Qu’est-ce que le shadow IT ?
Couramment utilisé par les salariés, le shadow IT ou Rogue IT désigne l’utilisation de logiciels, de périphériques, d’un poste de travail ou d’un téléphone mobile au sein de l’entreprise sans l’approbation du service informatique.
En forte augmentation depuis la démocratisation du cloud computing, le shadow IT est au cœur de la préoccupation des équipes de sécurité informatique.
En 2020, 80% des salariés admettent utiliser au moins un service externe sans l’accord préalable de l’équipe informatique.
À l’heure du tout collaboratif et du télétravail, les DSI et RSSI doivent repenser l’architecture de sécurité de l’entreprise.
Menace venue de l’intérieur, le shadow IT peut nuire à la sécurité de l’entreprise et engendrer un défaut de conformité ou un risque cyber.
Quels sont les risques engendrés par le shadow IT ?
Le shadow IT s’apparente la plupart du temps à une utilisation de suites logicielles tierces permettant de contourner une situation de blocage.
- Envoyer par le service d’hébergement Wetransfer votre pièce jointe car elle est trop lourde pour être envoyée par mail.
- Diffuser des mots de passe sur des messageries SaaS comme Whatsapp ou Facebook messenger en dehors de la messagerie professionnelle de l’entreprise.
- Se connecter au CRM ou à l’ERP de l’entreprise sur un matériel informatique personnel au travers d’un réseau wifi non sécurisé.
- Partager des données confidentielles et sensibles sur une clé USB externe sans chiffrement préalable.
- Utiliser son ordinateur personnel à la place du poste de travail fourni par l’entreprise.
L’ensemble de ces cas d’usages courants peuvent générer de graves incidents de sécurité dans l’entreprise.
Une intrusion sur les réseaux informatiques ou la divulgation d’informations sensibles passent souvent par l’interception de données sur un service non autorisé par l’équipe informatique.
De plus, les événements de cybersécurité de ces dernières années ont démontré que des attaques de grande ampleur étaient le résultat d’une négligence de l’utilisation de l’outil informatique par un salarié ou un prestataire.
Selon le cabinet d’analyse Gartner, 30% des incidents de sécurité de l’année 2020 pourraient être à l’initiative de données hébergées sur des services non autorisés.
Ces données peuvent être également hébergées sur des objets connectés (IoT).
On parle dans ce cas, de shadow IoT.
Sécurité et conformité
Les pirates informatiques et cybercriminels utilisent le plus souvent des outils de reconnaissance permettant de rechercher les vulnérabilités connues.
En utilisant des logiciels métiers ou de bureautique non mis à jour et non maintenus par l’équipe informatique, les utilisateurs finaux génèrent potentiellement des failles de sécurité dans l’entreprise.
Sur mobile, l’installation d’une application malveillante peut engendrer une fuite de données et la violation de réglementations comme le RGPD.
Rappelons que conformément au règlement général sur la protection des données, une entreprise a 72h pour communiquer une fuite de données auprès de la CNIL et des utilisateurs impactés.
En 2020 la CNIL a mesuré une augmentation de 24% de cas de violation de données pour une comptabilisation de 2825 cas.
Ces violations de données personnelles ont affecté des petites comme des grandes entreprises.
Comment contrôler et contenir le shadow IT ?
Prévenir les fuites de données
En partageant des données dans un environnement non contrôlé, il est très difficile, voire impossible de pouvoir délimiter une surface d’attaque.
Dans le but de prévenir ces menaces pesant sur la sécurité de l’entreprise, le déploiement d’un outil de DLP pour data loss prevention permet de détecter un partage de données sensibles ou confidentielles ou l’accès non autorisé à une ressource informatique, comme les bases de données ou des fichiers partagés par exemple.
En se basant sur la politique de sécurité informatique de l’entreprise, ces solutions de cybersécurité permettent d’identifier, de protéger et de contrôler l’accès et l’utilisation de données sensibles.
Ainsi, le service informatique de l’entreprise est alerté en cas de violation. Les principaux outils de DLP du marché s’intègrent aujourd’hui avec tout type de SOC.
Faire un audit de sécurité informatique
Évaluer la sécurité des infrastructures critiques (active directory, sauvegardes, centres de données) de l’entreprise permet de détecter des failles de sécurité.
Un audit de sécurité peut être effectué par une équipe d’experts en cybersécurité ou par des solutions informatiques autonomes de recherche de vulnérabilités.
En se basant sur un catalogue de vulnérabilités connues (CVE), ces solutions permettent de scanner les serveurs, postes de travail et réseaux quotidiennement.
Comme pour le DLP, ces solutions notifient en temps réel le responsable informatique et son équipe en cas de violation des règles établies.
Contrôler les accès des prestataires
Au-delà des salariés, les sous-traitants et prestataires d’infogérance sont une population à risque qui doit être contrôlée au sein de la société.
Rappelons qu’en 2019, le groupe Airbus a été victime d’une série de cyberattaques visant à espionner le géant de l’aéronautique au travers de deux de ses sous-traitants.
Plus que jamais la sensibilisation des salariés et des sous-traitants doit se faire dans un cadre strictement réglementé permettant ainsi d’assurer un niveau de sécurité optimal.
