Accueil
Thèmes
Shadow IT
Le shadow IT, ou informatique fantôme, désigne tout logiciel, matériel ou ressource informatique utilisé sur un réseau d'entreprise sans l'approbation, la connaissance ou la supervision du service informatique.
Par exemple, l'informatique fantôme peut inclure le partage de fichiers de travail sur un compte de stockage cloud personnel, la tenue de réunions via une plateforme de visioconférence non autorisée alors que l'entreprise utilise un service homologué différent, ou la création d'un groupe de discussion non officiel sans l'approbation du service informatique.
Le shadow IT ne comprend pas les logiciels malveillants ou autres actifs malveillants implantés par des pirates informatiques. Il fait référence uniquement aux actifs non autorisés déployés par les utilisateurs finaux autorisés du réseau.
Les utilisateurs finaux et les équipes adoptent généralement l'informatique fantôme parce qu'ils peuvent commencer à l'utiliser sans attendre l'approbation du service informatique, ou parce qu'ils estiment qu'elle offre de meilleures fonctionnalités pour leurs besoins que les alternatives proposées par le service informatique. Cependant, malgré ces avantages, le shadow IT peut présenter des risques de sécurité importants. Comme le service informatique n'est pas au courant de l'existence des actifs de Shadow IT, elle ne les surveille pas ces ressources et ne corrige pas leurs vulnérabilités. Le shadow IT est particulièrement susceptible d’être exploité par les pirates informatiques. Selon le rapport de 2022 sur l'état de la gestion de la surface d’attaque d'ESG, près de 7 organisations sur 10 ont été compromises par le shadow IT entre 2021 et 2022.
Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.
Selon Cisco (lien externe à ibm.com), 80 % des employés d'une entreprise utilisent le shadow IT. Les employés recourent généralement à l'informatique fantôme pour des raisons pratiques et de productivité. Ils estiment pouvoir travailler plus efficacement ou d'une manière plus efficiente avec leurs propres appareils et les logiciels de leur choix, plutôt qu'en utilisant les ressources informatiques approuvées de l'entreprise.
Ce phénomène n'a fait qu'augmenter avec la consumérisation de l'informatique et, plus récemment, avec l'essor du télétravail. Le logiciel en tant que service (SaaS) permet à une personne disposant d'une carte de crédit et d'un minimum de connaissances techniques de déployer des systèmes informatiques sophistiqués pour la collaboration, la gestion de projet, la création de contenu et bien plus encore. Les politiques des organisations en ce qui concerne l'utilisation des appareils personnels (BYOD) permettent aux employés d'utiliser leurs propres ordinateurs et appareils mobiles sur le réseau de l'entreprise. Mais même avec un programme BYOD formel en place, les équipes informatiques manquent souvent de visibilité sur les logiciels et services que les employés utilisent sur le matériel BYOD, et il peut s'avérer compliqué d'appliquer les politiques de sécurité informatique sur les appareils personnels des employés.
Mais le shadow IT n'est pas toujours le fait d'employés qui agissent seuls ; les applications informatiques fantômes sont également adoptées par les équipes. Selon Gartner (lien externe à ibm.com), 38 % des achats technologiques sont gérés, définis et contrôlés par les chefs d'entreprise et non pas par les services informatiques. Les équipes souhaitent adopter de nouveaux services cloud, des applications SaaS et d'autres technologies de l'information, mais ont généralement le sentiment que les processus d'acquisition mis en place par les services informatiques et le DSI sont trop onéreux ou lents. Elles contournent donc le service informatique pour obtenir les nouvelles technologies qu'elles souhaitent. Par exemple, une équipe de développement de logiciels pourrait adopter un nouvel environnement de développement intégré sans consulter les services informatiques, car le processus d'approbation formel retarderait le développement et ferait manquer à l'entreprise une opportunité de marché.
Les logiciels, applications et services tiers non approuvés sont peut-être la forme la plus répandue de shadow IT. Quelques exemples :
Applications de productivité telles que Trello et Asana
Applications de stockage, de partage de fichiers et d'édition de documents dans le cloud telles que Dropbox, Google Docs, Google Drive et Microsoft OneDrive
Applications de communication et de messagerie, notamment Skype, Slack, WhatsApp, Zoom, Signal, Telegram, ainsi que les comptes de messagerie personnels
Ces services cloud et ces offres SaaS sont souvent faciles d'accès, d'utilisation intuitive et disponibles gratuitement ou à très faible coût, ce qui permet aux équipes de les déployer rapidement en fonction des besoins. Généralement, les employés apportent ces applications de shadow IT sur le lieu de travail parce qu'ils les utilisent déjà dans leur vie personnelle. Les employés peuvent également être invités à utiliser ces services par des clients, des partenaires ou des fournisseurs de services. Il n'est pas rare, par exemple, que les employés utilisent les applications de productivité des clients pour collaborer sur des projets.
Les appareils personnels des employés (smartphones, ordinateurs portables et périphériques de stockage tels que des clés USB et des disques durs externes) constituent une autre source courante de shadow IT. Les employés peuvent utiliser leurs appareils pour accéder aux ressources du réseau, les stocker ou les transmettre à distance, ou ils peuvent utiliser ces appareils sur site dans le cadre d'un programme BYOD officiel. Quoi qu'il en soit, il est souvent difficile pour les services informatiques de découvrir, surveiller et gérer ces appareils à l'aide des systèmes traditionnels de gestion des actifs.
Bien que les employés adoptent généralement le shadow IT en raison de ses avantages perçus, ces outils informatiques présentent des risques potentiels pour la sécurité de l'organisation. Ces risques comprennent :
Perte de visibilité et de contrôle informatiques
Comme l'équipe informatique n'a généralement pas connaissance des actifs de shadow IT spécifiques, les vulnérabilités de sécurité de ces ressources ne sont pas corrigées. Selon le rapport The State of Attack Surface Management 2022 d'IBM Security Randori, les organisations disposent de 30 % d'actifs exposés de plus que ce que leurs programmes de gestion des actifs identifient. Les utilisateurs finaux ou les services de l'entreprise peuvent ne pas comprendre l'importance des mises à jour, des correctifs, des configurations, des autorisations et des contrôles critiques de sécurité et de réglementation de ces actifs, ce qui accroît l'exposition aux risques de l'organisation.
Insécurité des données
Des données sensibles peuvent être stockées, consultées ou transmises via des appareils et applications de shadow IT non sécurisés, exposant ainsi l'entreprise à des risques de fuites ou de violations de données. Les données stockées dans des applications de shadow IT ne seront pas incluses lors des sauvegardes des ressources informatiques officiellement autorisées, ce qui rend difficile la récupération des informations en cas de perte de données. De plus, l'informatique fantôme peut également contribuer à l'incohérence des données : lorsque les données sont dispersées sur plusieurs actifs de shadow IT sans aucune gestion centralisée, les employés peuvent travailler avec des informations non officielles, invalides ou obsolètes.
Problèmes de conformité
Des réglementations telles que la loi HIPAA (Health Insurance Portability and Accountability Act), la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et le règlement général sur la protection des données (RGPD) imposent des exigences strictes en matière de traitement des informations personnelles identifiables. Les solutions de shadow IT développées par des employés et des départements sans expertise en matière de conformité peuvent ne pas répondre à ces normes de sécurité des données, ce qui peut entraîner des amendes ou des actions en justice contre l'organisation.
Inefficacité opérationnelle
Les applications de shadow IT peuvent ne pas s'intégrer facilement à l'infrastructure informatique standard, ce qui entrave les workflows qui reposent sur des informations ou des actifs partagés. L'équipe informatique ne tiendra probablement pas compte des ressources informatiques fantômes lors de l'introduction de nouveaux actifs autorisés ou de la mise à disposition d'une infrastructure informatique pour un département donné. Par conséquent, l'équipe informatique peut apporter des modifications au réseau ou aux ressources réseau d'une manière qui perturbe la fonctionnalité des actifs de shadow IT que les équipes utilisent.
Par le passé, les organisations tentaient souvent d'atténuer ces risques en interdisant purement et simplement le shadow IT. Cependant, les responsables informatiques ont de plus en plus accepté l'informatique fantôme comme une réalité inévitable, et bon nombre d'entre eux ont commencé à adopter les avantages commerciaux qu'elle présente. Ces avantages comprennent :
Permettre aux équipes d'être plus agiles pour répondre aux changements du paysage commercial et à l'évolution des nouvelles technologies
Permettre aux employés d'utiliser les meilleurs outils pour leur travail
Rationaliser les opérations informatiques en réduisant les coûts et les ressources nécessaires à l'acquisition de nouveaux actifs informatiques
Pour atténuer les risques du shadow IT sans sacrifier ces avantages, de nombreuses organisations cherchent désormais à aligner l'informatique fantôme sur les protocoles de sécurité informatique standard plutôt que de l'interdire purement et simplement. À cette fin, les équipes informatiques mettent souvent en œuvre des technologies de cybersécurité telles que des outils de gestion de la surface d'attaque, qui surveillent en permanence les actifs informatiques d'une organisation connectés à Internet afin de découvrir et d'identifier l'informatique fantôme dès son adoption. Ces actifs fantômes peuvent ensuite être évalués pour détecter les vulnérabilités et y remédier.
Les organisations peuvent également utiliser des logiciels de courtiers de sécurité d’accès au cloud (CASB), qui garantissent des connexions sécurisées entre les employés et tous les actifs cloud qu'ils utilisent, y compris les actifs connus et inconnus. Les CASB peuvent découvrir les services cloud fantômes et les soumettre à des mesures de sécurité telles que le chiffrement, les politiques de contrôle d'accès et la détection des malwares.
Améliorez la résilience de votre entreprise face à l’incertitude grâce au logiciel complet de cybersécurité IBM Security.
Protégez les données de votre entreprise dans les différents environnements, respectez les réglementations en matière de confidentialité et simplifiez la complexité opérationnelle.
Intégrez des contrôles, orchestrez le déploiement des charges de travail et gérez efficacement les menaces pour votre programme de sécurité hybride et multicloud grâce aux produits et à l'expertise d'IBM Security.
La technologie et les bonnes pratiques en matière de cybersécurité protègent les systèmes critiques et les informations sensibles contre un nombre croissant de menaces en constante évolution.
La gestion de la surface d’attaque aide les entreprises à découvrir, hiérarchiser et corriger les vulnérabilités aux cyberattaques.
L’ITAM veille à ce que chaque actif soit correctement utilisé, entretenu, mis à niveau et éliminé à la fin de son cycle de vie.