Le Shadow IT fait référence à la pratique des utilisateurs qui déploient des ressources technologiques non autorisées afin de contourner leur service informatique. Les utilisateurs peuvent avoir recours à des pratiques informatiques fantômes lorsqu’ils estiment que les politiques informatiques existantes sont trop restrictives ou les empêchent de faire leur travail efficacement.
Un phénomène de la vieille école
Le Shadow IT n’est pas nouveau. Il y a eu d’innombrables exemples d’utilisation généralisée de l’informatique fantôme au fil des ans. Au début des années 2000, par exemple, de nombreuses organisations hésitaient à adopter le Wi-Fi de peur que cela ne sape leurs efforts de sécurité. Cependant, les utilisateurs recherchaient la commodité de l’utilisation d’appareils sans fil et déployaient souvent des points d’accès sans fil à l’insu ou sans le consentement du service informatique.
La même chose s’est produite lorsque l’iPad est devenu populaire pour la première fois. Les services informatiques ont largement interdit l’utilisation des iPads avec des données d’entreprise en raison de l’impossibilité d’appliquer les paramètres de stratégie de groupe et d’autres contrôles de sécurité aux appareils. Même ainsi, les utilisateurs ont souvent ignoré l’informatique et ont quand même utilisé des iPads.
Bien sûr, les professionnels de l’informatique ont finalement compris comment sécuriser les iPad et le Wi-Fi et ont finalement adopté la technologie. Cependant, l’utilisation de l’informatique fantôme ne s’accompagne pas toujours d’une fin heureuse. Les utilisateurs qui se livrent à l’utilisation de l’informatique fantôme peuvent, sans le savoir, causer un préjudice irréparable à une organisation.
Même ainsi, le problème de l’utilisation de l’informatique fantôme persiste à ce jour. Au contraire, l’utilisation de l’informatique fantôme a augmenté au cours des dernières années. En 2021 par exempleGartner a trouvé qu’entre 30 % et 40 % de toutes les dépenses informatiques (dans une grande entreprise) sont consacrées au financement de l’informatique fantôme.
Le Shadow IT a le vent en poupe en 2022
Travail à distance post-pandémie
L’une des raisons de l’augmentation de l’utilisation de l’informatique fantôme est le travail à distance. Lorsque les utilisateurs travaillent à domicile, il leur est plus facile d’échapper à l’avis du service informatique que s’ils essayaient d’utiliser une technologie non autorisée depuis le siège social. Une étude de Core ont constaté que le travail à distance résultant des exigences COVID augmentait l’utilisation de l’informatique fantôme de 59 %.
La technologie se simplifie pour les utilisateurs finaux
Une autre raison de l’augmentation du shadow IT est le fait qu’il est plus facile que jamais pour un utilisateur de contourner le service informatique. Supposons un instant qu’un utilisateur souhaite déployer une charge de travail particulière, mais que le service informatique refuse la demande.
Un utilisateur déterminé peut simplement utiliser sa carte de crédit d’entreprise pour créer un compte cloud. Étant donné que ce compte existe en tant que locataire indépendant, le service informatique n’aura aucune visibilité sur le compte et peut même ne pas savoir qu’il existe. Cela permet à l’utilisateur d’exécuter sa charge de travail non autorisée en toute impunité.
En fait, une étude de 2020 a révélé que 80 % des travailleurs ont admis avoir utilisé des applications SaaS non autorisées. Cette même étude a également révélé que le cloud informatique fantôme d’une entreprise moyenne pouvait être 10 fois plus grand que l’utilisation du cloud sanctionnée par l’entreprise.
Connaissez votre propre réseau
Compte tenu de la facilité avec laquelle un utilisateur peut déployer des ressources de shadow IT, il est irréaliste pour le service informatique de supposer qu’il n’y a pas de shadow IT ou qu’il sera en mesure de détecter l’utilisation de Shadow IT. En tant que tel, la meilleure stratégie peut être d’éduquer les utilisateurs sur les risques posés par le shadow IT. Un utilisateur qui a une expérience informatique limitée peut introduire par inadvertance des risques de sécurité en s’engageant dans l’informatique fantôme. Selon un rapport Forbes Insights 60 % des entreprises n’incluent pas le shadow IT dans leurs évaluations des menaces.
De même, l’utilisation du shadow IT peut exposer une organisation à des sanctions réglementaires. En fait, ce sont souvent les auditeurs de conformité – et non le service informatique – qui finissent par être ceux qui découvrent l’utilisation du shadow IT.
Bien entendu, la seule éducation des utilisateurs n’est pas suffisante pour arrêter l’utilisation du shadow IT. Il y aura toujours des utilisateurs qui choisiront d’ignorer les avertissements. De même, céder aux demandes des utilisateurs pour l’utilisation de technologies particulières n’est peut-être pas toujours dans l’intérêt de l’organisation non plus. Après tout, les applications mal écrites ou obsolètes qui pourraient constituer une menace importante pour votre organisation ne manquent pas. Peu importe les applications connues pour espionner les utilisateurs.
La solution zéro confiance au Shadow IT
L’une des meilleures options pour faire face aux menaces informatiques fantômes peut être d’adopter la confiance zéro. La confiance zéro est une philosophie dans laquelle rien dans votre organisation n’est automatiquement considéré comme digne de confiance. Les identités des utilisateurs et des appareils doivent être prouvées chaque fois qu’ils sont utilisés pour accéder à une ressource.
Il existe de nombreux aspects différents d’une architecture de confiance zéro, et chaque organisation implémente la confiance zéro différemment. Certaines organisations, par exemple, utilisent des politiques d’accès conditionnel pour contrôler l’accès aux ressources. De cette façon, une organisation ne se contente pas d’accorder à un utilisateur un accès illimité à une ressource, mais considère plutôt la manière dont l’utilisateur tente d’accéder à la ressource. Cela peut impliquer la mise en place de restrictions autour de l’emplacement géographique de l’utilisateur, du type d’appareil, de l’heure de la journée ou d’autres facteurs.
Zero-confiance au helpdesk
L’une des choses les plus importantes qu’une organisation puisse faire en ce qui concerne la mise en œuvre de la confiance zéro est de mieux sécuriser son service d’assistance. Les services d’assistance de la plupart des organisations sont vulnérables aux attaques d’ingénierie sociale.
Lorsqu’un utilisateur appelle et demande une réinitialisation de mot de passe, le technicien du service d’assistance suppose que l’utilisateur est celui qu’il prétend être, alors qu’en réalité, l’appelant pourrait en fait être un pirate informatique qui essaie d’utiliser une demande de réinitialisation de mot de passe comme moyen d’accéder au réseau. Accorder des demandes de réinitialisation de mot de passe sans vérifier les identités des utilisateurs va à l’encontre de tout ce que représente la confiance zéro.
Le Secure Service Desk de Specops Software peut éliminer cette vulnérabilité en empêchant un technicien du service d’assistance de réinitialiser le mot de passe d’un utilisateur tant que l’identité de cet utilisateur n’a pas été prouvée. Vous pouvez le tester gratuitement pour réduire les risques de shadow IT dans votre réseau.