Qu'est-ce que l'informatique fantôme ?

Par exemple, l'informatique fantôme peut inclure le partage de fichiers de travail sur un compte de stockage cloud personnel, la tenue de réunions via une plateforme de visioconférence non autorisée alors que l'entreprise utilise un service homologué différent, ou la création d'un groupe de discussion non officiel sans l'approbation du service informatique.

Le shadow IT ne comprend pas les logiciels malveillants ou autres actifs malveillants implantés par des pirates informatiques. Il fait référence uniquement aux actifs non autorisés déployés par les utilisateurs finaux autorisés du réseau.

Les utilisateurs finaux et les équipes adoptent généralement l'informatique fantôme parce qu'ils peuvent commencer à l'utiliser sans attendre l'approbation du service informatique, ou parce qu'ils estiment qu'elle offre de meilleures fonctionnalités pour leurs besoins que les alternatives proposées par le service informatique. Cependant, malgré ces avantages, le shadow IT peut présenter des risques de sécurité importants. Comme le service informatique n'est pas au courant de l'existence des actifs de Shadow IT, elle ne les surveille pas ces ressources et ne corrige pas leurs vulnérabilités. Le shadow IT est particulièrement susceptible d’être exploité par les pirates informatiques. 

Selon Cisco, 80 % des employés d’une entreprise utilisent le shadow IT. Les employés recourent généralement au shadow IT pour des raisons pratiques et de productivité. Ils estiment pouvoir travailler plus efficacement ou d’une manière plus efficiente avec leurs propres appareils et les logiciels de leur choix, plutôt qu’en utilisant les ressources informatiques approuvées de l’entreprise. Une autre étude, citée par l’IBM Institute for Business Value, a révélé que 41 % des employés avaient acquis, modifié ou créé des technologies à l’insu de leur équipe informatique. 

Ce phénomène n’a fait qu’augmenter avec la consumérisation de l’informatique et, plus récemment, avec l’essor du télétravail. Le logiciel en tant que service (SaaS) permet à une personne disposant d’une carte de crédit et d’un minimum de connaissances techniques de déployer des systèmes informatiques sophistiqués pour la collaboration, la gestion de projet, la création de contenu et bien plus encore. Les politiques des entreprises en ce qui concerne l’utilisation des appareils personnels (BYOD) permettent aux employés d’utiliser leurs propres ordinateurs et appareils mobiles sur le réseau de l’entreprise. Mais même avec un programme BYOD formel en place, les équipes informatiques manquent souvent de visibilité sur les logiciels et services que les employés utilisent sur le matériel BYOD, et il peut s’avérer compliqué d’appliquer les politiques de sécurité informatique sur les appareils personnels des employés.

Mais le shadow IT n’est pas toujours le fait d’employés qui agissent seuls. Les applications informatiques fantômes sont également adoptées par les équipes. Selon Gartner, 38 % des achats de technologie sont gérés, définis et contrôlés par les chefs d’entreprise et non pas par les services informatiques. Les équipes souhaitent adopter de nouveaux services cloud, des applications SaaS et d’autres technologies de l’information, mais ont généralement le sentiment que les processus d’approvisionnement mis en place par les services informatiques et le DSI sont trop onéreux ou lents. Elles contournent donc le service informatique pour obtenir les nouvelles technologies qu’elles souhaitent. Par exemple, une équipe de développement de logiciels pourrait adopter un nouvel environnement de développement intégré sans consulter les services informatiques, car le processus d’approbation formel retarderait le développement et ferait manquer à l’entreprise une opportunité de marché.

Les logiciels, applications et services tiers non approuvés sont peut-être la forme la plus répandue de shadow IT. En voici quelques exemples :

• Applications de productivité telles que Trello et Asana
   

• Applications de stockage, de partage de fichiers et d’édition de documents dans le cloud telles que Dropbox, Google Docs, Google Drive et Microsoft OneDrive
   

• Applications de communication et de messagerie, notamment Skype, Slack, WhatsApp, Zoom, Signal, Telegram, ainsi que les comptes de messagerie personnels

Ces services cloud et ces offres SaaS sont souvent faciles d'accès, d'utilisation intuitive et disponibles gratuitement ou à très faible coût, ce qui permet aux équipes de les déployer rapidement en fonction des besoins. Généralement, les employés apportent ces applications de shadow IT sur le lieu de travail parce qu'ils les utilisent déjà dans leur vie personnelle. Les employés peuvent également être invités à utiliser ces services par des clients, des partenaires ou des fournisseurs de services. Il n'est pas rare, par exemple, que les employés utilisent les applications de productivité des clients pour collaborer sur des projets.

Les appareils personnels des employés (smartphones, ordinateurs portables et périphériques de stockage tels que des clés USB et des disques durs externes) constituent une autre source courante de shadow IT. Les employés peuvent utiliser leurs appareils pour accéder aux ressources du réseau, les stocker ou les transmettre à distance, ou ils peuvent utiliser ces appareils sur site dans le cadre d'un programme BYOD officiel. Quoi qu'il en soit, il est souvent difficile pour les services informatiques de découvrir, surveiller et gérer ces appareils à l'aide des systèmes traditionnels de gestion des actifs.

Bien que les employés adoptent généralement le shadow IT en raison de ses avantages perçus, ces outils informatiques présentent des risques potentiels pour la sécurité de l'organisation. Ces risques comprennent :

Comme l’équipe informatique n’a généralement pas connaissance des actifs de shadow IT, les vulnérabilités de sécurité de ces ressources ne sont pas corrigées. Les utilisateurs finaux ou les services de l’entreprise peuvent ne pas comprendre l’importance des mises à jour, des correctifs, des configurations, des autorisations et des contrôles critiques de sécurité et de réglementation de ces actifs, ce qui accroît l’exposition aux risques de l’organisation.

Des données sensibles peuvent être stockées, consultées ou transmises via des appareils et applications de shadow IT non sécurisés, exposant ainsi l'entreprise à des risques de fuites ou de violations de données. Les données stockées dans des applications de shadow IT ne seront pas incluses lors des sauvegardes des ressources informatiques officiellement autorisées, ce qui rend difficile la récupération des informations en cas de perte de données. De plus, l'informatique fantôme peut également contribuer à l'incohérence des données : lorsque les données sont dispersées sur plusieurs actifs de shadow IT sans aucune gestion centralisée, les employés peuvent travailler avec des informations non officielles, invalides ou obsolètes.

Des réglementations telles que la loi HIPAA (Health Insurance Portability and Accountability Act), la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et le règlement général sur la protection des données (RGPD) imposent des exigences strictes en matière de traitement des informations personnelles identifiables. Les solutions de shadow IT développées par des employés et des départements sans expertise en matière de conformité peuvent ne pas répondre à ces normes de sécurité des données, ce qui peut entraîner des amendes ou des actions en justice contre l'organisation.

Les applications de shadow IT peuvent ne pas s'intégrer facilement à l'infrastructure informatique standard, ce qui entrave les workflows qui reposent sur des informations ou des actifs partagés. L'équipe informatique ne tiendra probablement pas compte des ressources informatiques fantômes lors de l'introduction de nouveaux actifs autorisés ou de la mise à disposition d'une infrastructure informatique pour un département donné. Par conséquent, l'équipe informatique peut apporter des modifications au réseau ou aux ressources réseau d'une manière qui perturbe la fonctionnalité des actifs de shadow IT que les équipes utilisent.

Par le passé, les organisations tentaient souvent d'atténuer ces risques en interdisant purement et simplement le shadow IT. Cependant, les responsables informatiques ont de plus en plus accepté l'informatique fantôme comme une réalité inévitable, et bon nombre d'entre eux ont commencé à adopter les avantages commerciaux qu'elle présente. Ces avantages comprennent :

• Permettre aux équipes d’être plus agiles pour répondre aux changements du paysage commercial et à l’évolution des nouvelles technologies
   

• Permettre aux employés d’utiliser les meilleurs outils pour leur travail
   

• Rationaliser les opérations informatiques en réduisant les coûts et les ressources nécessaires à l'acquisition de nouveaux actifs informatiques

Pour atténuer les risques du shadow IT sans sacrifier ces avantages, de nombreuses entreprises cherchent désormais à aligner l’informatique fantôme sur les protocoles de sécurité informatique standard plutôt que de l’interdire purement et simplement. À cette fin, les équipes informatiques mettent souvent en œuvre des technologies de cybersécurité telles que des outils de gestion de la surface d’attaque, qui surveillent en permanence les actifs informatiques d’une entreprise connectés à Internet afin de découvrir et d’identifier le shadow IT dès son adoption. Ces actifs fantômes peuvent ensuite être évalués pour détecter les vulnérabilités et y remédier. 

Les organisations peuvent également utiliser des logiciels de courtiers de sécurité d’accès au cloud (CASB), qui garantissent des connexions sécurisées entre les employés et tous les actifs cloud qu'ils utilisent, y compris les actifs connus et inconnus. Les CASB peuvent découvrir les services cloud fantômes et les soumettre à des mesures de sécurité telles que le chiffrement, les politiques de contrôle d'accès et la détection des malwares.