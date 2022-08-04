Bien que les employés adoptent généralement le shadow IT en raison de ses avantages perçus, ces outils informatiques présentent des risques potentiels pour la sécurité de l'organisation. Ces risques comprennent :

Perte de visibilité et de contrôle informatiques

Comme l'équipe informatique n'a généralement pas connaissance des actifs de shadow IT spécifiques, les vulnérabilités de sécurité de ces ressources ne sont pas corrigées. Selon le rapport The State of Attack Surface Management 2022 d'IBM Security Randori, les organisations disposent de 30 % d'actifs exposés de plus que ce que leurs programmes de gestion des actifs identifient. Les utilisateurs finaux ou les services de l'entreprise peuvent ne pas comprendre l'importance des mises à jour, des correctifs, des configurations, des autorisations et des contrôles critiques de sécurité et de réglementation de ces actifs, ce qui accroît l'exposition aux risques de l'organisation.

Insécurité des données

Des données sensibles peuvent être stockées, consultées ou transmises via des appareils et applications de shadow IT non sécurisés, exposant ainsi l'entreprise à des risques de fuites ou de violations de données. Les données stockées dans des applications de shadow IT ne seront pas incluses lors des sauvegardes des ressources informatiques officiellement autorisées, ce qui rend difficile la récupération des informations en cas de perte de données. De plus, l'informatique fantôme peut également contribuer à l'incohérence des données : lorsque les données sont dispersées sur plusieurs actifs de shadow IT sans aucune gestion centralisée, les employés peuvent travailler avec des informations non officielles, invalides ou obsolètes.

Problèmes de conformité

Des réglementations telles que la loi HIPAA (Health Insurance Portability and Accountability Act), la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et le règlement général sur la protection des données (RGPD) imposent des exigences strictes en matière de traitement des informations personnelles identifiables. Les solutions de shadow IT développées par des employés et des départements sans expertise en matière de conformité peuvent ne pas répondre à ces normes de sécurité des données, ce qui peut entraîner des amendes ou des actions en justice contre l'organisation.

Inefficacité opérationnelle

Les applications de shadow IT peuvent ne pas s'intégrer facilement à l'infrastructure informatique standard, ce qui entrave les workflows qui reposent sur des informations ou des actifs partagés. L'équipe informatique ne tiendra probablement pas compte des ressources informatiques fantômes lors de l'introduction de nouveaux actifs autorisés ou de la mise à disposition d'une infrastructure informatique pour un département donné. Par conséquent, l'équipe informatique peut apporter des modifications au réseau ou aux ressources réseau d'une manière qui perturbe la fonctionnalité des actifs de shadow IT que les équipes utilisent.