du Shadow IT. Les internautes ont pris l’habitude de télécharger des applications et des services ou de les utiliser directement via le Cloud. Ils ne pensent pas forcément aux risques, mais plutôt à des ressources qui leur sont utiles pour leur travail. Le Shadow IT est donc un ensemble d’usages informatiques qui échappent au contrôle du responsable de la sécurité de l’entreprise, une sorte d’informatique parallèle qui comprend différentes formes d’activités liées aux technologies de l’information. Plus concrètement, il s’agit de services hébergés dans le Cloud, c’est-à-dire à la fois des logiciels, des services et des plateformes. Les membres du personnel installent couramment des applications sans demander l’autorisation du gestionnaire informatique ou du responsable de la sécurité réseau. Le Shadow IT pourrait donc se comprendre comme un usage non autorisé de ressources échappant aux instances de contrôle.

Avantages et dangers du Shadow IT

Comme nous avons pu le voir dans notre définition du Shadow IT ci-dessus, cette pratique présente des avantages pour les utilisateurs. Ces derniers peuvent obtenir rapidement des outils permettant d’augmenter leur productivité. Ils s’en servent évidemment pour interagir efficacement avec leurs collègues. Le Shadow IT, aussi inquiétant qu’il puisse paraître aux responsables de la sécurité informatique, présente donc aussi des avantages qui le rendent quasiment incontournable dans les entreprises d’aujourd’hui. Pour autant, de graves failles de sécurité peuvent apparaître lorsqu’un département informatique ne sait pas quels services et applications sont utilisés. Le manque de visibilité sur ces applications représente une faille de sécurité. Si certaines applications sont inoffensives, d’autres comportent des fonctionnalités telles que le partage et le stockage de fichiers ou des fonctions collaboratives, qui peuvent présenter des risques importants pour une organisation et ses données sensibles. Les services informatiques et de sécurité doivent identifier quelles applications sont utilisées et quels risques elles présentent.

NBA

 » Le Shadow IT existe depuis de nombreuses années, mais il est accéléré par le développement de l’IOT, L’internet des Objets. Combien de projet IOT sont menés sans intégrer la Direction des Systèmes d’Informations ? « 

Nicolas, Business Developer PYXYA

La problématique du Shadow IT

La problématique du Shadow IT est, ainsi que nous l’avons vu, complexe. Il ne s’agit en effet pas de brider les employés en limitant l’utilisation d’applications qui leur sont utiles, voire indispensables. Mais il s’agit aussi de garantir la sécurité des réseaux d’entreprise. Les experts de Pyxya peuvent vous assister, en proposant des solutions adaptées.

Les risques spécifiques du shadow IT

Le shadow IT présente, comme nous l’avons vu, un certain nombre de risques pour l’entreprise. Ces risques sont d’abord liés aux failles du shadow IT en termes de cybersécurité. Ainsi, les applications non intégrées à l’architecture informatique de l’entreprise sont peu protégées et offrent une cible privilégiée pour les attaques de pirates. Les hackers savent que ces applications constituent des voies d’entrée privilégiées, permettant de détourner les données sensibles des entreprises. Il n’est pas rare, d’ailleurs, que les pirates se servent du shadow IT pour pénétrer dans les serveurs. Les responsables des entreprises, tout comme la plupart des salariés, n’ont la plupart du temps pas conscience des risques encourus.

En tout état de cause, la généralisation récente du télétravail a vu une explosion du shadow IT, les collaborateurs ayant souvent recours depuis leur domicile à des applications non sécurisées.

Les risques ne se réduisent d’ailleurs pas aux dommages techniques qui peuvent résulter de cette pratique. En effet, les entreprises mettent en jeu leur image de marque si les données sensibles de leurs utilisateurs se trouvent compromises. Lorsque le réseau fragilisé par le shadow IT fait l’objet d’une attaque en règle, il peut être inutilisable pendant un certain temps. La perte de données a un impact non négligeable sur l’activité de l’entreprise. Lorsqu’elle est importante, l’entreprise peut perdre des contrats importants, qu’elle n’est pas en mesure d’honorer.

Rappelons que l’entreprise est responsable si elle ne respecte pas le RGPD. L’équipe informatique peut avoir mis en place des mesures conformes aux règles, mais les applications relevant du shadow IT ne sont pas contrôlées. On comprend donc que le risque est important pour les entreprises.

Les experts de PYXYA peuvent se charger auprès de vos collaborateurs d’une mission de formation, en leur présentant non seulement les risques du shadow IT, mais aussi les bonnes pratiques informatiques permettant de les minimiser.