Pourquoi le Shadow IT est une faiblesse à prendre au sérieux

Dans le domaine de la cybersécurité, et plus particulièrement dans le SaaS Management, le terme de Shadow IT a gagné en popularité.

Tous les acteurs du secteur ainsi que les médias l'utilisent, mais que cache cette appellation mystérieuse ?

En français, les traductions consacrées sont “informatique fantôme” ou “informatique parallèle”.
En l’état, l’informatique fantôme est une mauvaise pratique interne d’utilisation des outils numériques par les collaborateurs.

Bon là, nous avons largement résumé l’idée. Dans la pratique, cela désigne tous les bidouillages de connexion, souscriptions à des licences de manière subreptice, entre autres actions individuelles assimilées, qui sont effectuées sans l’aval de l’équipe informatique.

La praticité en cache-misère de l’ingérence sécuritaire

Nous savons très bien (à l’instar de vos responsables IT, d’ailleurs) que loin d’être le fruit de malveillance, le prêt d'identifiants et la souscription “juste parce que j’avais besoin du plan payant en essai pour boucler ce projet et j’ai juste oublié d’annuler avant le prélèvement sur la carte bleue de l'entreprise” sont surtout les résultats d’une volonté commune de productivité.

Toutefois en cybersécurité, les raccourcis se paient par une longue et laborieuse remontée de pente si vous êtes tombé sur une faille en chemin.

Ces mauvaises pratiques sont d’autant plus sournoises qu’elles peuvent perdurer sans parvenir à la connaissance de l'équipe informatique pendant plusieurs mois, l'équipe pourtant la plus indiquée pour encadrer ce type d'usage.

Évidemment, d'un mauvais comportement isolé ne résulte par systématiquement un piratage. Mais, comme dans tous les domaines concernés par des risques critiques, le principe de précaution est toujours celui qui doit primer en cybersécurité. 

La liste (non exhaustive) des complications possibles :

1. La fuite de données sensibles : certains collaborateurs moins sensibilisés aux enjeux de cybersécurité peuvent, par mégarde, divulguer des informations sensibles ou des fichiers à des destinataires inappropriés.
2. La violation des droits de tiers : avec un risque similaire d'extrusion de données.
3. L’accès permissif superflu aux fournisseurs : à des systèmes d’informations ou des fichiers internes, qui crée une situation de non-conformité.
4. Le ciblage accru de rôles clés par les cybercriminels : de par leur accès privilégiés et stratégiques à pirater pour déclencher d’autres cyberattaques (comme une campagne de corruption des emails professionnels).
5. L’exploitation des montées de version logicielles : lorsqu’elles sont diffusées depuis les postes des développeurs, devOps et les outils d’automatisation disposant des accès aux plus fort niveau de privilèges.

Vous voyez le tableau : les sources d'atteinte à l'intégrité des données sont nombreuses et diversifiées.

Comme il est déjà compliqué de s'assurer de la solidité des systèmes lorsqu'on ignore par quel biais une tentative d'attaque va être menée, le manque de transparence ne vient qu'aggraver les risques existants.
L'enjeu de diminution du Shadow IT vise à réduire la présence de ces processus occultes qui rajoutent des vulnérabilités potentielles.

L'utilisation d'un outil de détection de Shadow IT par l'équipe informatique est le premier pas vers un écosystème contrôlé.
Cette étape permettra de mesurer l'ampleur et la nature des pratiques existantes de votre entreprise. Elle redonnera la main à l'équipe référente sur les processus de connexion et clarifiera l'usage de vos SaaS actuels.
‍

En outre, vous pourrez profiter de sa mise en place pour établir un protocole dédié pour l'onboarding et l'offboarding des collaborateurs.
Une occasion adéquate de les sensibiliser aux risques cyber et leur indiquer comment utiliser au mieux les outils numériques professionnels pour qu'ils deviennent plus vigilants au quotidien.