Aujourd’hui et depuis quelques années, dans le système d’information d’une entreprise, l'émergence du phénomène de "Shadow IT" ou "IT fantôme" est indéniable.
Le Shadow IT fait référence à l'utilisation de solutions logicielles au sein d'une organisation qui n'ont pas été officiellement approuvés par la DSI. Cela peut aller des applications non autorisées et des services cloud à l'utilisation d'appareils personnels pour le travail.
Le Shadow IT émerge principalement du désir des employés d'améliorer leur productivité avec des outils numériques simples et modernes, contournant souvent les procédures officielles au passage.
Cependant, bien qu'il puisse améliorer la productivité individuelle et collective, il comprend des risques significatifs, souvent négligés, pour l'organisation.
Mais comment apparait le Shadow IT ?
Si les utilisateurs ont recours au Shadow IT c’est qu’ils pensent ne pas avoir la solution dans le SI existant pour répondre au besoin.
Cela peut également être lié à l’efficacité : Dans leur vie personnelle, les utilisateurs ont pris l’habitude d’utiliser des applications avec une ergonomie très travaillée : Sur leurs smartphone ou leur écosystème logiciel, les éditeurs ont fait un travail important pour que l’usage soit optimisé. De retour au bureau, ces mêmes utilisateurs peuvent être déçus des interfaces des applications métiers et peuvent alors penser à des alternatives rencontrées en dehors de l’entreprise :
L’utilisation de Dropbox et Google Drive a explosé en entreprise alors que ces dernières ont pu investir fortement dans une GED (Gestion documentaire centralisée). Mais l’usage est souvent bien plus simple et de nombreuses intégrations sont possibles.
Pourquoi utiliser un CRM largement complexifié par de nombreuses règles de gestion alors qu’on peut faire un export CSV dans un tableau Excel et se le transmettre entre équipe ?
Nonobstant les problèmes potentiels, les utilisateurs trouvent finalement les résultats qu'ils recherchent avec ces outils. Ils sont bien souvent en avance sur les solutions métiers implémentés notamment en terme d’ergonomie, de performance, de fonctionnalités de collaborations et de possibilité d’intégration.
En synthèse :
Le meilleurs outil pour répondre à un besoin dans une équipe ne fait pas parti des applications “approuvées” par la DSI. Cela pousse souvent les utilisateur à adopter un service supplémentaire qui les aident à répondre à un besoin professionnel spécifique, à obtenir un avantage concurrentiel sur leur marché ou à collaborer plus efficacement.
Les utilisateurs ne sont pas conscients des risques de sécurité inhérents au Shadow IT : Les utilisateurs n'essaient peut-être pas délibérément de contourner les contrôles mis en place par leur département informatique, mais ils ignorent tout simplement pas que leurs actions peuvent compromettre les données sensibles de l'entreprise et augmenter le risque de violation et d'attaque des données.
Sous quelles formes trouve-t-on le Shadow IT ?
Le Shadow IT peut se présenter sous différents format.
Classeurs Excel comprenant des macros : On l’oublie souvent, les fichiers Excels se multiplient assez vite au sein d’une entreprise. Certains deviennent alors structurant pour l’activité d’une équipe et si on est un peu bricoleur on y ajoute de l’intelligence à travers les macros ou des formules avancées. En soit cela devient une petite application à lui tout seul.
Applications SaaS : L’écosystème SaaS s’agrandit chaque jour. Il s’agit dorénavant du mode de déploiement préférés des éditeurs et cela permet notamment une grande facilité de déploiement. Les équipes métiers ont se s’emparent alors de leur CB et peuvent sans l’aide de personne utilisées une nouvelle solution applicative.
Applications natives : Selon le niveau de droit accordés aux collaborateurs, il est tout à fait possible de retrouver également des applications natives installées sur les postes utilisateurs, sans l’approbation de la DSI.
Projet applicatifs sans appel à la DSI : Dans certaines organisations, peut-être dans certaine équipes, il est commun de penser que certains projets doivent être menés par le métier concerné. C’est parfois le cas pour des besoins de communication ou de marketing : Un Wordpress ou site Webflow est déployé rapidement et celui-ci se complexifie et nécessite alors des échanges de données avec d’autres “blocs” du système d’information
BYOD : L’utilisation d’appareil personnel est bien souvent encadré par la DSI (via une PGSSI ou une politique dédiée). Seulement il est très tentant pour un utilisateur d’ouvrir et d’exploiter une application installée initialement pour un usage personnel. Il est difficile de s’imposer une frontière entre usage personnel et professionnel.
Les risques du Shadow IT
Malgré les avantages apparents pour l'utilisateur (productivité, confort d’utilisation, autonomie), le Shadow IT présente certains risques. Le plus important est sans conteste celui lié à la sécurité. En effet, les outils utilisés sans contrôle ne sont pas toujours à jour en matière de sécurité et peuvent ainsi représenter une faille potentielle pour l’entreprise.
De plus, le Shadow IT peut également impliquer des risques juridiques. L'utilisation de logiciels non autorisés peut, par exemple, entraîner une violation des licences, mettant l'entreprise en situation irrégulière.
La gestion et la maintenance des systèmes informatiques peuvent aussi se voir compliquées par l'utilisation non autorisée de matériel et logiciels. Cela peut conduire à une augmentation des coûts et de la complexité des opérations.
Risque de cybersécurité
Puisqu’on ne la DSI ne les connait pas, elle ne peut pas contrôler le niveau de sécurité du Shadow IT : L’authentification, le niveau se sécurité de l’application elle-même ou encore le niveau de sensibilités des données ne peuvent être évaluer dans un audit de vulnérabilité ou pris en compte dans le contrôle d’un SMSI (Système de management du système d’information).
Violation de conformité
Les organisations peuvent violer sans le savoir les lois sur la conformité des données. Pour les organisations qui doivent se conformer aux réglementations sur la protection des données (par exemple, le GDPR), il est impératif qu'elles aient la capacité de suivre et de contrôler la façon dont les données sont traitées et partagées. Lorsque les employés utilisent des outils non autorisés pour traiter des données sensibles, ils peuvent par inadvertance faire courir à leur organisation le risque d'enfreindre ces lois, ce qui peut entraîner de lourdes pénalités et amendes.
Fuites de données
Les données sensibles peuvent être compromises ou volées. Les attaquants peuvent exploiter les erreurs de configuration et les vulnérabilités des services hébergés dans le cloud, ouvrant ainsi la voie à des violations de données et à d'autres cyberattaques. Ces attaques peuvent être menées à l'insu du service informatique, en particulier lorsqu'elles visent des applications et des outils non approuvés (et éventuellement non sécurisés). Et remédier à ces attaques peut s'avérer coûteux : dans une étude réalisée en 2020, IBM a estimé que les violations de données causées par une mauvaise configuration du cloud coûtent en moyenne 4,41 millions de dollars.
Le partage de fichiers est une pratique courante sui rend les firmes vulnérables de plusieurs manières.
Tout d’abord, il ouvre la porte à l’exfiltration de données et peut devenir très dangereux si un logiciel malveillant effectue un transfert de data non autorisé. Les données sensibles peuvent être captées, détruites, divulguées et même vendues.
Les outils de partage de documents permettent également aux utilisateurs de surpasser les limites normales d’envoi de pièces jointes. Les individus malintentionnés pourraient télécharger et stocker d’énormes quantités de data d’entreprise. Même les utilisateurs métiers de bonne volonté peuvent envoyer des liens de partage de document par e-mail sans se rendre compte que les données contenues dans ces fichiers sont de ce fait exposées à des dangers.
Manque d’intégration
On parle en France d’Urbanisation du système d’information : Les échanges de données et les traitements doivent être maitrisés, parfois rationnalisés afin que le SI soit construit pour soutenir la stratégie de l’entreprise.
Le Shadow IT échappe à la DSI qui ne peut donc pas le prendre en compte dans sa cartographie applicative ni dans l’optimisation des processus métiers. Les applications apparaissent dans cohérence,
Coûts supplémentaires
Le Shadow IT occasionne l’apparition de doublons applicatif dans l’entreprise :
Une même application peut avoir été souscrite plusieurs fois par des équipes différentes. Les coûts seront très souvent plus élevés qu’une instance unique déployées pour plusieurs entités.
Pour un même besoin deux applications différentes mais comparables fonctionnellement sont souscrites. Cela peut être le cas d’applications de suivi de projet comme Trello et Monday par exemple.
Comment gérer le Shadow IT ?
Gérer le Shadow IT est un défi pour les DSI car une approche trop stricte pourrait nuire à la productivité, tandis qu'une approche laxiste pourrait augmenter les risques associés. Quelques stratégies sont suggérées :
Connaissance et compréhension : Il est crucial d'identifier l'ampleur du Shadow IT dans l'entreprise. Des solutions de cartographie applicative comme Kabeen sont utiles pour cela.
La détection du Shadow IT : Les outils de détection du Shadow IT aident les équipes informatiques à suivre et analyser les systèmes et services employés, ce qui permet de créer des politiques pour autoriser, restreindre ou bloquer certains outils.
Utiliser un courtier de sécurité d'accès au cloud (CASB) : Un CASB permet de sécuriser les applications et services dans le cloud grâce à diverses technologies de sécurité. Il se présente bien souvent sous forme de proxy dans l’entreprise.
Éducation et communication : Une fois les risques du Shadow IT identifiés, ils doivent être clairement expliqués à tous les employés. Des formations sur les bonnes pratiques informatiques pourraient être utiles.
Améliorer la formation des employés en gestion des risques : Les employés peuvent ne pas être conscients des risques du shadow IT. Des formations sur les meilleures pratiques peuvent aider à pallier ce problème.
Proposer des alternatives sécurisées : Souvent, les employés recourent au Shadow IT parce que les outils officiels ne répondent pas à leurs besoins. En proposant des alternatives ergonomiques et sécurisées, le service informatique peut atténuer ce phénomène.
Communiquer avec les employés sur leurs besoins en outils : Créer un environnement de discussion ouvert et sans reproches peut aider à identifier les besoins spécifiques des employés en termes d'outils et à promouvoir un environnement de travail plus sûr.
Conclusion
En résumé, le Shadow IT, bien que pouvant augmenter la productivité individuelle, présente des risques indispensables à anticiper. Une solution équilibrée doit passer par une politique IT claire, une bonne communication et l'implémentation d'outils sécurisés et ergonomiques répondant aux besoins des employés.
En somme, le Shadow IT constitue à la fois un défi et une opportunité pour les entreprises.
Il est crucial de comprendre que son usage n’est pas simplement un refus de se conformer aux politiques internes, mais un signe que les outils technologiques existants ne répondent peut-être pas aux besoins des utilisateurs.
Plutôt que de l’interdire totalement, il serait bénéfique de canaliser cette initiative en offrant des alternatives sécurisées qui respectent les exigences de l’entreprise tout en répondant aux attentes des utilisateurs.
Cela demande une sensibilisation constante des utilisateurs, une gouvernance informatique robuste et un effort proactif pour identifier et contrôler le Shadow IT au sein de l’organisation.
