Solutions informatiques dédiées aux entreprises Tours :02 47 74 12 12 Paris :01 55 65 17 17
Solutions informatiques dédiées aux entreprises Tours :02 47 74 12 12 Paris :01 55 65 17 17

Shadow IT : le défi invisible ?

23 octobre 2020

Par dans Sécurité

De plus en plus d’interrogations surgissent en matière de bonnes pratiques de travail concernant les données collectées, stockées ou créées au quotidien. À l’heure où les attaques informatiques touchent de plus en plus d’organisations, quelle que soit leur taille (les PME ne sont plus épargnées), de nouveaux enjeux stratégiques de sécurité émergent. Le « shadow IT », pratique nébuleuse et parfois méconnue, est dans la ligne de mire des DSI et RSI.

Dans cet article, nous allons vous présenter ce qu’est le shadow IT, les risques qu’ils présentent et la façon de s’en prémunir.

Optimisez votre organisation informatique

Réalisez un diagnostic de votre performance numérique gratuit et découvrez en moins de 10 minutes les actions à mettre en œuvre

Qu’est-ce que le shadow It ?

Le shadow IT est une pratique qui consiste, pour les collaborateurs d’une organisation, à utiliser des applications ou du matériel informatique de leur propre initiative et en dehors de toute validation de l’entreprise.

Cette pratique est à distinguer du Bring Your Own Device (BYOD) et du Bring Your Own Application (BYOA) qui consistent à encourager ses collaborateurs à travailler avec leurs outils personnels. Ainsi, certains salariés peuvent utiliser leur mobile personnel, avec l’application de leur choix, comme WhatsApp, pour échanger immédiatement de l’information.

Un risque ou une opportunité ?

Le shadow IT représente une faille de sécurité. L’entreprise n’ayant pas connaissance des applications utilisées, elle ne peut ni vérifier leur fiabilité ni contrôler leur utilisation. Ainsi, les collaborateurs peuvent utiliser des espaces de stockage en ligne non chiffrés, voire utilisés par la plateforme à des fins commerciales. C’est le cas par exemple de la solution WeTransfer qui est largement utilisée pour le partage de fichiers lourds qui ne peuvent être envoyés par mail : même si son utilisation est simple, les fichiers ne sont pas protégés et ne prémunit pas l’entreprise contre la fuite de données.

En outre, dans la mesure où les applications utilisées dans l’ombre de l’organisation ne sont pas monitorées par un service informatique, il est impossible pour l’entreprise de contrôler les éventuelles pertes ou fuites de données. Ainsi, si un collaborateur se fait pirater son compte DropBox qui contient des données sensibles de l’entreprise, la Direction des Services Informatiques n’en serait pas informée et ne pourrait pas mettre en place des actions de remédiation.

Est-ce à dire qu’il faut interdire à vos collaborateurs d’utiliser des applications non prévues par le service informatique ? Non, parce que de nouvelles solutions peuvent émerger et permettre à votre entreprise de changer son approche et d’innover en matière de pratiques collaboratives. Votre organisation a donc tout intérêt à inviter vos collaborateurs à utiliser de nouvelles applications ou de nouveaux outils, mais ceux-ci doivent en informer votre DSI pour s’assurer que la solution ne présente aucune faille de sécurité et répondent à vos contraintes de sécurité.

Comment lutter contre le shadow IT ?

Parce que recourir à de nouvelles solutions est positif pour votre organisation, il convient de ne pas lutter contre le shadow IT, mais de l’encadrer. Pour ce faire, deux solutions se présentent à vous :

  • proposer un bouquet de solutions validées en interne dans lequel le collaborateur viendra piocher la solution à son problème
  • superviser les applications tierces non incluses dans votre « portefeuille » d’applications.

Proposer un bouquet de solutions validées en interne

Souvent, les applications qu’utilisent les collaborateurs en shadow IT sont des outils personnels qui ont un pendant professionnel qu’ils ne connaissent pas.

Les besoins les plus courants sont du stockage cloud pour pouvoir accéder à un fichier depuis n’importe quel périphérique (DropBox), éditer un même fichier à plusieurs (Google Docs), un système de suivi de tâches ou de projets (Trello), une messagerie instantanée (WhatsApp), etc.

Or les applications comprises dans votre formule Microsoft 365 (selon l’offre) permettent de répondre aux besoins professionnels les plus courants, avec un système de sécurité avancé et une plateforme de monitoring simple pour vos équipes IT :

  • OneDrive permet du stockage cloud en environnement professionnel permettant à vos équipes de consulter leurs documents de n’importe où
  • un fichier Word, Excel ou PowerPoint stocké sur OneDrive ou SharePoint permet la coédition
  • Microsoft Planner ou To Do permet de suivre un projet ou diverses tâches
  • Microsoft Teams permet de communiquer avec du texte, des vidéos, des GIF, etc.

Teams, ouvert aux éditeurs tierces, dispose en plus d’un panel très large d’applications disponibles aux utilisateurs et facilement contrôlables.

Mettre en place un contrôle des applications tierces

Parce que certains métiers ont des besoins très spécifiques qui ne peuvent pas forcément être couverts en amont, vous pouvez donner la possibilité à vos équipes d’utiliser de nouvelles applications ou de nouveaux services. Mais avant leur installation, ils doivent être contrôlés pour s’assurer qu’ils respectent bien le RGPD et vos contraintes de sécurité, puis leur utilisation validée pour envisager une mise à disposition plus large dans votre organisation.

Supervisez pour votre sécurité

Pour la sécurité et la pérennité de votre organisation, vous devez garder un œil sur l’ensemble des usages numériques de vos collaborateurs. Non seulement vous risquez des perdre des données, mais une application non supervisée peut être la porte d’entrée de cyberattaques.

Il est donc important que vous fassiez un état de la situation informatique de votre entreprise, compreniez les besoins de vos collaborateurs et y répondiez avec des solutions professionnelles sécurisées et une formation des collaborateurs pour qu’ils les adoptent à 100 % et ne reviennent pas sur leurs applications personnelles.

Pour ce faire, spécialistes de la Data Performance, nous avons conçu un outil simple et gratuit vous permettant d’évaluer les améliorations que vous pouvez apporter à votre système informatique : l’autodiagnostic de performance numérique. Testez-le.

Publié le 20 mars 2019. Mis à jour le 23 octobre 2020.

Autodiagnostic de sécurité

À propos de l'auteur Étienne Bompais-Pham

« Nul ne doit ignorer l’informatique et ses enjeux. » Responsable marketing et communication de Flexsi, Étienne Bompais-Pham fait en sorte de vulgariser les sujets numériques et informatiques les plus complexes que doivent maîtriser toutes les organisations aujourd’hui pour leur assurer sécurité, productivité et succès. Pour y parvenir, il s’appuie sur l’ensemble des talents que comptent les équipes d’experts de Flexsi.

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *