Lumière sur les enjeux du Shadow IT

Co-écrit par Sarah Tedeschi et Anne-Laure Ledinot.

L’utilisation d’une plateforme d’échange publique (WeTransfer, Dropbox, Google Drive, etc.) pour l’envoi de documents confidentiels, l’appel à un prestataire au niveau de sécurité non connu pour la gestion de bases de données clients, l’utilisation de clés USB personnelles sur son lieu de travail, le téléchargement d’APIS sur internet… Les exemples de Shadow IT, c’est-à-dire d’utilisation de logiciels ou d’applications qui échappent au contrôle de la DSI, sont multiples. Agilité ou sécurité ? Les organisations doivent faire face à l’usage de plus en plus fréquent d’outils non répertoriés par les services IT représentant un risque pour la sécurité du SI.

Que peuvent faire le RSSI, le DSI et le DPO face au Shadow IT ? Comment encadrer ce phénomène sans pour autant freiner l’innovation et les changements de pratique ?

Le Shadow IT, un phénomène de plus en plus répandu

Par définition, il est difficile d’estimer l’ampleur du phénomène « Shadow IT ». En 2017, une étude réalisée par le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) révèle que lorsque les DSI des entreprises interrogées répertorient en moyenne entre 30 à 40 applications Cloud, 1700 applications sont en réalité utilisées par leurs employés.

La plupart des organisations sont confrontées à une augmentation du Shadow IT. Plusieurs tendances peuvent être identifiées :

  • l’essor du Cloud Computing. Grâce à la facilité d’utilisation de plateformes d’échange de fichiers. L’entreprise Cisco a notamment souligné le fait qu’en moyenne 98% des services Cloud utilisés par les grandes entreprises font partie du Shadow IT, confirmant les chiffres du CESIN.
  • l’utilisation de macros sous Excel,
  • le « Bring Your Own Device » – une pratique encourageant l’utilisation d’équipements informatiques personnels (smartphone, ordinateur personnel…) à des fins professionnelles.
  • l’émergence des pratiques DevOps, c’est-à-dire un environnement unique pour les phases de développement et de déploiement des solutions, augmente les risques de contournement de la DSI.

Une pratique risquée pour les organisations

Les raisons de l’émergence du Shadow IT résident principalement dans la réponse à un besoin de productivité des collaborateurs. Pour expliquer ces pratiques, ceux-ci mettent en avant le fait que les services/applications proposés par la DSI seraient moins efficaces que les outils extérieurs ou trop complexes d’utilisation. De nombreux outils externes à l’entreprise proposent en effet des fonctionnalités innovantes avec une expérience utilisateur intuitive.

Le Shadow IT est aujourd’hui une source de risques conséquente pour les acteurs économiques, à cause du manque de visibilité sur ces usages et de l’absence de toute supervision.

Ces risques sont de plusieurs ordres :

  • Sécurité informatique: La supervision de la DSI permet de garantir un niveau de sécurité sur les éléments constitutifs du système d’information, et de proposer ainsi une meilleure gestion du risque cyber.
    • Ex : Les logiciels de Shadow IT ne seront pas systématiquement mis à jour en cas de découverte d’une faille les impactant, ce qui exposerait fortement le SI.
  • Dysfonctionnement du SI : L’uniformité du système d’information peut être remise en question par le Shadow IT. Les ressources mobilisées peuvent entrer en conflit avec les éléments constitutifs du système d’information et impacter son bon fonctionnement.
  • Risques business: Le Shadow IT représente un coût important pour les entreprises car celui-ci vient directement impacter le ROI (Return on Investment) des solutions mises en place par la DSI et non utilisées à cause des pratiques de Shadow IT. Ces ressources correspondent également à des sources de données non prises en compte dans les référentiels de l’organisation, ce qui vient nuire à leur cohérence.
  • Non-compliance: Le Shadow IT peut également mener à des non-conformités vis-à-vis des exigences établies par les régulateurs.
    • Ex : L’utilisation de certaines applications crée des flux de données non contrôlés par la DSI. Cela peut mener à des fuites de données, exposant l’entreprise à des sanctions pour non-respect du RGPD.

Les remparts contre le Shadow IT

Quels moyens peuvent être mis en œuvre pour limiter l’utilisation d’outils inconnus de la DSI ?

La première catégorie de préconisations concerne les solutions techniques telles que les CASB (Cloud Access Security Broker). Placés entre les utilisateurs et les services du Cloud, ces logiciels permettent de :

  • Conserver de la visibilité sur les applications Cloud utilisées dans une organisation
  • Assurer la conformité aux réglementations en imposant des contrôles
  • Surveiller l’accès des utilisateurs aux données sensibles
  • Bloquer l’accès d’utilisateurs non autorisés aux données sensibles

Déployés dans l’entreprise ou dans le Cloud, ils donnent aux RSSI de la visibilité sur les usages des collaborateurs. Les passerelles web sécurisées (SWG – Secure Web Gateway) permettent quant à elles de filtrer les contenus malveillants dès leur entrée sur le réseau. L’analyse du trafic http et ftp permet de détecter le contenu suspect. Enfin, des solutions de DLP peuvent permettre d’éviter les fuites de données.

Le CESIN a établi une liste de recommandations à suivre pour limiter le Shadow IT. Ces dernières sont réparties en deux grandes catégories. Tout d’abord, des actions à mener par la DSI : analyser les logs des firewalls et des switchs afin de filtrer les échanges vers l’extérieur, utiliser une solution CASB pour entre autres se prémunir contre les incidents de sécurité chez les fournisseurs. Enfin, les services IT doivent être à l’écoute des utilisateurs pour comprendre leurs besoins et réduire leur tentation de contourner la DSI pour gagner du temps. Les attentes fonctionnelles du métier doivent être définies et respectées.

La deuxième catégorie de préconisations recouvre les actions relevant du périmètre du RSSI. Ce dernier doit réaliser des analyses de risques afin d’identifier les flux les plus critiques pour l’entreprise, et prendre la décision de transférer ou non ce risque vers des acteurs de la sécurité. Il est également pertinent d’intégrer une validation des équipes sécurité dans le cycle de vie de chaque projet informatique. Cela permet à la sécurité de s’assurer que les solutions envisagées sont conformes et d’éviter l’expansion du Shadow IT. Le RSSI doit aussi s’assurer qu’une procédure d’acquisition des solutions informatiques est formalisée et accessible pour les différents acteurs de l’entreprise (directions métier, département R&D, direction des achats, entre autres). L’acquisition d’une solution doit être accompagnée d’une analyse de risques permettant de déterminer si le patrimoine informationnel de l’entreprise court un danger ou non.

Le RSSI doit enfin favoriser la sensibilisation des collaborateurs en mettant par exemple en place des niveaux de confidentialité des documents (C1, C2, C3). Il est également important de communiquer sur les solutions qui s’offrent aux utilisateurs (partage de documents, réseaux sociaux, etc.) pour éviter que ces derniers ne se tournent vers des solutions non répertoriées par la DSI. Enfin, le RSSI doit trouver un équilibre entre les offres on-premise (sur site) ou off-premise. L’entreprise est-elle prête à faire face au risque de déni de service ou de perte d’information qu’induit l’outsourcing ? Cette question se pose particulièrement pour des domaines comme le maintien opérationnel des serveurs ou la gestion des identités.

Toutefois, il est également possible d’assimiler le Shadow IT à une opportunité de repérer des solutions innovantes et de répondre aux besoins des métiers en étoffant le catalogue de la DSI. Une solution de CASB permet de cartographier le Shadow IT, puis les éléments détectés (macros excel, custom dev, applications installées illégitimement, etc.) peuvent éventuellement être intégrés à la stratégie IT de l’entreprise.

Beijaflore peut vous accompagner dans des travaux de cartographie du SI, permettant de détecter la partie du SI qui échappe à la vision de la DSI. La classification des actifs permet quant à elle de contrôler les flux les plus critiques et de déterminer si une solution on-premise est préférable. Enfin, Beijaflore peut vous aider dans des missions d’audit et de sensibilisation de vos collaborateurs aux risques IT.