Trouvez votre solution

  1. 1

    Vous voulez...

  2. 2

    Dans quel but ?

  3. 3

    Pour quel objectif ?

recommencer
PGE : un plafond plus adapté à l’activité saisonnière
Article précédent PGE : un plafond plus adapté à l’activité saisonnière
L’Etat lance un site lié aux mesures de relance
Article suivant L’Etat lance un site lié aux mesures de relance

Shadow IT : un usage à garder sous contrôle

13/10/2020

Quand les salariés utilisent des outils digitaux sans autorisation, ils mettent en danger les systèmes d’information et les données de l’entreprise. Avec le boom du télétravail, la menace du shadow IT plane plus que jamais sur les entreprises. Bonnes pratiques pour limiter les risques.

 

 

 

 

 

 

Shadow IT, une menace pour votre patrimoine informationnel

Crise du Covid-19 oblige, le télétravail est devenu la norme pour nombre de Français. Si bien que 70% des responsables IT s'inquiètent pour la cybersécurité de leur entreprise à cause du shadow IT : 54% déclarent que les collaborateurs ont installé un logiciel non autorisé, selon un sondage Citrix.

 

Le shadow IT, ou IT cachée ou IT fantôme, désigne l’utilisation de technologies matérielles et logicielles (messagerie externe, solutions de partage de fichiers, drive, chat, convertisseurs de PDF…) par les collaborateurs sans l’accord du département informatique de l’entreprise. Or, une politique de sécurité efficace impose que la DSI ait le contrôle de son système d’information.

 

« Consommer de l’IT sans prendre ses précautions met en risque l’entreprise dans laquelle on travaille, met en garde Didier Gras, responsable cybersécurité chez BNP Paribas. Télécharger n’importe quelle appli n’est pas anodin, c’est un peu comme introduire le loup dans la bergerie. De nouvelles applis apparaissent tous les jours, elles sont fun et user friendly, on ne se méfie pas. Or, régulièrement des applis malveillantes sont retirées des stores. » Bien souvent hébergées dans le cloud, les applications externes peuvent présenter des failles de sécurité, avec pour conséquences une possible infection de fichiers et du matériel informatique, une fuite, la perte ou la compromission de données. Dans le cadre des différentes réglementations tel le RGPD, l’enjeu est de taille ! 

En outre, en multipliant les outils utilisés et les emplacements de stockage des données, les collaborateurs peuvent générer des conflits entre les données : dédoublement et silotage des données, etc.

1 employé sur 2 a installé un logiciel non autorisé

Pistes pour lutter contre le shadow IT

Limiter et encadrer le shadow IT

 

« Parce que les conséquences peuvent être graves, il n’est pas possible de laisser aux utilisateurs la liberté de choisir leurs outils IT, fait savoir Didier Gras. Les droits administrateur doivent être très bien gérés pour bloquer tous les téléchargements non autorisés, ainsi que les désinstallations de logiciels essentiels comme l’anti-virus. Dans l’idéal, il vaut mieux accompagner et contrôler plutôt qu’interdire. »

 

Pour cela, l’entreprise doit reprendre le contrôle de son SI. Les outils de cybersécurité permettent de savoir quels sont les outils Cloud utilisés par les employés. Au moyen de ces rapports, il est possible d’identifier les besoins réels des utilisateurs et d’apporter le service approprié, sécurisé et adapté aux usages.

 

Il peut, par exemple, être opportun de créer un catalogue des outils internes, de ceux testés et approuvés par l’entreprise et ceux qui sont interdits.

 

Afin d’anticiper les téléchargements et les pratiques sauvages, la DSI doit instaurer un climat de confiance susceptible d’encourager les questions et sollicitations des salariés. Sa capacité à répondre aux besoins est l’une des clés pour limiter le shadow IT. Par exemple, il peut être utile de prévoir une procédure pour répondre rapidement aux demandes des utilisateurs qui souhaitent utiliser tel ou tel outil non catalogué.

MIEUX VAUT ACCOMPAGNER ET CONTRÔLER QU’INTERDIRE

Sensibiliser et responsabiliser les collaborateurs

 

« Il est capital de responsabiliser les lignes métiers sur l’importance de la sécurité des données confiées par les clients et les partenaires, préconise Didier Gras. Le shadow IT ce n’est pas une affaire d’informaticien ! Il est indispensable d’impliquer les métiers eux-mêmes dans la politique de gestion de la donnée. Les métiers mais aussi les fonctions transverses comme la communication, le contrôle de gestion et même les RH. Le shadow IT est bien une préoccupation d’entreprise où chacun doit concourir à en limiter les cas d’usage. »

 

Les collaborateurs n’ont probablement pas conscience des risques qu’ils font courir à l’entreprise en utilisant des outils non répertoriés et validés par l’entreprise. Comme pour le BYOD (bring your own device), un effort de pédagogie doit être consenti régulièrement. Doivent être rappelés, par tout moyen, les enjeux, le cadre réglementaire et législatif, les risques, les conséquences et la politique en vigueur dans l’entreprise. Dans cette optique, l’élaboration et la diffusion d'une charte informatique constitue un bon levier afin de minimiser les risques et de promouvoir les bonnes pratiques. Un chapitre doit notamment être consacré à la gouvernance des données dans le cloud.

 

« Les salariés doivent développer les bons réflexes numériques et rester vigilants, recommande Didier Gras. Que ce soit à titre professionnel ou personnel, avant chaque téléchargement, il faut se renseigner sur le logiciel et son éditeur. Les médias spécialisés et des instances officielles, comme l’ANSSI (Agence nationale de la sécurité des systèmes d'information), publient régulièrement des alertes de sécurité. Enfin, si téléchargement il doit y avoir, le faire tant que possible sur le site de l’éditeur. »