Shadow IT : comment maîtriser le risque et préserver l’intégrité des données confidentielles

Le Shadow IT est une référence à l’ensemble des logiciels, appareils et services informatiques n’étant pas la propriété des organisations informatiques.

Shadow IT : comment maîtriser le risque et préserver l’intégrité des données confidentielles

Il sert plus particulièrement à désigner l’ensemble des technologies logicielles et matérielles utilisées par les salarisés et dirigeants d’une entreprise, sans que le département informatique n’ait donné son accord au préalable. DiliTrust vous éclaire dans cet article sur la nécessité d’évincer le Shadow IT des habitudes des membres d’instances de gouvernance afin de garantir la sécurité des données confidentielles de votre organisation.  Cela d’autant plus après les confinements successifs que nous avons connus en 2020.

Le Shadow IT : une réalité sous-estimée dans l’entreprise

S’il est vrai que le Shadow IT permet souvent de stimuler la créativité et la réactivité des collaborateurs, il n’en demeure pas moins vrai qu’il représente un risque réel pour la sécurité des données professionnelles. Et ce, surtout au regard des événements sanitaires récents liés au Covid-19.

Le département informatique (DSI) approuve les logiciels et le matériel qui devraient permettent en principe à chaque membre de l’entreprise de réaliser ses missions dans les meilleures conditions.

Une étude menée par le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) en 2017 a mis en évidence une réalité pour les entreprises. Les employés utiliseraient 1700 applications, alors que les entreprises répertorieraient entre 30 et 40 applications.

En outre, selon une recherche menée par NTT Communications, la réalité du Shadow IT s’infiltre même dans le management de l’entreprise. En effet, 77 % des salariés considérés comme décideurs avouent avoir déjà utilisé au moins une application du Cloud sans validation de la DSI, voire même sans l’avoir informée au préalable.

Shadow IT : un impératif face à la crise du Covid-19

La situation que nous connaissons depuis 2020, liée à la crise de la Covid-19, a induit une série de mesures à prendre dans l’entreprise. Notamment l’adoption de solutions de Shadow IT.

Pendant le premier confinement, nous avons constaté que bon nombre de dirigeants et leurs secrétariats rattachés utilisaient des solutions Shadow IT pour leur travail quotidien. Il en va de même pour certains membres de conseil et comité qui pouvaient communiquer via des applications de messagerie instantanée très connus, par le biais de groupes de discussion sur des thématiques parfois identifiées comme des sujets sensibles.

Nous pouvons donc de toute évidence dire que les événements liés à la pandémie Covid-19 ont participé à l’accélération notable du recours au Shadow IT.

Risques du Shadow IT pour la sécurité des données professionnelles

Certains logiciels non autorisés et issus du Shadow IT peuvent enfreindre la réglementation et la politique de confidentialité des entreprises. C’est aussi à cela que sert le processus d’approbation du service informatique incluant le RSSI dans certains cas.

Le CESIN précise que 2 % des documents présents dans le Cloud contiennent des données confidentielles dont la divulgation aurait des conséquences néfastes pour l’entreprise. Sans oublier les risques liés aux failles de sécurité. Or, le Covid-19 a induit le recours massif au télétravail, qui expose plus que jamais l’entreprise aux risque cybers.

Selon le cabinet Gartner, 99 % des failles exploitées sont des vulnérabilités déjà connues des salariés de l’informatique et de la sécurité. D’où l’importance de se concentrer sur ces vulnérabilités et d’utiliser des solutions adaptées et crées par des éditeurs rigoureux en termes de sécurité.

Notons tout de même que le Shadow IT n’a pas que des inconvénients. En effet, il permet parfois d’améliorer les revenus de l’entreprise et de repérer quelles solutions sont les plus innovantes. Grâce au Shadow IT, et pour peu qu’il soit bien maîtrisé, l’entreprise répondrait aux différents besoins des métiers en améliorant le catalogue de logiciels et d’outils proposés par le DSI.

Solutions pour endiguer la progression du Shadow IT en entreprise

Pour limiter l’utilisation de différents outils et logiciels inconnus de la DSI il est possible de mettre en œuvre certains moyens. Les Cloud Access Security Brokers (CASB), agents de sécurité des accès au Cloud en français, sont des solutions envisagées par de nombreuses entreprises. Il s’agit de garde-fous contre les risques inhérents aux applications du Shadow IT. Ces sentinelles se situent entre les données de l’entreprise, les services Cloud utilisés, les périmètres réseaux et les périphériques. Selon les prévisions Q4-19 du Gartner, les dépenses en sécurité pour les solutions CASB augmenteront de 45,3 % en 2020, 40,7 % en 2021, 36,7 % en 2022 et 33,2 % en 2023, dépassant ainsi tous les autres marchés de la sécurité de l’information.

De cette manière, il est possible de conserver un visuel transparent sur les applications Cloud utilisées par les employés dans la société tout en imposant des contrôles. Cela est également une sécurité pour éviter la fuite et la perte de données professionnelles. Les données peuvent être bloquées, pour éviter un accès utilisateur non autorisé. Les usages des collaborateurs sont ainsi mieux contrôlés par les RSSI (Responsables de la Sécurité des Systèmes d’Information).

D’autres recommandations sont à suivre pour limiter au maximum les risques liés au Shadow IT. Ces dernières sont le fruit du rapport rendu par le CESIN :

Actions menées par la DSI : analyse des logs des pare-feu et bien entendu utilisation de solutions CASB.

Actions menées par le RSSI : analyse des risques pour identifier les flux critiques pour la sécurité de l’entreprise, validation des équipes sécurité dans le cadre des projets informatiques, accessibilité des solutions informatiques par les acteurs de l’entreprise, meilleure sensibilisation des collaborateurs sur l’importance de confidentialité des documents.

Comment concilier Shadow IT et sécurité des données confidentielles des instances de gouvernance ?

Tout l’intérêt est de savoir trouver un juste équilibre pour concilier le Shadow IT et la gestion des données confidentielles des conseils et comités. La DSI a donc un rôle important à jouer en analysant les besoins des dirigeants et en leur proposant des solutions sécurisées et souveraines adaptées à leur activité.

A l’instar du module de gestion des instances digitalisées de DiliTrust. Ce type de module est couramment connu sous l’anglicisme « board portal ». Créé par les administrateurs, à destination des administrateurs, son spectre d’utilisation est plus et s’étend aux comités. Pour un accès sécurisé à toute donnée confidentielle. Intuitif, convivial, ce module offre une gestion sécurisée et dématérialisée de toutes les instances de gouvernance (CA, COMEX, CSE, etc).