Shadow IT : identifier les zones d’ombre de l’entreprise pour garantir sa sécurité


Rédigé par Claire Kago, Paessler AG le 27 Janvier 2020

Disposer d’une visibilité complète sur le réseau de son entreprise est primordial pour assurer sa bonne gestion et sa sécurité, mais aussi pour surveiller l’expansion des infrastructures, logiciels et services non prévus par la DSI, le fameux Shadow IT.



Claire Kago, Sales & Business Development Manager France chez Paessler AG
Pour les administrateurs réseau, la simple pensée d’un système IT inconnu ou même partiellement inconnu sur leur réseau peut suffire à les faire frissonner. Des réseaux IT fantômes (ou Shadow IT) comprenant des infrastructures complexes peuvent en effet se développer à partir de pratiques régulières des collaborateurs, et cela sans l’accord ou la connaissance de l'équipe IT, réseaux et sécurité. Ces systèmes peuvent être aussi bien des environnements matériels managés ou encore des solutions d’ERP complètes utilisées quotidiennement dans toute l’entreprise et exploitant les données du système ERP officiel, mais tout en restant inaccessibles au service IT.

Des systèmes fantômes indépendants apparaissent généralement en raison d’une offre d’outils IT ne correspondant pas aux attentes des collaborateurs. Ainsi, si un département ne se voit pas proposer des solutions adaptées à son travail, ou encore si les chefs de services ne sont pas formés à la nécessité de travailler à partir d’un réseau d’entreprise centralisé, il est probable que des solutions seront acquises ou créées à partir de zéro, sans consultation du service IT.

D’après un sondage publié par Entrust Datacard et mené auprès de 1000 professionnels de l’industrie du numérique, 40% d’entre eux déclarent avoir eu recours au Shadow IT en utilisant un dispositif, une application ou autre nouvelle technologie sans avoir obtenu au préalable l’approbation de leur service IT. Par ailleurs, 37% des employés estiment que leur entreprise ne possède pas de règles internes clairement définies sur le sujet.

Il faut dire que le développement du Shadow IT dans une entreprise peut avoir ses avantages, en permettant aux collaborateurs d’être plus productifs ou plus engagés, par exemple. Mais le Shadow IT peut également être à l’origine d’une multitude de risques involontaires pour les réseaux et l’IT de l’entreprise dans son ensemble :

1. Vulnérabilités à découvert

L’exposition des vulnérabilités est le premier risque majeur qui vient à l’esprit lorsque l’on pense à la présence d’un système inconnu sur le réseau. Une infrastructure mise en place à l’insu du service IT n’a souvent pas le niveau de sécurité requis pour assurer une protection suffisante contre une multitude de cyber-risques. Dans certains cas, le matériel peut ne pas avoir reçu les dernières mises à jour ou encore ne pas disposer de pare-feu ou d’antivirus. Et cela dans un monde où la sécurité d’un réseau est égale à celle de son appareil le moins sécurisé, ce dernier laissant l’ensemble du réseau vulnérable aux attaques.

2. Pertes de données catastrophiques

Les systèmes et applications en Shadow IT fonctionnent en dehors du plan de sauvegarde et de restauration établi par le service IT, mais utilisent et créent tout de même des données critiques de l’entreprise. Cela signifie que des opérations essentielles peuvent avoir lieu sans aucune solution de sauvegarde. En cas d’incidents entraînant des pertes de données, tel qu’une cyberattaque, les données critiques de l’entreprise peuvent totalement disparaître sans aucune chance de récupération. Dans le pire des cas, cela pourra entraîner des dommages importants aux opérations de l’entreprise, avec le risque de graves répercussions financières.

3. Données non sécurisées

Même en mettant de côté les problèmes liés à un fonctionnement sans sauvegarde suffisante, un réseau en Shadow IT ne permet pas d’obtenir une vision globale des accès aux données par les utilisateurs. Ce qui veut dire que des prestataires de service externes, des sous-traitants et même d’anciens employés peuvent potentiellement avoir accès à des données sensibles. Sans une vue d’ensemble des autorisations d’accès, il n’y a aucun moyen de savoir qui peut accéder aux données et quel usage il va en être fait.

4. Inefficacité des opérations

Le matériel et les logiciels en Shadow IT sont souvent installés sans tests préalables et nécessaires, pouvant entraîner des opérations inefficaces. Bien que ces systèmes puissent bénéficier directement aux activités individuelles de ceux qui les ont installés, le fait qu’ils ne soient pas testés peut ralentir ou même stopper d’autres systèmes critiques de l’entreprise connectés au réseau. Même dans les réseaux en Shadow IT qui fonctionnent correctement, une double maintenance ainsi qu’une double administration sont impératifs pour garantir que le système continue de bien fonctionner en parallèle du réseau d’entreprise officiel.

5. Conformité

Un processus créé en Shadow IT, et donc en dehors du protocole établi par le service IT, a une grande probabilité de violer les règles de conformité informatique d’une entreprise. Plus grave toutefois, l’introduction de systèmes en Shadow IT dans les départements métiers peut constituer une violation fondamentale des réglementations externes telles que la loi sur la protection des données (RGPD). Ce type de cas peut entraîner de lourdes amendes de la part des régulateurs, pouvant même entraîner la chute de l’entreprise.

Le Shadow IT n’est pas une fatalité et des moyens existent pour le contrôler

Tout ceci peut faire peur, mais la situation n’a pas à dégénérer de la sorte. Heureusement, même des problèmes de Shadow IT largement répandus dans l’entreprise peuvent être contrôlés si les bonnes stratégies sont mises en place par le service IT et soutenues activement par la direction.

La première étape pour supprimer les systèmes en Shadow IT, c’est de commencer par les localiser. La visibilité sur l’ensemble du réseau de l’entreprise constitue le facteur numéro 1 permettant de détecter les pratiques fantômes et d’y mettre fin. Même une infrastructure parallèle bien cachée peut être détectée, par exemple via le relevé d’un trafic inhabituel de données à travers un routeur ou un switch.

Au final, c’est avant tout à la direction de mettre en place des solutions qui empêcheront la création de réseaux et d’outils parallèles. Mais avec de bons outils tels qu’une solution de supervision offrant une visibilité suffisante, les services IT peuvent déjà être correctement équipés pour lutter contre les menaces du Shadow IT.



Dans la même rubrique :