Le coût croissant de l'informatique fantôme

Comment les applications non autorisées affectent les bénéfices

L'adoption du Shadow IT se répand, tout comme ses risques

Le Shadow IT (l'adoption de matériel, de logiciels, d'applications et de services non autorisés au sein d'une organisation) est depuis longtemps un fléau pour les TI. Un récent rapport de CORE research a révélé que l'utilisation du Shadow IT a explosé de 59 % depuis que les entreprises ont largement adopté le modèle de travail à distance, 54 % des équipes informatiques décrivant leur entreprise comme étant « nettement plus exposée à une violation des données » en raison de cette augmentation.

Quels facteurs stimulent la hausse du Shadow IT et comment les entreprises peuvent-elles protéger leurs employés/réseaux contre ses risques induits ?

Les deux coupables sont l'augmentation de l'adoption du cloud et l'essor du travail à distance. La main-d'œuvre moderne est de plus en plus agile et dispersée, opérant à partir de lieux et de dispositifs sur lesquels l'informatique a une visibilité et un contrôle limités. Les employés, qu'ils travaillent sur place ou à distance, ont des préférences pour les outils qui les aident à faire leur travail. Lorsque ces outils ne s'alignent pas sur la liste des applications déjà approuvées par le service informatique, ou qu'ils sont utilisés pour combler des lacunes là où aucun outil n'a été fourni, cela pose des problèmes à de nombreuses organisations.

Selon une enquête réalisée par Stratecast et Frost & Sullivan, 80 % des employés adoptent des applications SaaS sans l'approbation du service informatique, exposant ainsi leur réseau d'entreprise à une myriade de menaces et de vulnérabilités en matière de sécurité.

Toutefois, avant de pouvoir arrêter la propagation du Shadow IT, les entreprises doivent d'abord comprendre a) ce qu'elle leur coûte, b) pourquoi leurs employés l'utilisent encore et c) quels outils de découverte et de remédiation peuvent les aider.

Le coût réel du Shadow IT

En 2021, la société de gestion informatique Insight Global a subi une violation de données qui a exposé les données personnelles d'environ 70 000 résidents de Pennsylvanie. La société avait été engagée pour aider le département de la santé de l'État dans ses efforts de recherche de contacts COVID-19, mais a compromis les informations qu'elle a recueillies lorsque des employés ont ouvert « plusieurs comptes Google pour partager des informations dans le cadre d'un « canal de collaboration non autorisé ».

Bien que le département de la santé de Pennsylvanie n'ait pas pu établir le lien entre la fuite de données et une utilisation abusive, l'incident montre à quel point l'informatique fantôme peut facilement affaiblir le niveau de sécurité d'une organisation.

Lorsque le service informatique manque de visibilité sur les outils et les comptes utilisés par les employés, il n'a aucun moyen de s'assurer que les données et les ressources sensibles restent dans le périmètre de l'entreprise. Par conséquent, ils ne peuvent pas évaluer les outils pour détecter les failles de sécurité, appliquer les contrôles de sécurité appropriés, surveiller et restreindre le mouvement des données, répondre aux exigences de conformité ou anticiper les violations de données et les attaques déclenchées par les vulnérabilités de ces applications et services non gérés.

Contrairement à la violation de données d'Insight Global, la plupart des attaques sont coûteuses et longues à corriger (en moyenne 4,24 millions de dollars par violation de données, selon IBM), surtout lorsque le service informatique n'est pas informé des applications ou des comptes qui ont été compromis. Dans une étude réalisée par Forbes Insights, une organisation interrogée sur cinq a subi une cyberattaque due au Shadow IT, tandis que moins de la moitié des personnes interrogées étaient convaincues que leur organisation pourrait se remettre d'un cyberincident sans impact significatif sur l'activité.

Laissé sans surveillance, le Shadow IT augmente non seulement les risques de cyberincidents, mais contribue aussi à la hausse d'autres coûts. Compte tenu de l'expansion du travail à distance et de la prolifération des outils et services basés sur le cloud, l'adoption du Shadow IT représente un pourcentage important des dépenses informatiques des grandes entreprises. Dans une enquête réalisée par NetEnrich, 59 % des décideurs informatiques ont déclaré que les dépenses et les dépassements informatiques constituaient une préoccupation majeure pour l'avenir.

Les raisons de l'utilisation non autorisée des applications

Le contrôle du Shadow IT peut être un processus ardu, même pour le département informatique le plus diligent. Selon Productiv, les entreprises utilisent en moyenne entre 270 et 364 applications SaaS, dont 52 % sont des applications non autorisées.

Avant que les organisations puissent prendre des mesures pour identifier et remédier aux risques introduits par le Shadow IT, elles doivent comprendre pourquoi les employés l'adoptent encore. Souvent, les employés ne sont pas conscients que l'utilisation d'outils, de dispositifs et de comptes non gérés peut créer des failles de sécurité considérables. Au lieu de cela, les raisons pour lesquelles ils adoptent le Shadow IT relèvent généralement de l'une des trois catégories suivantes :

• Les employés se tournent vers des outils pratiques, efficaces et adaptés à des objectifs professionnels spécifiques. Et si une organisation ne fournit pas les outils et les ressources dont les employés ont besoin, ils trouveront les leurs. Selon IBM, 67 % des employés des entreprises Fortune 1000 utilisent des applications SaaS qui n'ont pas été explicitement approuvées par les services internes.

• Les employés peuvent ne pas comprendre les risques de cybersécurité liés au Shadow IT. Les employés ne savent peut-être pas qu'ils doivent obtenir l'approbation du service informatique pour les nouveaux outils ou ne réalisent pas les risques qu'ils encourent en introduisant des applications et des services non approuvés sur le réseau.

• Les politiques informatiques et les processus d'approbation peuvent être peu clairs ou inexistants. Obtenir l'approbation du service informatique peut être difficile, prendre du temps, voire être impossible en raison de contraintes budgétaires, de problèmes de sécurité ou d'autres raisons. De plus, certaines organisations n'ont pas établi de politique concernant l'adoption d'applications, encourageant par inadvertance les employés à adopter de nouveaux outils sans en révéler l'utilisation au service informatique.

Réduire les risques du Shadow IT

En raison de la prévalence et de la nature changeante du Shadow IT, il n'existe pas de solution unique permettant de détecter et de combattre les vulnérabilités des outils et services non gérés. Cependant, il existe plusieurs stratégies clés que les organisations peuvent adopter pour minimiser leur propagation et leur impact, notamment les suivantes :

1. Adopter une solution d'identification du Shadow IT (informatique fantôme).La découverte du Shadow IT peut aider le service informatique à détecter et à consigner toutes les applications utilisées sur le réseau, même celles que les employés n'ont pas encore divulguées. Une fois que le service informatique a catalogué tous les outils approuvés et non approuvés, il peut les évaluer pour détecter les failles de sécurité ou les mauvaises configurations, placer en correspondance des politiques d'accès et de protection des données et gérer plus efficacement l'accès des employés à ces outils.

2. Sensibiliser les employés à la cybersécurité. Sensibiliser les employés aux risques liés aux outils et aux comptes non approuvés peut contribuer grandement à prévenir l'adoption du Shadow IT.

3. Établir des politiques internes de Shadow IT. La création de politiques relatives à l'adoption de nouvelles technologies et l'information continue de l'organisation sur ces politiques permettent à l'informatique de contrôler minutieusement les nouvelles applications et les nouveaux services avant qu'ils ne soient déployés, ce qui permet de ralentir ou d'arrêter la propagation du Shadow IT. Et en établissant des étapes concrètes pour l'adoption et la gestion de nouvelles applications et de nouveaux outils, les organisations peuvent réduire la frustration des employés et les aider à travailler plus efficacement avec les outils dont ils ont besoin pour faire leur travail.

Combattre le Shadow IT avec Cloudflare

La mise en place d'une défense efficace contre le Shadow IT commence par Zero Trust : un modèle de sécurité basé sur le principe qu'aucun utilisateur ou appareil ne doit être intrinsèquement digne de confiance pour accéder aux ressources de l'entreprise. En plaçant des contrôles Zero Trust devant les ressources de l'entreprise, les organisations peuvent s'assurer que leurs employés n'ont accès qu'aux applications autorisées via des comptes autorisés, ce qui rend plus difficile pour les utilisateurs de visualiser, partager et déplacer des données dans des applications non autorisées.

Cloudflare Zero Trust donne au service informatique une visibilité et un contrôle complets sur les applications approuvées et non approuvées et contribue à minimiser les risques du Shadow IT et d'autres problèmes de sécurité.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Points clés

Cet article vous permettra de comprendre les points suivants :

• Pourquoi le Shadow IT a explosé de 59 %

• Ce qui pousse 80 % des employés à adopter des applications SaaS non approuvées

• Comment une organisation sur cinq subit une cyberattaque à cause du Shadow IT

• 3 stratégies clés pour minimiser l'adoption du Shadow IT

Ressources associées

• Présentation de solution : intégrations Zero Trust pour les applications SaaS

• Blog : Présentation de Shadow IT Discovery

• Cloudflare Zero Trust

• Blog : Shadow IT : simplifiez la vie de vos utilisateurs en leur permettant de suivre facilement les règles