Le shadow IT ou compte fantôme n’est pas un énième volet de la saga Star Wars mais un décalage entre l’utilisation d’applications SaaS dans l’entreprise et la connaissance de celles-ci par la DSI.
Les applications stockées dans le cloud sont très faciles à utiliser puisqu’il n’y a par définition aucune mise en place à réaliser. Les collaborateurs ayant besoin de nouveaux logiciels ne font plus appellent au service informatique mais décident directement d’utiliser cette nouvelle application.
La DSI n’est pas au courant des applications utilisées dans les différents services.
Cela implique des inconvénients majeurs :
- la DSI est évincée dans la prise de décision d’une application, ce qui révèle de la méfiance envers elle
- la sécurité n’est pas assurée, les applications sont mal paramétrées, il n’y a pas de cadre concernant la connexion, les données ne sont pas maîtrisées
- c’est une porte d’entrée dans le SI qui est inconnue de la DSI
- il n’y aura pas de suspension des comptes au départ des utilisateurs puisque ces derniers ne vont pas faire les démarches et personne d’autre n’est au courant de la présence des comptes
Pourquoi évincer le service informatique ?
Les deux raisons les plus évidentes sont un manque de réactivité et des procédures contraignantes.
Il n’y a pas une intention de nuire quand il y a compte fantôme mais plutôt une volonté d’aller vite dans un besoin ressenti par l’utilisateur.
Lorsqu’une demande est faite, la réponse du service informatique peut tarder à venir, cela peut parfois passer par des commissions, etc. C’est lent, beaucoup trop lent par rapport au besoin et à la notion de temps du collaborateur. Celui-ci agit, il se sent plus réactif.
Il y a ensuite, des procédures à respecter qui peuvent sembler être des entraves dans l’utilisation de l’application pour le collaborateur, celui-ci peut aussi vouloir éviter d’en parler pour ces raisons-là.
Malheureusement, ces procédures, aussi contraignantes soient-elles, sont indispensables pour assurer la sécurité à l’entreprise.
Les applications SaaS ont souvent des attributions de droits et d’accès par défaut qui sont très élevés, il relève à la DSI de minimiser ces droits et accès dans une logique du moindre privilège.
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Quelles sont les conséquences sur l’entreprise ?
Les failles de sécurité commencent alors avec ces comptes ouverts qui ne sont pas répertoriés et monitorés.
Comme nous l’avons vu, cela entraîne des accès trop élevés avec un risque important si une prise de contrôle du compte par un tiers est réalisée lors d’une cyberattaque.
Les dépenses logicielles sont forcément mal maîtrisées, des négociations par lot ne peuvent pas se faire ou des paliers peuvent être dépassés.
La réalisation d’audit est dès lors non valable puisque des applications ne sont pas connues, elles ne peuvent ainsi pas être répertoriées.
