Le Shadow IT : allié ou ennemi ?

Le Shadow IT, qui se réfère à l’utilisation de logiciels, applications ou appareils par les employés sans validation préalable de la DSI de l’entreprise, constitue un sujet d’intérêt et d’inquiétude pour les responsables informatiques. Actuellement, cette “informatique de l’ombre” est considérée comme une source de risques majeurs pour la sécurité de l’entreprise. Pourtant, plutôt que de chercher à l’interdire, il y a beaucoup plus à gagner en la maîtrisant et en la contrôlant.

Avec l’accélération de la collaboration à distance, 80 % des employés admettent avoir utilisé des applications SaaS non approuvées dans le cadre de leur travail (*Source : étude McAfee). Le télétravail a accéléré la tendance et 77 % des DSI s’accordent sur le fait que d’ici 2025, l’informatique parallèle deviendra un handicap important (*Source : étude Entrust Datacard).

Une profusion d’applications disponibles

À l’heure des Google Drive, Dropbox, Teams, Zoom, Canva, Trello, WeTransfer ou encore ChatGPT, le sujet du Shadow IT est plus que jamais d’actualité.

D’après la 5ème édition du « Threat Report » de l’éditeur Netskope, 97 % des applications cloud utilisées au sein des entreprises relèvent du Shadow IT. Pourquoi les collaborateurs sont-ils de plus en plus sujets à utiliser des ressources parallèles ?

La majorité des utilisateurs concernés expriment un besoin de rapidité, de productivité pour mieux réaliser leur travail à un instant T. Face à cela, l’émergence des solutions disponibles avec des licences gratuites, que l’on retrouve aussi dans nos usages personnels, facilite l’adoption d’outils en tous genres.

Shadow IT, entre ombre et lumière

Il est clair que si les entreprises choisissent de ne pas réagir, elles prennent des risques. Pourquoi cela se produit-il ? C’est parce que la dissémination des données sur divers supports et canaux entraîne une perte de contrôle de ces données et une déperdition de contrôle sur les activités de l’entreprise.

Avec des conséquences redoutables :

* La fuite de données – 22% des incidents* proviendrait de fuites de données internes, donc par les salariés,

* L’augmentation de la surface d’attaque – 68 % des malwares proviennent d’applications cloud,

* La perte de données lors du départ d’un collaborateur – trois fois plus de données sont transférées vers un compte personnel dans les 30 jours qui précèdent un départ

* Des coûts non maîtrisés – ils se traduisent par des notes de frais pour les souscriptions SaaS, mais aussi par une perte de la couverture par l’assurance ou une amende CNIL (fuite de données personnelles via une solution de Shadow IT)

* La dégradation du fonctionnement du SI – la DSI fait face à des failles de sécurité, des problèmes de performances, l’augmentation de complexité et l’évolution non ou mal maîtrisée du SI,

* L’hébergement de données hors contrôle de la législation française,

* Le manque de collaboration au sein d’une équipe, dont les outils divergent.

Pour autant, l’utilisation de ces applications parallèles a également des avantages pour les collaborateurs :

* Une augmentation de la productivité,

* Une meilleure satisfaction,

* Un gain d’autonomie conséquent,

* De nouvelles bonnes pratiques grâce à des essais de solutions innovantes où une équipe pourra tester de nouvelles méthodologies de travail.

Maîtriser et inventorier… les besoins

À la question : “faut-il supprimer le Shadow IT ?”, j’apporterai une réponse mitigée.

De mon point de vue, l’important n’est pas de l’interdire à 100 % mais de tenter de le maîtriser en ayant conscience des solutions utilisées.
En inventoriant, en cartographiant même ces applications annexes sans les interdire, la DSI peut intégrer les risques dans son plan d’évaluation.

Avant de s’arquebouter sur une position de principe, il est nécessaire d’analyser l’utilisation de cette informatique parallèle. Pourquoi les collaborateurs ont-ils choisi d’utiliser un outil externe à l’entreprise ? Existe-t-il des outils pouvant répondre à ce besoin en interne ? En ont-ils conscience ?

En réalisant cette analyse, il est possible d’évaluer et rationaliser le Shadow IT en choisissant des solutions intéressantes à conserver à la fois pour le confort de travail et la sécurité des données.

Il s’agit donc d’assurer une surveillance et une évaluation continue afin de maîtriser les risques et de répondre aux besoins des utilisateurs.

Les clés pour anticiper

Concrètement, je conseillerai d’agir en amont, en choisissant des solutions logicielles efficaces et sécuritaires qui éviteront le besoin d’aller chercher des outils “ailleurs”.

Voici, selon moi, les principaux critères à privilégier lors du choix des futurs outils informatiques :

* Un déploiement simple et automatique, des fonctionnalités évolutives et surtout un onboarding intégré afin d’être au plus proche des équipes,

* Une sécurité garantie par la souveraineté des données, une traçabilité des actions et des certifications affichées et adaptées au secteur d’activité,

* Des connecteurs intégrés pour profiter des applications du quotidien de l’entreprise et s’y connecter de façon automatiques,

* Une simplicité d’utilisation passant notamment par une authentification unifiée.

Finalement, le rôle de la DSI ne s’arrête plus au simple choix du logiciel. Il consiste à sensibiliser les utilisateurs, à les accompagner dans le paramétrage de leurs logiciels et à rester à l’écoute de leurs besoins.

En communiquant régulièrement sur les bonnes pratiques mais aussi en les informant des outils qui sont mis à leur disposition, les responsables informatiques seront capables de rester maîtres des données de l’entreprise sans freiner les évolutions apportées par leurs collaborateurs.

Yani BOUANEM
Yani BOUANEM
Yani, notre chef de projet ISO 27001, joue un rôle central dans la réalisation de nos initiatives liées à la sécurité de l'information. En tant que rédacteur d'articles, il partage son expertise sur les meilleures pratiques en matière de certification ISO 27001. Son travail contribue à sensibiliser et à éduquer notre communauté sur les aspects cruciaux de la gestion de la sécurité de l'information.

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie