On ne le répètera jamais assez. Être vigilant lorsque l’on navigue sur Internet, que l’on traite des données sensibles ou que l’on est en situation de mobilité par exemple est indispensable. La cybermenace est permanente et omniprésente. Il faut donc prendre toutes les mesures nécessaires pour protéger le système d’information de l’entreprise. Mais certains comportements sont perçus comme étant de véritables menaces vis-à-vis de la politique de sécurité mise en place en interne. L’informatique de l’ombre, ou Shadow IT, ça vous parle ? En quoi cela consiste-t-il ? Et est-ce vraiment un problème pour les entreprises ? Les avis divergent.
Le déploiement massif du numérique, et notamment du cloud, a permis de simplifier de nombreux process au sein des entreprises. En parallèle du développement d’outils devenus indispensables à la productivité des entreprises, le numérique est à l’origine d’une hausse des comportements à risque, notamment le shadow IT. Selon une étude de Snow Software, les employés sont fortement influencés par la technologie qu’ils utilisent tous les jours et ont tendance à la privilégier dans leur environnement professionnel.
De nouveaux challenges liés aux usages numériques
« L’adoption de nouvelles technologies a presque toujours conduit à des lacunes en matière de sécurité, mais nous avons constaté que les lacunes créées par le cloud posent un risque plus grand que nous ne le réalisons, compte tenu de la richesse des données sensibles et critiques stockées dans le cloud. En fait, nos recherches montrent que 69% des entreprises pensent que leurs données sont déjà sur le dark web et craignent un risque accru de violation de données en raison de leur migration vers le cloud », a déclaré Nico Popp, senior VP, Cloud and Information Protection chez Symantec.
Un risque de faille majeur
La sécurité informatique est une source d’inquiétude constante dans les entreprises. Une étude récente montre qu’elles sont 54% à penser ne pas être assez matures en termes de sécurité pour suivre le développement rapide des applications cloud. Pour rendre une politique de sécurité efficace, la DSI doit impérativement avoir le contrôle de son système d’information. Dès lors que les collaborateurs ont recours à des outils non approuvés, le risque d’une faille de sécurité s’accroît. Pour beaucoup, le Shadow IT est une menace bien réelle qu’il faut prendre au sérieux en endiguer au plus vite.
D’après le MagIT, le Shadow IT se rapporte aux matériels ou logiciels qui, dans une entreprise, ne sont pas pris en charge par le service informatique central. L’expression […] implique que le service informatique n’a pas approuvé la technologie ou qu’il n’est même pas informé de son utilisation par les employés. Et l’ampleur du phénomène est considérable.
Le Shadow IT : un phénomène de très grande ampleur
En 2018, une étude réalisée par le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) en partenariat avec Symantec, a donné des chiffres impressionnant concernant le phénomène du Shadow IT. Alors que l’estimation moyenne d’applications Cloud connues par entreprise est de 30 ou 40, le rapport révèle une moyenne de 1700 CloudApps véritablement utilisées par entreprise.
Le Shadow IT est un phénomène « qui s’est développé avec la gratuité de nombreux services en ligne auxquels les utilisateurs se sont inscrits sans toujours se rendre compte du danger que cela pouvait représenter pour le patrimoine informationnel de l’entreprise », a expliqué Alain Bouillé, président du Cesin. L’inventaire réalisé par le Club dénombrait alors 287 solutions connues ou inconnues pour le minimum recensé par entreprise, et 5945 au maximum. « Une fois les applications SaaS officielles éliminées, le nombre de services inconnus par entreprise, donc en mode Shadow IT reste impressionnant », ont indiqué les auteurs de l’étude.
Le shadow IT : une source d’inquiétude dans les entreprises ?
De nombreuses études ont tenté récemment de comprendre et d’analyser ce phénomène. Pour Cisco, l’utilisation du Shadow IT serait 15 fois supérieurs à celle estimée par les DSI. Quant au Gartner, il affirme que 40% des dépenses IT sont consacrées au Shadow IT. De son côté, Bitglass a dévoilé les résultats de son étude qui porte sur la sécurité dans le cloud en 2019. Il en ressort que les inquiétudes relatives aux fuites de données à travers des applications cloud non autorisées sont passées de 12% en 2018 à 5% en 2019. Pour Bitglass, cela montre que les entreprises prennent conscience qu’il existe des menaces plus importantes que le Shadow IT.
L’informatique de l’ombre : un avantage pour les entreprises ?
Si le Shadow IT est généralement présenté comme une menace pour la sécurité informatique des entreprises, une étude présentée en novembre 2019 par Entrust Datacard présente le phénomène sous un jour nouveau. En effet, 77% des professionnels interrogés pensent que leur organisation pourrait gagner un avantage substantiel en adoptant des solutions et des technologies de l’information parallèles. Selon cette étude, l’émergence de l’informatique de l’ombre pourrait faire progresser les entreprises. En effet, près de la moitié des sondés (49%) estiment qu’utiliser les technologies qu’ils préfèrent leur permet d’être plus productifs.
Pour 77% des personnes interrogées dans le cadre de cette enquête, d’ici 2025, le Shadow IT deviendra un problème plus important qu’il ne l’est aujourd’hui dans leur entreprise si rien n’est fait pour l’encadrer. Mais face à ce constat, 37% estiment aussi qu’aucune règle claire n’a été mise en place en interne lorsque les collaborateurs ont recours à de nouvelles technologies sans l’approbation du service informatique de leur entreprise.
Une lenteur dans les processus d’approbation
« La lenteur des processus d’approbation peut frustrer les employés et les amener à introduire encore plus de risques de sécurité dans les organisations », ont expliqué les auteurs de cette nouvelle étude. Selon eux, « seulement 12% des services informatiques interrogés ont donné suite à toutes les demandes de nouvelles technologies des employés ».
Si les entreprises ne sont pas prêtes aujourd’hui à déployer des technologies suggérées par les employés, elles doivent cependant être en mesure de fournir à leurs collaborateurs les outils leurs permettant d’être efficaces et performants. Elles doivent mettre à disposition de chacun ce dont il a besoin tout en gardant le contrôle de la sécurité informatique de l’entreprise. Cela signifie proposer des outils conçus spécifiquement pour les professionnels et offrant un niveau de sécurité adéquat.
Oodrive vous accompagne
Avec les solutions de partage du groupe Oodrive par exemple, vous sécurisez les données sensibles tout en permettant à vos collaborateurs d’être efficaces et performants. Ils pourront être mobiles sans mettre en danger votre système d’information. Conformes aux certifications les plus exigeantes, ces solutions suppriment les failles de confidentialité. Et elles garantissent l’application de votre politique de sécurité (hébergement sécurisé, code audité, gestion des données en autonomie, etc).