Le shadow IT : un véritable défi pour les DSI

Le shadow IT, cette menace de l’intérieur | Stormshield

Le « shadow IT » constitue une véritable menace pour les services informatiques. Mais d’où vient ce phénomène ? Quels risques fait-il peser sur l’entreprise ? Quelles réponses y apporter ? Nous avons sollicité cinq experts pour évoquer cet enjeu crucial, à l’heure où les promesses du cloud bouleversent les usages au sein des entreprises.

En entreprise, les DSI sont en général aux avant-postes pour mesurer l’impact de ces transformations sur les pratiques des collaborateurs. Or, ces dernières années, de nouvelles pratiques à risque ont émergé. Parmi elles, le « shadow IT » ; l’utilisation d’applications et de services, souvent localisés dans le cloud, en parallèle des SaaS « officielles » proposés par la direction IT. Aujourd’hui, cette pratique se développe à mesure que les services cloud et le nombre d’objets connectés explosent. Dans un rapport récent, un autre acteur de la cybersécurité estime ainsi que les entreprises ont recours, en moyenne, à 1 935 services de cloud aujourd’hui. Un chiffre qui grimpe de 15% chaque année. Quant au « shadow IT », il est très compliqué de quantifier la menace, tant celle-ci est diffuse et conjoncturelle. Néanmoins, une enquête PwC de 2015 notait déjà que 15 à 30% des dépenses informatiques se faisaient en dehors du budget officiel. Et il y a fort à parier que cette tendance a continué d’évoluer depuis.

Nouveaux usages, risques nouveaux

« Avec le shadow IT, c’est une partie du patrimoine informationnel de l’entreprise qui échappe au contrôle de la DSI », explique Emmanuel Dupont, Global Chief Security Officer de Oxya (groupe Hitachi). Fuites de données, failles de sécurité, vulnérabilité aux logiciels malveillants… Cette perte de contrôle partielle n’est pas sans faire peser des risques importants. « Lorsque l’on déporte l’information en dehors du périmètre balisé par l’IT, on y déporte également le risque, mais sans les moyens de protection mis en place par l’entreprise. » Un risque croissant puisque les événements considérés comme des menaces ont augmenté de 28% par rapport à l’an dernier. En parallèle, le partage de données sensibles via un lien d’accès public a lui augmenté de 23% en deux ans. « Aujourd’hui, le principal risque ce n’est pas la grosse attaque directe massive, c’est l’employé lui-même », indique Emmanuel Dupont. « Lorsqu’il utilise des outils dont la DSI n’a pas connaissance, il devient une cible privilégiée et sans défense. »

Aujourd’hui, le principal risque ce n’est pas la grosse attaque directe massive, c’est l’employé lui-même

Emmanuel Dupont, Global Chief Security Officer - Oxya

Pour Paul Fariello, membre de l’équipe de Security Intelligence de Stormshield, cette pratique se trouve également renforcée par l’avènement de nouveaux modèles d’entreprises. Dans ces organisations plus flexibles et ouvertes, le nomadisme des employés les amène parfois à utiliser leur propre matériel informatique (ordinateur portable, téléphone personnel, montre connectée ou assistants vocaux) dans un cadre professionnel. « Lorsque l’on utilise ses équipements personnels, on ne passe plus par les mêmes circuits de données, on contourne les VPN sécurisés. Mais dans le cas où les salariés sont très mobiles, il devient compliqué de contrôler systématiquement où ils se connectent et comment. »

Facteur financier et facteur temps

Pour nos experts, le développement du shadow IT est la conséquence directe des politiques de réduction des coûts en entreprise. « L’informatique interne a longtemps été considérée comme un centre de coûts », souligne Denis Lechevin, RSSI chez Worldline (E-payment). « Les métiers ont donc mis les services proposés par la DSI en concurrence avec des services externes, dont les coûts annoncés sont moins importants. » Sans prendre nécessairement la mesure des risques encourus.

Et dans de nombreux cas, les DSI réagissent avec du retard. « Ce manque d’agilité des DSI explique en grande partie le développement du shadow IT », note Johanne Ulloa, animateur du podcast NoLimitSecu. « Si un collaborateur a besoin d’une ressource, mais que la lourdeur du process fait que la DSI met du temps à la lui fournir, alors on passe par un service tiers ». Le facteur temps joue alors un rôle décisif. Mais souvent, les DSI donnent l’impression d’un « rouleau compresseur qui se met en branle et donne sa réponse trop tard », souligne Denis Lechevin. « Mais cette impression est accentuée par le fait que, souvent, c’est l’entreprise qui sollicite trop tard les DSI. » Face à la facilité d’accès et rapidité de déploiement de solutions externes, c’est ce décalage qui créé un hiatus. Et l’urgence liée à l’usage métier entre alors en contradiction avec le besoin de structurer des services informatiques sur le long terme. « Trop souvent, les DSI sont considérées comme des fournisseurs de service interne, que l’on peut mettre en concurrence avec des fournisseurs externes », conclut Denis Lechevin.

Ce manque d’agilité des DSI explique en grande partie le développement du shadow IT

Johanne Ulloa, animateur du podcast NoLimitSecu

Pourtant, « les solutions tierces qui ne sont pas validées a priori par le service IT ne sont jamais des solutions de long terme », nuance Franck Nielacny, DSI chez Stormshield. « Même si l’outil fonctionne et est adopté par les équipes, il peut s’avérer très compliqué de l’intégrer a posteriori dans le SI officiel de l’entreprise. Évolutions du réseau, règles d’accès, ou encore exigences de sécurité sont en effet autant de points de blocage potentiels. Il en va de même s’il s’agit de matériel personnel. »

Sensibilisation plus que coercition

Dès lors, quelles solutions s’offrent aux DSI pour enrayer le développement du shadow IT ? « Il y a trois types de réponses. Un axe préventif, un axe curatif et un axe coercitif », pointe Johanne Ulloa. Dans le premier cas, les DSI sont les garants de la sensibilisation des collaborateurs. Ils doivent communiquer sur les mauvaises pratiques à éviter, et les bonnes conduites à adopter. « L’art du SI est donc de parvenir à se « glisser » dans les conversations et les projets entre métiers, pour optimiser la sécurité de ces échanges », explique Franck Nielacny. De la manière la plus subtile possible. Car souvent, « les couches de sécurité que l’on vient rajouter sont perçues comme gênantes », souligne Paul Fariello. « Tout l’enjeu est donc de parvenir à implémenter des moyens qui seront parfaitement insérés dans le quotidien des collaborateurs. » L’aspect UX (User eXperience) et l’intégration de l’IT dans les projets de développement jouent ici un rôle essentiel, de manière à ce que ces derniers utilisent des solutions validées par l’IT, plutôt que des applications tierces.

L’art du SI est donc de parvenir à se « glisser » dans les conversations et les projets entre métiers, pour optimiser la sécurité de ces échanges

Franck Nielacny, DSI Stormshield

Dans le cadre d’une politique curative, la DSI essaiera de « déterminer si de tels services sont d’ores et déjà utilisés par l’entreprise, en utilisant principalement des moyens techniques, tel que l’étude des fichiers de logs », explique Johanne Ulloa.

Le dernier axe est coercitif. Avec la mise en place du RGPD, certaines entreprises ont d’ores et déjà durci leur politique. « Il y a en effet un véritable enjeu règlementaire », poursuit-il. « En utilisant des applications ou services tiers, on s’expose à un risque de non-conformité avec les principes du RGPD dans la gestion des données personnelles notamment. » Néanmoins, pour ce dernier, la sensibilisation vaudra toujours mieux que la coercition.

Partager sur

« La plupart des problèmes informatiques se trouvent entre le clavier et la chaise ». Derrière la célèbre boutade du philosophe allemand Klaus Klages se cache donc la réalité des mauvaises pratiques des collaborateurs. Un paradoxe, tant l’utilisateur derrière son écran est en première ligne et peut facilement devenir le meilleur des remparts face aux risques informatiques. À condition, bien sûr, de le sensibiliser à ces enjeux et de le former correctement.

À propos de l'auteur

mm
Victor Poitevin
Digital Manager, Stormshield

Victor est le Digital Manager de Stormshield. Rattaché à la Direction marketing, sa mission est d'améliorer la visibilité du Groupe sur le web. Sites internet, réseaux sociaux, blogs... c'est tout l'écosystème de Stormshield qui est mis à contribution. Et pour répondre aux hautes ambitions numériques du Groupe, il s'appuiera sur ses différentes expériences, au sein de plusieurs grands groupes français et internationaux, ainsi qu'en agence de communication.