Shadow IT : bête noire des entreprises !

Les entreprises peuvent avoir tous les systèmes de sécurité possibles en place, cela n’empêchera pas les employés de garder ce don pour les contourner, et parfois sans même se rendre compte qu’ils font quelque chose de mal alors n’oubliez pas d’éduquer vos utilisateurs. Ce phénomène est appelé “shadow IT”, et il concerne l’utilisation de sa propre technologie bien aimée, plutôt que celle préconisée et validée par le service informatique.

C’est le résultat d’un certain nombre de choses. La génération actuelle d’employés a une connaissance et des ressources sans précédent en matière de technologie. En effet, si votre système de transfert de fichiers semble trop lent, pas de problème “je vais envoyer cela dans Dropbox dès que je rentre à la maison” ou “partageons plutôt cela via Google Drive” est un réflexe facile à avoir.

Personne ne dit que l’utilisation de l’un des services mentionnés ci-dessus est interdite ou dangereuse. La question est que si les directives internes à l’entreprise déclare que vous pouvez utiliser votre technologie préférée et approuvée, alors que vos autres collègues font tout autre chose, vous perdez alors le contrôle et vous ne pouvez pas être sûr qu’ils n’utilisent pas des services non sécurisés, c’est un drame pour les Responsables IT.

La question a été traitée récemment dans un article publié par IT Security Guru. Il met en garde contre les failles de sécurité, les accès non autorisés et les entreprises dont les employés font ce qu’ils veulent avec leurs technologies préférées. Il préconise de sensibiliser les employés vis-à-vis de la politique de leur employeur, et des conséquences possibles en cas de non-respect de cette dernière. Nos contacts, cependant, ont offert une image plus nuancée de la situation réelle.

Aux États-Unis, Seth Robinson, senior director, technology analysis, chez CompTIA, affirme que la plupart des entreprises se tournent vers des modèles opérationnels qui maintiennent, un minimum, les équipes informatiques dans la boucle, et a ajouté qu’une certaine forme d’autonomie était possible entre différents services de l’entreprise.

Cependant, un degré plus élevé d’indépendance peut être atteint parmi les différentes business units. Dans notre étude, 37% des entreprises ayant augmenté le budget technologie de leurs business units, ont déclaré que le budget supplémentaire était utilisé pour acquérir la technologie directement, et 9% ont déclaré que ce budget était utilisé pour passer des contrats avec un tiers.

Toutefois, il ne s’agit pas des principales activités. En effet, 54% des entreprises déclarent que le budget est utilisé pour démarrer des projets en collaboration avec le service informatique interne. Le fait d’utiliser ces fonds dans le secteur d’activité propre à l’entreprise, rend les employés davantage conscients des compromis technologiques nécessaires, plutôt que de faire tout simplement l’impasse.

Pendant ce temps, au Royaume-Uni, Frank Stajano du Cambridge Academic Centre of Excellence in Cyber Security Research, suggère qu’il existe un problème de management.

Le shadow IT peut devenir un problème sérieux, dans la mesure où il est susceptible de générer des inefficacités, des incohérences et des non-conformités au niveau de la maison mère. Cependant pour moi, c’est un symptôme révélateur d’un problème plus grave, à savoir que le département informatique de la maison mère impose, d’en haut, des politiques et des infrastructures qui entravent et ne répondent pas de façon adaptée aux besoins du personnel.

Mes recherches se focalisent sur la mise en place d’une sécurité pragmatique et pratique : j’ai souvent vu des situations où le personnel sous-estimait la sécurité au sein de l’entreprise (par exemple avec des clés USB non chiffrées, des mots de passe partagés ou un partage de documents via Gmail ou DropBox), car les solutions imposées par le service informatique étaient tout simplement trop lourdes.

Les mesures de sécurité qui ne sont pas utilisables ne sont tout simplement délaissées : les employés utiliseront toute leur ingéniosité pour les contourner afin de faire leur travail de manière efficace. Je dois admettre que, bien que je ne préconise pas cette pratique, je comprends très bien l’état d’esprit des employés. La praticité médiocre des systèmes officiels fournis est souvent la racine même du problème. Il serait inutile de tenter d’interdire le shadow IT, sans aborder cette cause réelle et sous-jacente.

Cela vient s’ajouter à un rapport de The Economist, il y a quelques années, qui ne se référait pas au shadow IT, mais à “l’autonomie technologique”. Cela semble plus positif que dommageable. Robinson a ajouté que beaucoup d’entreprises étatiques reconnaissaient cet état de fait, et avaient tendance à intégrer le shadow IT en interne en autorisant son utilisation.

Il est rare que le service informatique ignore complètement les pratiques réelles du personnel. Comme pour les processus décisionnels, ces activités impliquent souvent le département informatique. Dans 60% des cas, le service informatique donne son aval. Dans 24% des cas, le service informatique est consulté, et dans 10% des cas, il est au moins informé de la décision.

Robinson conclut en soulignant que “le shadow IT a évolué en trouvant sa place au sein d’un environnement professionnel dans lequel son utilisation devient systématique, et où les besoins d’autonomie en matière technologique se développe dans une sorte de sandbox sécurisée”. Ce qui est certainement une amélioration concernant le shadow IT non réglementé.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de How much of the IT your workers use is hiding in the shadows?, par Guy Clapperton, Sophos NakedSecurity.