Shadow IT : les enjeux de l'utilisation de logiciels non réglementé

Maxime Tolub

|

Chargé de marketing

07/2023

Articles
>
Cybersécurité
Le Shadow IT est un défi pour les entreprises face à l'utilisation non autorisée des outils et logiciels par les équipes métier, nécessitant un équilibre entre flexibilité et sécurité. Pour réussir à le maîtriser, il faut comprendre les raisons qui poussent les utilisateurs à contourner les réglementations établies par le service informatique.

Sommaire

Le shadow IT :  quand les utilisateurs vont à l'encontre de la DSI. Les raisons, les  conséquences et les solutions pour endiguer ces comptes fantômes -> Le shadow IT, également connu sous le nom de compte fantôme, fait référence à l’utilisation d’outils et logiciels par les équipes métier sans avoir eu l’autorisation au préalable de la DSI. Ces ressources informatiques n’ont pas été fournies par l’entreprise et sont donc utilisées de façon non officielle, dans l’ombre du service informatique qui n’a aucune visibilité.

Dans quel contexte se développe le shadow it ?

Le shadow IT n’arrive pas par hasard en entreprise, il y a des raisons.

Et non vos employés n’ont pas envie de nuire à l’entreprise !

Au contraire, ils souhaitent bénéficier de nouveaux outils pour travailler plus efficacement.

Parfois, les solutions proposées par l'entreprise peuvent être trop rigides ou ne pas répondre pleinement aux attentes des utilisateurs.

En recherchant des solutions extérieures, les utilisateurs peuvent trouver des outils mieux adaptés à leurs besoins. Ils sont faciles à mettre en place, ce sont souvent des solutions SaaS, parfois gratuit ou à prix très attractif avec des périodes d’essai.

Les utilisateurs ont l’habitude de télécharger et tester des applications personnelles au quotidien, c’est donc relativement tentant de tester des outils professionnels pour le travail en seulement quelques minutes.

Il est là le problème, l’utilisateur va créer des comptes sur plusieurs outils en entrant et stockant des informations professionnelles et confidentielles sans que le service informatique ne soit mis au courant. Par exemple, un utilisateur souhaitant stocker des documents dans du cloud et y accéder n’importe où pourrait créer un OneDrive.

À cause de la multiplication des comptes créés, des failles de sécurité apparaissent.

Mais pourquoi ne pas directement voir avec la DSI et passer par les processus établis en interne ?

Car c’est long... Beaucoup trop long. Les démarches que doivent effectuer les utilisateurs sont contraignantes.

Lorsque l’utilisateur a un besoin urgent et qu’il ne peut pas attendre les procédures administratives traditionnelles, la création d’un compte en dehors des processus en devient attrayante.

De plus, il arrive parfois que les demandes formulées officiellement soient refusées après une analyse superficielle par le service informatique.

C’est dans ce climat que les utilisateurs peuvent enfreindre le règlement.

Envie de voir une démo instantanée de Youzer ?  
Voir la démo

Pourquoi les pratiques des utilisateurs vont à l’encontre des règles établies par la DSI ?

Il semblerait que les utilisateurs et la DSI aient du mal à trouver un terrain d'entente et à respecter les règles établies.

  • La DSI n’arrive pas à savoir quels comptes ont été créés et sur quels appareils.
  • Les utilisateurs n’osent pas ou ne veulent pas communiquer à la DSI leurs besoins.

Mais qu’est-ce qui empêche une bonne cohésion entre utilisateur et DSI ? Puissent-ils ne pas vivre ensemble main dans la main en harmonie ? 😕

Si la DSI n’est pas suffisamment flexible et ouverte aux propositions, les utilisateurs sont tentés de contourner les règles pour choisir des outils qui leur conviennent le mieux sans être constamment surveillés. Certains métiers nécessitent un minimum de confidentialité, par exemple dans la comptabilité, les employés ou manager n’ont pas forcément envie que la DSI soit au courant des informations qui ne les concernent pas.

Ils peuvent ressentir un sentiment d'infantilisation s'ils ont l'impression que la DSI cherche à contrôler et à restreindre leurs actions.

Ces façons d’agir de la part des utilisateurs sont dangereuses pour la sécurité de l’entreprise. En contournant les règles établies par la DSI, un utilisateur pourrait par exemple créer des comptes orphelins indétectables pour la DSI, ou un manager pourrait acheter des licences et ne pas se servir de celles qui sont fournies à la base.

Mais ce n’est pas tout.

Les utilisateurs ne sont pas toujours au courant qu’il y a des réglementations liées à l’utilisation des outils ou technologies au sein de l’entreprise. Si la DSI ne communique pas de manière claire et efficace sur les réglementations et ne fournit pas une formation adéquate, les utilisateurs peuvent se retrouver perdus et adopter des pratiques non conformes sans le savoir.

Un utilisateur devrait savoir ce qu’il peut faire ou ne pas faire. Peut-il s’envoyer des mails pro ? Stocker des données sur sa clé USB ? Utiliser des services cloud ?

Ces zones d’ombre doivent s’éclaircir grâce à des échanges entre les utilisateurs et la DSI.

Enfin, si les réglementations établies par la DSI sont trop contraignantes et inadaptées pour l’utilisateur à cause notamment de processus trop long, alors les utilisateurs sont incités à faire du Shadow IT.

Les facteurs qui ont fait augmenter le shadow IT ces dernières années

Il ne faut pas penser que le Shadow IT se produit en entreprise uniquement à cause des utilisateurs et des DSI. Il y a des facteurs externes aux entreprises qui ont un impact significatif.

D’abord, l'essor des solutions SaaS et le Cloud ont joué un rôle majeur dans la montée du Shadow IT. Grâce à des offres innovantes et variées, le SaaS est très accessible avec des prix attractifs tant pour une utilisation personnelle que professionnelle. Les avantages des solutions SaaS résident dans leur rapidité de déploiement et leur disponibilité sur tous les types d'appareils, qu'il s'agisse d'un ordinateur, d'une tablette ou d'un téléphone.

Ensuite, avec le développement du télétravail, les utilisateurs se retrouvent souvent à mélanger leurs outils, appareils professionnels et personnels. Par exemple, ils peuvent utiliser leur ordinateur professionnel pour des tâches personnelles ou vice versa.

Le manque d’encadrement et de précision sur les règles à respecter lors du télétravail donne une certaine flexibilité et liberté aux utilisateurs pour tester des outils non réglementés sur leurs appareils.

Les humains créés du shadow IT dans leur pratique mais les appareils connectés qui ont l’air inoffensif en apparence peuvent eux aussi en créer ! On appelle cela du shadow IoT.

Ces appareils qui sont inoffensifs à première vue sont une aubaine pour les pirates informatiques qui cherchent à entrer dans le réseau de l’entreprise. Que ce soit une simple machine à café, une enceinte connectée, du matériel de bureau comme une imprimante ou une photocopieuse, ils sont souvent implémentés sans les contrôles de sécurité nécessaires, au niveau des normes de l'entreprise et sont configurés à l'aide d'identifiants et de mots de passe faciles à déchiffrer.

Une cyberattaque a d’ailleurs eu lieu sur un casino qui a rencontré une grosse faille de sécurité à cause du Shadow IoT. Comme l’explique le Figaro dans son article, cet établissement a été piraté à cause d’un thermomètre connecté dans un aquarium. Les pirates s’en sont servis pour entrer dans le réseau, puis ont pu accéder à la base de données.

Le Shadow IT et le Shadow IoT représentent tous deux des défis pour la DSI en termes de gestion, de sécurité et de conformité.

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Nous n'avons pas pu confirmer votre demande.
Votre demande de livre blanc est bien prise en compte.

Maîtriser le Shadow IT

Le Shadow IT ne fait qu’augmenter en entreprise et sa suppression totale n’est pas réalisable. Alors oui on peut faire l’autruche mais ce n’est pas la solution.

S’il faut maîtriser le Shadow IT c’est pour :

1. Éviter les failles de sécurité

L'utilisation non autorisée de logiciels, d'applications et de services non sécurisés peut entraîner des failles de sécurité potentielles au sein de l'entreprise.

Cette pratique va créer des ouvertures dans le système d’information qui ne sont pas encadrées et connus par le service informatique donnant lieu à des cyberattaques.

2. Meilleure vision pour l’entreprise

Lorsque le Shadow IT se développe, il devient compliqué pour le service informatique d’avoir un contrôle et une vision complète des technologies utilisées par les employés.

La difficulté à réaliser des audits et à savoir qui dispose de quelles licences aggrave encore ce problème. Sans visibilité sur les comptes utilisateurs, la DSI se retrouve dans l'incapacité de contrôler efficacement l'utilisation des licences et de prendre des mesures pour optimiser leur utilisation.

3. Gestion des droits d’accès

Le Shadow IT peut entraîner une gestion inefficace des droits d'accès. Les employés utilisant des solutions non approuvées peuvent se voir accorder des autorisations excessives ou inappropriées, ce qui augmente les risques de fuites de données ou de compromission de la confidentialité des informations.

Pour maîtriser le Shadow IT, il y a plusieurs solutions.

1. Recenser les logiciels, les comptes et les utilisateurs dans une solution IAM.

La mise en place d'une solution de gestion des identités et des accès permet de :

  • contrôler les privilèges des utilisateurs : en accordant des droits et privilèges en cohérence avec les fonctions de l’utilisateur
  • gérer les comptes orphelins : lorsqu’un compte est actif mais n’est pas rattaché à un utilisateur
  • détecter les doublons : lorsqu’il y a une erreur pendant la création d’un compte et qu’on en crée un autre sans supprimer l’ancien qui est toujours actif
  • gérer les comptes systèmes : compte créer par les administrateurs systèmes
  • gérer les comptes partagés : lorsque plusieurs utilisateurs se servent d’un seul et même compte sur un outil

L’IAM ne va pas effacer le Shadow IT, ça serait trop simple. En revanche, une solution de gestion des accès et des identités permet de nettoyer son système d’information (supprimer les comptes orphelins, doublons etc..) en encadrant les comptes systèmes et les utilisateurs.

2. Instaurer un dialogue constructif entre la DSI et les utilisateurs reste l’étape la plus importante pour ralentir le Shadow IT.

Pour améliorer la communication, vous pouvez :

  • organiser des formations : Présentation des bonnes pratiques concernant l’utilisation des outils informatiques de l’entreprise.
  • avoir une écoute mutuelle : La DSI doit écouter attentivement les besoins des employés pour y répondre au mieux et pourquoi pas, adopter des solutions innovantes et efficaces. Les utilisateurs doivent aussi être plus compréhensifs quant aux dangers provoqués par leurs pratiques, plus sensibles à la sécurité de l’entreprise et plus respectueux des décisions de la DSI.
  • communication à double échange : La DSI doit communiquer de manière claire et transparente sur les politiques, les raisons des restrictions et les solutions alternatives disponibles. Les employés peuvent exprimer leurs besoins, tandis que la DSI peut fournir des informations pour les guider vers des solutions approuvées.
  • point trimestriel avec les services : Ces points permettent de maintenir à jour et évaluer les solutions actuelles, d’avoir un suivi régulier des besoins technologiques.

Conclusion

Le développement du shadow IT en entreprise est souvent le résultat d'un manque de flexibilité des solutions internes proposées par la DSI, de procédures administratives contraignantes et de refus fréquents de demandes sans analyse approfondie.

On ne peut pas s’en débarrasser, ne faire comme s’il n’existait pas.

Il est important de trouver un équilibre entre la satisfaction des utilisateurs et la sécurité de l'entreprise, en favorisant une approche collaborative pour réduire le recours au Shadow IT tout en répondant aux attentes des employés en matière d'efficacité et d'innovation technologique.

Récap'IT la newsletter de la DSI

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité informatique du mois.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée ! Vous recevrez votre prochain Récap'IT à la fin du mois 😊

Articles recommandés

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Hey ! Vous connaissez la chanson :) Nous utilisons des cookies d'analyse de données anonymes. En “Acceptant tous les cookies”, vous nous aidez à comprendre les pages vues (anonymes). En savoir plus sur notre politique de confidentialité.