Afin d’enrayer un phénomène qui ne cesse de progresser, les entreprises doivent mobiliser toutes leurs forces et s’appuyer sur les membres de leur département IT pour sensibiliser l’ensemble des collaborateurs. C’est la sécurité de toute l’organisation qui en dépend.

Outils de gestion de projets, plateformes de visioconférence ou de collaboration, applications de messagerie, disques durs externes, connexions Wifi, extensions logicielles… Le Shadow IT survient dès qu’une application, un plug-in ou un matériel sont utilisés dans une entreprise sans autorisation du département IT.

« Le phénomène s’est accru avec la crise sanitaire. Comme toutes les entreprises n’étaient pas préparées à travailler efficacement à distance, les salariés ont essayé de trouver des solutions. Ils ont choisi des outils non sécurisés – comme certaines plateformes de transfert de fichiers – pour collaborer avec leurs collègues », déclare Jean-Marc Jacquot, animateur du groupe de travail « Shadow IT » du Clusif, et fondateur de la société Nextaura.

Autre explication à la montée en puissance du Shadow IT : la progression fulgurante des applications cloud. Ce marché connaît en effet une forte croissance, passant d’un volume d’affaires de 171 milliards de dollars en 2020 à une projection de 356 milliards de dollars en 2025, selon une étude du cabinet Markets and Markets.

Et selon l’édition 2022 du rapport “Cloud and Threat Report” de Netskope, le volume de logiciels malveillants fondés sur le cloud a triplé en 2022 par rapport à l’année précédente. Netskope a en effet trouvé l’année dernière pas moins de 400 applications cloud distinctes diffusant des logiciels malveillants. Environ 30 % de tous les téléchargements malveillants à partir du cloud provenaient de Microsoft OneDrive, 8,6 % de l’hébergeur Weebly et 7,6 % du site d’hébergement de logiciels GitHub. Selon le rapport 2021 de Netskope, 68 % des malwares étaient issus d’applications cloud au second semestre de cette année-là.

Shadow IT : le danger peut aussi venir des extensions tierces

Les applications tierces, ou plug-in, qui viennent se greffer à des plateformes bureautiques et/ou collaboratives telles que Office 365 ou Google Workspace, sont également dans le viseur des DSI et des RSSI. « Même si la DSI met à disposition des outils sur Office 365 ou Google Workspace, les collaborateurs ont la possibilité d’installer des extensions tierces qui ne sont généralement pas validées. C’est un exemple type de Shadow IT dans le cloud où les salariés utilisent un outil validé par la DSI, mais avec rajout d’extensions. Or, ces dernières peuvent ouvrir beaucoup de permissions sur les données et certaines d’entre elles peuvent être malveillantes », note Jean-Marc Jacquot.

« Quant aux utilisateurs de Google Workspace, ils sont selon Netskope 97 % à avoir autorisé une application tierce à accéder à leur compte Google professionnel. Ces personnes ne sont pas toujours conscientes qu’en utilisant ces extensions, elles donnent accès à leurs données et donc à celles de l’entreprise », complète Jean-Marc Jacquot.

La menace peut aussi venir d’applications téléchargées depuis des app stores très célèbres. La société Kaspersky a ainsi découvert en 2019 la présence d’un cheval de Troie dans CamScanner, logiciel d’OCR (reconnaissance optique de caractères) édité par l’entreprise chinoise IntSig. Ce logiciel avait à cette époque été téléchargé plus de 100 millions de fois depuis le Play Store, le magasin d’applications de Google.

Gouvernance et sensibilisation

Pour faire face au Shadow IT, il est nécessaire pour les entreprises de s’armer de méthodologie et de rigueur. « Le Shadow IT doit être géré comme un sujet à part entière. Il faut mettre en place les processus adéquats et mobiliser les ressources adaptées pour maîtriser ce phénomène. Une partie du budget IT doit d’ailleurs lui être consacrée », analyse Jean-Marc Jacquot.

La méthode préconisée par Jean-Marc Jacquot est tout d’abord de mettre en œuvre une gouvernance claire, précisant qui définit les règles et qui contrôle leur application. Ensuite, il faut procéder à une détection et à une identification du Shadow IT au sein de l’organisation. « Une fois l’identification réalisée, il est nécessaire d’effectuer un inventaire puis de traiter les problèmes en fonction des règles définies par la gouvernance », précise Jean-Marc Jacquot.

Combattre le Shadow IT est tout sauf un projet uniquement technique. La sensibilisation et l’accompagnement des collaborateurs occupent également une place importante dans le dispositif. « Comme souvent dans la cybersécurité, nous touchons avec le Shadow IT de très près à l’humain. Les membres de la DSI jouent d’ailleurs un rôle clé. En dialoguant avec les utilisateurs, ils sont en mesure de mieux connaître leurs usages, puis de les orienter vers les solutions les plus sécurisées », commente Jean-Marc Jacquot.

Mais pour susciter l’adhésion et mettre les utilisateurs de son côté, la DSI se doit d’être exemplaire à bien des égards. Elle est tout d’abord dans l’obligation de faire preuve d’efficacité dans sa façon de recueillir et de traiter les besoins exprimés par les collaborateurs. « Elle doit notamment proposer un catalogue de services relativement complet et facilement accessible. Et pour ceux qui ne trouvent pas leur bonheur dans ce catalogue, elle doit mettre en place un processus pour les accompagner vers des solutions alternatives (sic) », déclare Jean-Marc Jacquot.

Enfin, la DSI doit veiller à ce que le Shadow IT n’arrive pas en son sein. « Personne n’est au-dessus des règles, l’exemplarité de la DSI est clé si elle souhaite être crédible auprès de l’ensemble des collaborateurs », conclut Jean-Marc Jacquot.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.