Shadow IT, BYOD … Une menace venue de l’intérieur

#Sécurité 13.09.2016 4min

Shadow IT. L’informatique de l’ombre. BYOD. Derrière ces termes quelque peu énigmatiques se cache un phénomène qui a pris une grande ampleur au sein des entreprises. Et malgré les bénéfices que les salariés peuvent en tirer, ses conséquences sur la sécurité de l’entreprise ne sont pas à prendre à la légère.

Lorsqu’un salarié utilise des applications informatiques personnelles à des fins professionnelles, on parle alors de Shadow IT. Cette pratique existe depuis longtemps, mais elle est en progression. D’après une étude menée par CipherCloud, 86% des applications de Cloud utilisées dans les entreprises n’ont pas été autorisées. Cette pratique, de plus en plus courante, est notamment due à l’essor du BYOD (Bring Your Own Device, ou l’utilisation d’appareils personnels dans le cadre professionnel) mais également à celui des applications en mode SaaS. Le partage de fichiers, la sauvegarde et l’archivage de données arrivent en tête des pratiques lorsqu’il s’agit d’informatique fantôme.

Shadow IT : contourner les règles pour travailler plus efficacement

Partage de documents avec des solutions grand public, visio-conférence via des comptes personnels, envoi de mails depuis son téléphone portable… Comment expliquer la propagation du phénomène ? Une étude a montré que 35% des salariés estiment devoir contourner les procédures internes ou des mesures de sécurité afin de travailler efficacement. L’incapacité de services informatiques à autoriser des projets pilotes et à lancer des nouveaux produits rapidement explique en partie la situation. Les salariés ne cherchent pas délibérément à contourner les règles de sécurité de leur entreprise, ils cherchent plus de performance, de mobilité. « Il est très difficile d’empêcher la propagation du Shadow IT ou du BYOD », reconnaît Tiffany Weil, RSSI du groupe Oodrive. « Nous ne pouvons pas ignorer ces pratiques qui peuvent être à l’origine de dommages irréparables pour l’activité d’une entreprise. Et ces risques encourus ont un coût qu’il est parfois difficile d’assumer pour une petite structure par exemple. D’où l’importance d’être extrêmement attentifs aux outils utilisés en interne  ».

Un challenge pour les équipes IT

La démocratisation du Cloud est en grande partie responsable de la propagation du Shadow IT et du BYOD dans les entreprises. Et pour cause, les applications en ligne destinées au grand public sont généralement très simples à utiliser et offrent une grande flexibilité. Elles offrent aux salariés une agilité qui peut parfois leur faire défaut avec les outils mis à disposition par leur entreprise. Elles augmentent leur productivité avec un investissement très faible voire inexistant. Alors à moins de proposer des équivalents approuvés en interne, la DSI peut difficilement mettre un terme à cette pratique.

On estime qu’une grande entreprise sur 5 utiliserait en moyenne jusqu’à 42 applications à risque. Plus de 80% des responsables métiers reconnaissent utiliser des applications SaaS non autorisées. Une étude menée par IDC a montré que 42% des entreprises autorise le BYOD en interne alors qu’elles estiment en parallèle que le risque de perte de données est élevé.

Tous ces outils, installés ou utilisés sans autorisation, peuvent avoir un  impact négatif sur l’activité d’une entreprise. Les coûts liés à ces pratiques, donc non engagés par la DSI, peuvent vite être considérables. Une étude réalisée par Vanson Bourne estime qu’ils représentent 5 à 15% du budget de la DSI. La DSI ne peut nier les effets de ce phénomène en termes de sécurité, mais comment sécuriser des applications dont elle n’a même pas connaissance ?

Être conscient des risques

Le risque principal lorsqu’il s’agit de Shadow IT touche donc à la sécurité de l’entreprise. Les applications installées sans autorisation peuvent par exemple être à l’origine de nouvelles brèches de sécurité et ainsi mettre en péril l’activité de toute la société. En effet, elles ne sont généralement pas conformes à la réglementation concernant la protection des données. « Des phénomènes comme le Shadow IT ou le BYOD fragilisent la sécurité d’une entreprise et mettent en péril les données qu’elle traite quotidiennement. C’est une menace pour la cohérence globale et la sécurité du SI de l’entreprise. Pour limiter les risques, il est important que chaque collaborateur soit conscient de la valeur de ces informations et de l’impact que leur dégradation voire leur perte pourrait avoir», explique Tiffany Weil.

Proposer des solutions sécurisées et certifiées

Pour éviter de laisser le Shadow IT et le BYOD prendre de l’ampleur, la DSI doit proposer des solutions alternatives permettant aux salariés de travailler avec la même agilité mais de façon sécurisée. Des solutions en mode SaaS proposées par des prestataires certifiés mais qui répondent aux exigences de la politique de sécurité de l’entreprise. Grâce à un déploiement rapide et une gestion centralisée, ce type d’application en ligne permet aux salariés d’être efficaces sans mettre en péril la sécurité de leur organisation.

« La sécurité est un véritable challenge dans toutes les entreprises. La montée en puissance des cyberattaques nous pousse à être de  plus en plus vigilants. C’est pourquoi nous suivons notamment les recommandations de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, ndlr) en matière de sécurité. Nous accordons également une importance toute particulière aux certifications comme Cloud Confidence ou ISO 27001. Ce sont des garanties fiables pour nos clients que les applications grand public ne peuvent apporter », conclut Tiffany Weil.

 

En savoir + Comment préserver au mieux vos données stratégiques ?