Shadow IT et informatique invisible

Dans notre précédent article sur les cybermenaces internes, nous évoquions les risques de sécurité informatique à l’intérieur des entreprises. Il nous paraît nécessaire de compléter cette thématique en traitant le sujet du shadow IT. Un anglicisme que l’on pourrait traduire par une informatique invisible ou fantôme.

Sous cette expression se cache une palette de comportements qui passent sous les radars des responsables informatiques. Il peut s’agir entre autres de mauvais usages des outils informatiques ou de procédures mises en place sans validation de la Direction.

Les risques de mauvaises pratiques informatiques pour l’entreprise

Par définition, le shadow IT englobe tout ce qui reste dans l’ombre pour les gestionnaires. Cela relève plus précisément d’un spectre très large où les utilisateurs prennent des libertés avec les règles internes de l’entreprise. Autant de portes d’entrée pour des problèmes de sécurité informatique : perte de données, dépréciation d’investissement ou encore virus. Ces mauvais usages peuvent donc entraîner des pertes financières non-négligeables.

Pour lutter contre le shadow IT, nous désignons quatre domaines à surveiller : les logiciels, le matériel, l’utilisation d’Internet et le contrôle des prestataires sous-traitants.

Les logiciels

En premier lieu, il faut réguler l’installation de logiciels ou d’ERP non validés par la direction ou la DSI. Ce genre de pratiques peut nuire à la gestion des données et à la bonne circulation de l’information, quand il ne s’agit pas de fuite de données dus à l’usage d’une application web non sécurisée. De la même manière, l’installation de logiciels piratés doit faire l’objet d’une surveillance très stricte pour éviter à la fois les virus et les risques pénaux. Pour ces deux cas de figure, un logiciel de gestion de parc informatique permet de détecter l’installation de nouveaux logiciels sur les postes utilisateurs.

Par ailleurs, l’utilisation de tableurs Excel en lieu et place de logiciels métiers fait également figure de risque. Un risque à la fois d’erreur de calcul et de mauvaise gestion des données. Mais aussi la source d’une perte d’investissement pour l’établissement. Dans certains cas, des salariés continuent à se servir d’Excel alors qu’un ERP onéreux a été mis en place.

Pour les connexions Internet, le choix du navigateur peut être imposé. Ainsi, vous aurez l’assurance que personne n’utilise des logiciels non-fiables et contenant des failles de sécurité.

Le matériel informatique

Au niveau du matériel, l’un des nouveaux risques concerne l’utilisation de matériel personnel. Une pratique de plus en plus répandue qui fait rentrer dans les sociétés des matériels non contrôlés. Là encore, le risque d’infection virale ou de vol de données n’est pas à négliger. D’autant que ces matériels personnels sont en général des ordinateurs portables. Pour les mêmes raisons, l’utilisation de supports de stockage personnels pour enregistrer des données de l’entreprise (disque dur externe, clé usb) fait également parti des points à surveiller. En plus de brancher sur le réseau des machines mal sécurisées, la traçabilité devient plus compliquée. En effet, quel contrôle peuvent avoir les responsables informatiques sur des ordinateurs qui n’appartiennent pas au parc informatique ?

Dans le même ordre d’idées, du matériel informatique peut être commandé (par une agence ou une filiale) sans la validation des responsables informatiques. Ce type de prise de décision hors du processus habituel rend difficiles la sécurisation et la maintenance des machines concernées. Tout comme pour le contrôle des logiciels, une solution de gestion de parc vous permettra de détecter toute nouvelle machine ou objet connecté branché sur le réseau.

L’usage d’Internet

Un réseau professionnel ne doit pas seulement être sécurisé contre les attaques externes. Deux actions peuvent vous permettre de protéger vos établissements des mauvais comportements des utilisateurs : le filtrage des sites dangereux et une bonne sécurisation des accès au WIFI. L’activation du réseau sans fil dans les bureaux doit s’adapter au cas par cas et aux besoins précis des structures.

L’usage des services Internet figure également à l’inventaire des pratiques du shadow IT. Citons par exemple la création d’adresses emails hors du cadre du service email officiel. Il peut également s’agir de créations de sites internet ou de comptes sur les réseaux sociaux. Ce qui implique des problèmes de gestion de l’image de marque. Dernier point et non des moindres, l’utilisation de stockage cloud sans en avertir la DSI ou les responsables informatiques. Des données professionnelles se retrouvent alors sur des serveurs externes sans véritable contrôle de la confidentialité.

Les prestataires

Dans l’urgence ou par simple commodité, la tentation peut être grande de faire appel à un prestataire non autorisé pour régler un problème informatique. Exemple simple : demander à un sous-traitant habituel (un webmaster) de régler un problème sortant de son cadre de compétence (résoudre une panne réseau). Il y a ici un risque de mauvaise manipulation. Et surtout une absence d’archivage du problème. Ce qui montre une autre facette du shadow IT. Tout problème informatique réglé hors du suivi habituel de la maintenance fausse la perception de la qualité.

À ce sujet, nous devons parler aussi des salariés qui assurent le support informatique en interne sans que cette tâche ne leur soit attribuée. Ceux-ci règlent un certain nombre de problèmes la place des techniciens ou des prestataires en charge de l’infogérance. C’est le collègue que l’on appelle pour dépanner l’imprimante ou avoir un coup de main sur un logiciel. Très pratique, sauf quand ce technicien fantôme dépasse le cadre de ses compétences et mette en péril l’activité à force de bidouillages.