Qu’est ce que le shadow IT ?

Une des bêtes noires des services informatiques dans les entreprises, en plus des sessions non verrouillées, porte un nom bien funeste : le Shadow IT ou Rogue IT.

Dans cet article, nous revenons sur ce ce qu’est le fameux informatique fantôme qui fait tant frémir nos services informatiques.

Le shadow IT est un phénomène qui se produit lorsque les équipes d’une entreprise utilisent des logiciels, des applications ou des appareils, non approuvés par le service informatique de l’entreprise, pour améliorer leur productivité et leur efficacité. Télécharger Spotify sur son ordinateur professionnel ou utiliser une clé USB personnelle constitue une pratique de Shadow IT.

Si cette pratique peut paraitre inoffensive et est pratiquée sans intention de nuire de la part des équipes, elle introduit pourtant des risques significatifs pour la sécurité des entreprises.

Quelques exemples courant de Shadow IT :

• L’utilisation d’applications cloud ou SaaS non approuvées : utilisation de services comme Slack, Trello, ou Dropbox sans l’approbation du service informatique.
• L’utilisation d’appareils personnels : le fait d’accéder aux ressources de l’entreprise via des appareils personnels non sécurisés (téléphone ou ordinateur personnel) ou de connecter des périphériques personnels sur des appareils professionnels fournis par l’entreprise.
• L’installation de logiciels non autorisés : installation d’applications non approuvées pour améliorer sa productivité, sa gestion des tâches, par habitude ou pour un usage personnel (WhatsApp, outils de générations d’IA, applications de vente…).
• Le Shadow IoT Devices :L’utilisation de dispositifs connectés comme des trackers de fitness, des caméras ou des imprimantes sans autorisation informatique.
• Les connexions à des réseaux non autorisés : Connexion à des points d’accès Wi-Fi non sécurisés.

Il n’y a pas une seule et même cause au shadow IT. Cette pratique peut émerger par exemple parce que les équipes peuvent avoir besoin de certains outils dans leur quotidien professionnel mais ne sont pas forcément au courant des processus à suivre pour obtenir la validation du service informatique pour utiliser tel ou tel outil. Elles peuvent alors contourner les procédures et choisir d’installer elles même l’outil en question. Et cela d’autant plus si les procédures d’approbation sont longues ou si les outils fournis par l’entreprise ne répondent pas tout à fait aux besoins des équipes.

En outre, la facilité d’accès aux applications cloud a rendu plus simple pour les équipes de déployer des outils sans impliquer le service informatique.

Même si cela peut paraitre anodin en tant qu’utilisateur, le shadow IT engendre pour l’entreprise des vulnérabilités. Parmi lesquelles :

1. Un manque de visibilité : Les outils non approuvés peuvent rester inconnus jusqu’à ce qu’un incident de sécurité se produise. Les services informatiques ne sont pas en mesure d’anticiper les risques et ne peuvent pas s’assurer de la cohérence des systèmes et des pratiques informatiques des équipes.
2. Des risques de sécurité : L’utilisation de services tiers non sécurisés peut augmenter les risques de fuite de données, pouvant engendrer des conséquences financières et impacter l’image de l’entreprise.
3. Des risques de non-conformité : Le stockage et le partage de données sensibles via des canaux non approuvés peuvent entraîner des violations de la conformité des politiques de sécurité mises en place par l’entreprise mais aussi du RGPD. Ce dernier impose des obligations strictes aux organisations concernant la collecte, le traitement et la protection des données personnelles.

Afin de réduire le recours aux pratiques de shadow IT, il est donc nécessaire de sensibiliser les équipes aux risques auxquels le shadow IT expose l’entreprise, de communiquer sur les processus d’autorisation des logiciels et applications utilisés par les équipes et de fournir un catalogue de solutions approuvés lorsque cela est possible.