« 84% des décideurs IT ont fait état d’une augmentation des cybermenaces depuis le début de cette année ». Voilà ce qu’a révélé une enquête sur le paysage IT et la sécurité pour 2020 et au-delà. Force est de constater qu’avec l’essor du télétravail, la ruée vers le PAP (Prenez vos Appareils Personnels) ou “Bring Your Own Device” (BYOD), ainsi que la profusion des applications SaaS, les entreprises sont plus que jamais vulnérables.
De ce fait, pour les 3 ans à venir, 50% des entreprises se focaliseront sur la transformation numérique, 37% sur la formation des employés et 45% sur la menace que constitue le Shadow IT.
Qu’est-ce que le Shadow IT ?
Le Shadow IT désigne l’ensemble des systèmes d’information et de communication mis en œuvre au sein d’une entreprise sans l’approbation de la DSI (direction des systèmes d’information).
Sont entre autres concernés par ce phénomène :
Les outils de communication (ex : Skype, Gmail, etc.)
Les outils de partage de fichiers (ex : Dropbox, Google Drive, etc.)
Les outils de management et de collaboration (Slack, etc.)
La DSI n’exerce pas de surveillance ou de contrôle sur ces outils, ce qui peut provoquer des configurations à risque et porter atteinte au système informatique de l’entreprise. Par ailleurs, l’utilisation de ces systèmes informatiques parallèles est un phénomène généralisé puisque d’après Microsoft, 80% des employés avouent être passés par des outils non approuvés par la DSI à des fins professionnelles.
Le développement du travail à distance accroît le risque de shadow IT et la pandémie actuelle l’amplifie de surcroît.
Quelles sont les raisons du développement du shadow IT ?
Plusieurs facteurs sont mis en cause quant à la multiplication du phénomène. Notons en premier lieu la volonté des collaborateurs d’utiliser des outils favorisant leur productivité. L’entreprise attend d’eux une efficacité optimale, puis les clients à leur tour espèrent de l’entreprise une pleine satisfaction de leurs attentes. Face à ces exigences omniprésentes et à l’affluence d’outils permettant de les remplir, les employés pensent bien faire en passant par des instruments technologiques parallèles, et ce, sans même informer la DSI.
De plus, l’évolution perpétuelle de l’univers informatique ne facilite pas le travail de la DSI. Accaparée par les exigences de conformité (RGPD, Iso, etc.), la DSI se résout parfois à valider des outils inadaptés aux besoins réels des équipes, plutôt que de centrer ses efforts sur un développement digital innovant.
Le processus d’acquisition d’outils favorise également l’essor du shadow IT. En effet, l’achat d’un outil doit normalement être validé par plusieurs départements en interne. La définition des besoins avec l’IT, l’étude des coûts de licence avec le département financier, la conformité avec le département juridique, etc. Toutes ses étapes sont particulièrement longues (et lourdes pour les employés), il faut compter 3 à 6 mois en moyenne pour l’achat, l’installation et la mise en service d’un nouvel outil. Il en résulte que peu d’employés se résolvent à suivre la feuille de route établie. Ce même résultat est aussi observé lorsque l’entreprise n’a pas clairement défini son processus d’acquisition. Afin de pousser tous les acteurs à accepter ses contraintes, il est préférable de définir clairement chacune des étapes par exemple via un processus JIRA.
Les risques du shadow IT pour l’entreprise
Dans leur majorité, les outils utilisés dans le shadow IT ne disposent pas d’une stratégie de sauvegarde et/ou de restauration. C’est souvent le cas pour les entreprises non digitalisées, qui n’ont pas de structures IT, pas de bases de connaissances. Lorsque la personne chargée de l’informatique quitte l’entreprise, elle emporte avec elle des informations vitales pour l’entreprise, ce qui génère une perte de savoir. Résultat, personne ne sait “faire tourner la machine”.
De plus, en cas de cyberattaques, le manque de sauvegarde est désastreux. Par exemple, en mars 2019, l’application web Confluence d’Atlassian, outil de collaboration utilisé par près de 60 000 entreprises dans le monde présentait une faille de sécurité. Cette vulnérabilité a permis une cyberattaque d’envergure : vol de données, puis demande de rançon et ensuite exploitation des ressources vulnérables pour miner de la crypto-monnaie. Tous les utilisateurs qui ne pouvaient pas s’appuyer sur une sauvegarde furent bloqués. Bien entendu, Atlassian a très vite réagi et corrigé cette faille en proposant un “patch” aux utilisateurs.
Conformité RGPD, normes ISO
La grande majorité des outils de shadow IT ne respecte ni les règles de conformité RGPD ni les normes ISO. Selon une étude réalisée par le cabinet d’avocats DLA Piper, plus de 160 000 violations de données ont été rapportées depuis la mise en vigueur du RGPD en 2018.
Comme la DSI n’a ni visibilité, ni contrôle sur les données échangées, les risques sont d’autant plus imprévisibles. En cas de violation de données, il est difficile de retracer la source de la brèche et/ou de l’endiguer.
Il en va de même pour les normes ISO, dont la qualité de gestion et d’organisation se trouve au cœur des exigences. Une entreprise dépendante du shadow IT ne peut tout simplement pas obtenir ou conserver sa certification.
Vulnérabilité face aux cyberattaques
Toute sécurité repose sur la réduction drastique, voire la suppression des risques. Or, le shadow IT contourne justement les procédures de sécurité.
Il devient donc évident que toute entreprise où les employés ont recours à cette méthode est vulnérable aux cyberattaques. Une étude réalisée par KPMG Advisory montre que 2/3 des entreprises réalisent des dépenses informatiques gérées par la DSI. Autrement dit, 1/3 des entreprises permet à leurs employés l’achat et l’utilisation de ressources ou de solutions sans le consentement de la direction des services informatiques.
Par ailleurs, une autre étude réalisée par Gartner en 2016, a mis en avant que 30% des attaques cybernétiques se feront très probablement par le biais des solutions non gérées et non approuvées. Il est difficile de remettre en question cette prévision, car le cloud connaît actuellement son apogée. Chaque outil peut présenter une faille que des pirates vont exploiter afin d’accéder à des données confidentielles.
Comment éviter le shadow IT ?
Un processus clair et une bonne communication
La communication passe relativement facilement entre les différents pôles d’une même entreprise. Sauf avec la DSI où les échanges pourraient parfois être qualifiés de “platonique”. Le juridique, le marketing, la logistique ainsi que la production semblent aller de pair, alors que l’IT reste à l’écart, derrière, en coulisses. Selon une étude réalisée par Entrust Datacard, “seulement 12 % des services informatiques interrogés ont donné suite à toutes les demandes de nouvelles technologies des employés”. Dans un contexte où la souplesse et la flexibilité sont de rigueur, il est important d’instaurer la confiance à travers un dialogue ouvert et régulier entre toutes les parties prenantes. La réalisation d’un processus d’acquisition moins lourd et plus agile représente un premier grand pas pour la DSI et l’ensemble des équipes.
Sensibilisation des employés
Le FIC 2020 (Forum International de la Cybersécurité) a fait émerger 2 recommandations pour lutter efficacement contre le shadow IT. L’une d’elles réside dans l’effort de formation et de sensibilisation. En effet, les collaborateurs sont les acteurs principaux dans l’émergence des systèmes parallèles. Il est donc logique de se focaliser sur ces derniers. D’ailleurs, il ne servirait à rien de renforcer la sécurité du système d’information de l’entreprise si, derrière, les employés continuent à contourner les règles de sécurité.
Il faut bien comprendre que toute faille de données peut porter préjudice à la société. Ce préjudice peut être financier, comme ce fut le cas de Facebook en 2019. Il peut également paralyser l’entreprise à l’instar de cette PME française qui a subi 24 heures d’arrêt d’activité en décembre 2018. Ou tout simplement nuire à sa réputation.
Marche à suivre en cas de crise
En cas de faille de sécurité mettant en danger la pérennité des activités, il est essentiel de protéger les systèmes d’informations de l’entreprise. Pour cela, il est déterminant d’envisager un Plan de Reprise d’Activité (PRA) qui définit les procédures et la marche à suivre en fonction des outils et des risques associés. La durée maximale d’interruption de l’un des services informatiques ou RTO (Recovery Time Objective), les objectifs de sauvegarde des données en cas de sinistre ou RPO (Recovery Point Objective) sont alors définis selon le degré de criticité d’une application ou d’une “brique” du système informatique.
Publié le 21 janvier 2021.