Qu’est-ce que le shadow IT ?

On parle de shadow IT (ou « informatique parallèle ») lorsque des services ou des employés d’une organisation utilisent les logiciels, périphériques ou applications de l’entreprise à l’insu du département IT ou sans son consentement explicite. Le shadow IT s’est considérablement intensifié ces dernières années, principalement en raison du recours massif au télétravail et à l’utilisation plus intense de services et d’applications basés sur le cloud. Bien que le shadow IT puissent accélérer la productivité et l’innovation, il peut également soulever des risques pour la sécurité et poser problème sur le plan de la conformité, tout particulièrement lorsque des données sont stockées à des emplacements dont l’équipe IT n’a pas connaissance. 

Exemples d’applications et d’activités assimilées au shadow IT

Toute application utilisée à des fins professionnels à l’insu du département IT peut être considérée comme une application shadow IT. 

Ces applications sont essentiellement classées en quatre catégories :

• les applications basées sur le cloud auxquelles les utilisateurs accèdent directement via le réseau d’entreprise ;
• les applications basées sur le cloud accessibles via des applications SaaS de type Microsoft Office 365 ou Google Workspace ;
• les logiciels du commerce achetés par un service ou par un utilisateur final et chargés sur le système (une pratique devenue moins courante) ;
• les logiciels personnalisés installés sur l’ordinateur portable professionnel d’un employé.

Exemples d’activités shadow IT :

• Téléchargement et utilisation non autorisée d’applications de workflow ou de productivité telles que Trello ou Asana.
• Création et utilisation de charges de travail cloud configurées à l’aide de comptes ou d’identifiants personnels ou d’un département.
• Achat et/ou utilisation non autorisés d’applications SaaS tierces ou d’autres abonnements de services cloud qui échappent à la surveillance du département informatique.
• Utilisation de plateformes de messagerie personnelles ou d’applications de communication comme WhatsApp ou Signal pour la communication sur le lieu de travail. 
• Utilisation de comptes de messagerie personnels à des fins professionnelles. 
• BYOD non autorisé. 

Les risques liés au shadow IT

Il est pour ainsi dire impossible de sécuriser les données dès lors que les employés les stockent à des emplacements qui échappent au contrôle de votre entreprise. De même, si votre équipe IT ignore où se trouvent les données client, elle n’a aucun moyen de savoir si elles sont ou non exposées à des risques et dans quelle mesure. 

Sur le plan de la sécurité, le shadow IT présente donc certains risques :

Perte de données

Dans la mesure où votre entreprise n’a aucun moyen d’accéder aux données stockées dans les comptes personnels ou sur les ordinateurs portables personnels, elle perd automatiquement ces données dès que l’employé quitte l’entreprise. Par ailleurs, les données stockées dans ces comptes personnels n’obéissent pas aux règles et procédures de l’entreprise ; autrement dit, il est probable qu’elles ne soient pas dûment sauvegardées, archivées ou chiffrées conformément à la politique de l’entreprise.

Perte de visibilité et de contrôle

Le shadow IT soulève de graves problèmes de visibilité et de contrôle pour la même raison qu’il implique des risques élevés de perte de données : vous ne pouvez protéger ce que vous ne voyez pas. Si le recours croissant au self-provisioning peut accélérer la productivité et l’intégration, il entraîne également une décentralisation du processus de mise en service des ressources, ce qui empêche l’équipe IT de véritablement suivre le fil des événements et de savoir où ils se produisent et qui est impliqué. Dès lors, les données ne peuvent plus reposer sur une source unique de vérité, ou bien reposent sur une source de vérité erronée ou incomplète. 

Vulnérabilité accrue aux cyberattaques

Chaque cas de shadow IT augmente la surface d’attaque d’une organisation et, puisque les applications shadow IT sont par définition invisibles, elles ne peuvent être protégées par les solutions de cybersécurité mises en œuvre par l’entreprise. Pire encore, les utilisateurs d’applications shadow IT ont l’habitude d’utiliser des identifiants et des mots de passe faibles, que les cybercriminels peuvent aisément exploiter pour accéder au réseau d’entreprise.

Surcoût dû à la non-conformité

Le shadow IT induit souvent des coûts indirects sous la forme d’amendes et de pénalités réglementaires, auxquelles s’ajoute un risque d’atteinte à la réputation en cas de violation de données. De plus, bien que certains employés voient dans le shadow IT un moyen de réduire les coûts, l’utilisation à long terme d’applications et services dérivés du shadow IT (stockage de données, par exemple) est rarement économique à grande échelle.

Comment gérer et atténuer les risques liés au shadow IT

Quelles est la principale cause du shadow IT ?

Les employés se tournent vers cette pratique s’ils estiment qu’ils ne disposent pas des outils nécessaires pour travailler de manière optimale. 

À l’heure où le shadow IT tend à proliférer, c’est donc à la direction que revient la responsabilité de gérer et d’atténuer ce problème, en donnant aux employés l’accès à tous les outils, ressources et services dont ils ont besoin dans l’exercice de leurs fonctions. 

Pour limiter les risques associés au shadow IT, il existe plusieurs possibilités :

• Former les employés à utiliser correctement et en toute sécurité l’ensemble des outils et technologies disponibles 
• Appliquer des règles et des protocoles autour du provisioning de nouveaux services
• Mettre en avant et rappeler constamment (par le biais de vidéos, de formations, etc.) les politiques de sécurité et de conformité de l’entreprise

Mais au-delà de toutes ces mesures, le meilleur moyen de limiter les risques liés au shadow IT consiste à adopte des technologies avancées comme Pure Storage® FlashArray™ et Snapshots qui, une fois combinés, augmentent l’accessibilité et la visibilité des données pour permettre d’analyser plusieurs sources de données tout en conservant les données en local. Ces solutions gèrent les données directement stockées sur la plateforme de stockage d’objets FlashBlade® ou sur la plateforme cloud Pure Cloud Block Store™, ce qui évite d’avoir à créer des copies distinctes de données partagées avec d’autres outils ou workflows.

Obtenir l’e-book « Les snapshots pour les nuls ».

En savoir plus sur FlashBlade//S™. 

Téléchargez notre guide complet de la protection des données.