Shadow IT
In this article
Qu’est-ce que le Shadow IT ?
Le Shadow IT fait référence à l’utilisation de logiciels et d’autres technologies non approuvés par le service informatique d’une organisation. De nombreux employés utilisent le Shadow IT, souvent sans même en être conscients. Par exemple, dans certaines organisations où seule l’application de messagerie Signal est officiellement autorisée, des employés utilisent WhatsApp sans y réfléchir.
Origines du Shadow IT
Le Shadow IT n’est pas un phénomène nouveau. Même à l’époque où les employés travaillaient uniquement sur des ordinateurs de bureau, sans internet, ils apportaient des disquettes ou des clés USB pour installer des logiciels et autres outils. Cependant, ces dernières années, l’utilisation du Shadow IT est devenue beaucoup plus courante. Plusieurs tendances y ont directement contribué :
- Le cloud computing a été un important catalyseur. Il est facile de télécharger une application en ligne, d’installer simplement une application ou de s’abonner à un service SaaS.
- L’accessibilité financière est également un facteur clé, beaucoup de services offrant des comptes gratuits.
- Le travail à distance est devenu plus répandu depuis la pandémie de Covid-19, poussant chacun à personnaliser son espace de travail avec ses propres outils.
- L’utilisation d’appareils personnels (BYOD – Bring Your Own Device) facilite également le Shadow IT. Sur son propre smartphone ou ordinateur portable, on peut généralement installer des logiciels sans restrictions, mélangeant usages privés et professionnels.
Pourquoi le Shadow IT se développe-t-il ?
La facilité d’utilisation du Shadow IT ne suffit pas à expliquer pourquoi il est si répandu. D’autres facteurs sont en jeu :
- Confort de travail : Lorsqu’une nouvelle application permet de travailler plus rapidement ou plus facilement, il est tentant de l’essayer.
- Limitations de l’IT : Les services informatiques sont souvent débordés avec les applications existantes et strictement nécessaires. Il leur manque simplement du temps pour répondre aux besoins supplémentaires des utilisateurs.
- Esprit d’innovation : De plus en plus d’employés sont maintenant nés avec la technologie et sont toujours à la recherche de nouveautés. De plus, les applications innovantes apparaissent de plus en plus rapidement.
- Facilité d’utilisation : Les nouvelles applications sont souvent développées avec l’expérience utilisateur comme point de départ. Les applications d’entreprise standard sont souvent moins conviviales.
- Procédures et politiques : Dans certaines organisations, il est difficile pour les employés de demander des logiciels supplémentaires en raison des coûts de licence, des politiques et des processus manuels. Une solution de téléchargement en ligne devient alors attrayante.
En résumé, le Shadow IT répond souvent à un besoin que le service informatique interne ne peut pas combler, et les politiques et procédures internes n’aident pas. Cela rend difficile l’éradication complète du Shadow IT.
Exemples de Shadow IT
Le Shadow IT ne concerne généralement pas les applications d’entreprise utilisées par tout le monde, comme les logiciels CRM et les systèmes financiers. Avec tous les processus environnants et les systèmes connectés, il est irréaliste de chercher une alternative sans impliquer le service informatique. Cependant, pour les applications pouvant être utilisées à discrétion, le Shadow IT est beaucoup plus tentant. Voici quelques exemples :
- Outils de compression et d’envoi de gros fichiers : Des outils comme WeTransfer sont souvent utilisés sans l’approbation du service informatique.
- Services de stockage sur le cloud : Si la collaboration entre équipes ou entreprises est difficile avec les logiciels habituels, les utilisateurs recourent rapidement à Google Drive, Dropbox ou OneDrive.
- Logiciels de gestion de projets, outils créatifs et applications de planification : Il existe souvent de nombreuses variantes offrant des fonctionnalités supérieures aux outils fournis par le service informatique, pouvant inciter les employés à les utiliser.
Le Shadow IT ne concerne pas seulement l’installation non contrôlée de logiciels. Il inclut également le matériel acheté directement par un employé ou un service sans consulter les spécialistes informatiques. Il peut également s’agir d’une personne de l’entreprise développant sa propre application ou outil pour l’exécution de ses tâches, ce qui s’apparente également à du Shadow IT.
Risques du Shadow IT
Il est presque impossible d’éviter complètement le Shadow IT, et il est souvent utilisé de manière presque imperceptible. Une étude de 2020 de Statista a révélé que 42 % des répondants utilisaient leurs comptes de messagerie personnels pour le travail sans l’approbation de leur service informatique.
De plus, la tendance est à la hausse. Selon Gartner, le pourcentage d’employés utilisant, modifiant ou développant des technologies sans consulter le service informatique passera de 41 % en 2022 à 75 % en 2027. C’est pourquoi Gartner a inclus le Shadow IT dans le top 8 des enjeux de cybersécurité pour les prochaines années.
Et pour cause. Tout d’abord, vous ne voulez pas installer accidentellement des logiciels malveillants avec une application pratique. Vous devez également vous assurer que les applications respectent les normes de sécurité et de confidentialité des informations de votre organisation. De plus, il est crucial que l’accès aux logiciels et aux données soit sécurisé, et que des garanties existent concernant l’emplacement de stockage des données dans les solutions cloud.
En dehors des questions de sécurité, il y a aussi des risques concernant la disponibilité et l’intégrité des « Shadow datas ». Vos fichiers seront-ils toujours accessibles dans trois mois ? Vos documents ne deviendront-ils pas accidentellement publics avec un abonnement de base ? Ce sont des questions importantes que les utilisateurs du Shadow IT ne se posent souvent pas ou examinent de manière superficielle.
Conseils pour contrer le Shadow IT
Il est donc généralement impossible d’éliminer complètement le Shadow IT. Cependant, nous pouvons essayer de limiter son utilisation et de mieux la contrôler. Voici quelques pistes :
- Utiliser des appareils d’entreprise : En fournissant des téléphones et des ordinateurs d’entreprise, vous avez plus de contrôle sur les logiciels installés et les données stockées.
- Imposer des règles d’utilisation sur les appareils personnels (BYOD) : Vous pouvez, par exemple, limiter la durée des sessions pour que les utilisateurs doivent se reconnecter régulièrement.
- Utiliser des logiciels de gestion des appareils : Ceux-ci permettent de séparer clairement les applications et dossiers personnels et professionnels sur chaque appareil.
- Surveiller activement l’utilisation : En particulier les applications présentant un risque accru d’abus.
- Promouvoir le développement contrôlé : Permettre aux employés de développer leurs propres logiciels, par exemple pour l’analyse de données ou l’automatisation des processus, à l’aide de plateformes low-code. Cela garantit que le code est développé et surveillé conformément aux directives.
En dehors de ces mesures, la sensibilisation reste primordiale en matière de sécurité de l’information. Si les utilisateurs sont bien informés des risques et des points à surveiller avec le Shadow IT, il ne disparaîtra peut-être pas complètement, mais les gens feront des choix plus avisés.
Enfin, il est important de promouvoir activement le portefeuille d’applications approuvées par l’entreprise. Parfois, les utilisateurs ne savent même pas que certaines applications sont supportées par le service informatique et optent inutilement pour une alternative non approuvée. Assurez-vous donc qu’il existe un bon catalogue de services et de logiciels accessible, et que la demande et l’utilisation des logiciels soient simplifiées.
Une solution de GIA (Gestion des Identités et Accès) moderne peut aider à cet égard. Par exemple, HelloID prend en charge l’utilisation d’un catalogue de services. Cela permet de rationaliser complètement la demande de logiciels et l’approbation en ligne par les responsables concernés. Si les employés peuvent demander et activer des logiciels en un clic, ils seront moins enclins à rechercher des solutions de Shadow IT.
Le Shadow IT pose des risques pour la sécurité du réseau, la sécurité des informations et la confidentialité, car il est utilisé sans que le service informatique puisse évaluer la sécurité et la stabilité des logiciels.
Le service informatique interne n’a pas toujours une solution standard pour chaque besoin des utilisateurs. Dans ces cas, les utilisateurs recherchent souvent une solution de Shadow IT.
Le Shadow IT ne respecte généralement pas les directives ISO 27001, car le manque de contrôle et de gestion des logiciels présente des risques de sécurité.
Une plateforme low-code est un environnement de développement permettant aux utilisateurs de développer facilement des applications et des intégrations sans connaissances en programmation, à l’aide d’une interface utilisateur graphique intuitive. Mendix et Microsoft Power Platform sont des exemples connus.