La menace du Shadow IT

L’utilisation de divers services et programmes que ni votre informaticien ni votre responsable de la sécurité ne connaissent peut engendre certains problèmes. Nous vous expliquons comment éviter cette situation.

Shadow IT as a threat

Il est presque impossible de trouver des outils logiciels qui plaisent à tout le monde. Il y aura toujours au moins un employé qui connaît un service gratuit dix fois mieux que celui qu’a choisi l’entreprise. Si cette personne commence à utiliser et à recommander activement cette autre option à ses collègues, on assiste à un phénomène connu comme le Shadow IT. Parfois, cela aide vraiment l’entreprise à trouver une solution mieux adaptée à ses besoins mais, le plus souvent, ce n’est qu’une source de tracas.

Si les gens étaient plus malins, ils soumettraient d’abord leurs idées au département chargé de la sécurité. Mais nous ne vivons pas dans un monde parfait, et les employés utilisent souvent des services de partage de fichiers, des applications de messagerie électronique sur le web, des clients de réseautage social ou des services de messagerie sans réfléchir aux conséquences.

Le problème n’est pas nécessairement que l’outil soit une nouvelle messagerie instantanée gratuite bricolée sur le pouce. Il peut simplement s’agir d’un service bien établi. Le problème, c’est que ni les spécialistes de la sécurité, si votre entreprise en possède, ni le service informatique, ne savent ce qui se passe. Cela signifie que l’application non homologuée n’est pas prise en compte dans les modèles de menace des infrastructures, dans les diagrammes de flux de données et dans les décisions de planification de base. C’est la porte ouverte à tous les problèmes.

Probabilité de fuites

Qui sait quels pièges peut supposer l’utilisation d’outils tiers ? Toute application, qu’elle soit basée sur le Cloud ou hébergée localement, peut avoir de nombreux paramètres subtils qui contrôlent la confidentialité. De plus, tous les employés ne sont pas des pros de logiciels. Les cas d’employés qui laissent des tableaux contenant des données personnelles non sécurisées dans Google Documents sont nombreux, pour ne citer qu’un exemple évident.

D’autre part, les services peuvent présenter des vulnérabilités qui permettent à des tiers d’accéder à vos données. Leurs auteurs peuvent combler les failles rapidement, mais qui s’assurera que les employés installent tous les correctifs nécessaires pour les applications côté client ? Sans l’intervention du service informatique, vous ne pouvez même pas être sûr qu’ils recevront un mémo sur la mise à jour. En outre, il est rare que quelqu’un soit responsable de la gestion des droits d’accès aux applications et services non autorisés (par exemple, pour révoquer les privilèges après un licenciement), si cette fonctionnalité est disponible ! En résumé, personne n’est responsable de la sécurité des données transmises ou traitées par des services non approuvés par le service informatique ou votre équipe de sécurité.

Violation des exigences réglementaires

De nos jours, les pays du monde entier ont des lois qui indiquent aux entreprises comment elles doivent traiter les données personnelles. Il faut y ajouter les nombreuses normes industrielles sur ce même sujet. Les entreprises doivent se soumettre à des audits périodiques pour satisfaire aux exigences des différents organismes de réglementation. Si un audit découvrait soudainement que les données personnelles des clients et des employés étaient envoyées en utilisant des services peu fiables, sans que le service informatique ne le sache, l’entreprise pourrait devoir payer une amende substantielle. Autrement dit, une entreprise n’a pas besoin d’être victime d’une véritable violation des données pour se retrouver dans le pétrin.

Gaspillage du budget

Utiliser un outil alternatif au lieu de l’outil recommandé peut paraître anodin, mais pour l’entreprise, c’est un gaspillage d’argent, dans le meilleur des cas. Après tout, si le service informatique achète des licences pour chaque participant approuvé dans le flux de travail, mais que tout le monde n’utilise pas la sienne, il a jeté de l’argent par les fenêtres.

Que faire à propos du Shadow IT

Ce phénomène doit être géré, pas combattu. Si vous pouvez garder la situation sous contrôle, vous pouvez non seulement améliorer la sécurité des données dans votre entreprise, mais aussi trouver des outils réellement populaires et utiles qui peuvent être déployés dans toute l’entreprise.

En ce moment même, en pleine situation de pandémie et de télétravail, les risques liés à l’utilisation d’applications et de services non approuvés augmentent. Les employés sont obligés de s’adapter aux nouvelles conditions et ils essaient généralement de trouver de nouveaux outils qu’ils estiment mieux adaptés à leur télétravail. C’est pourquoi nous avons ajouté quelques fonctionnalités supplémentaires à la version mise à jour de Kaspersky Endpoint Security Cloud, pour détecter l’utilisation de services et d’applications Cloud non approuvés.

De plus, Kaspersky Endpoint Security Cloud Plus peut également bloquer l’utilisation de ces services et applications. Cette version de la solution donne également à l’entreprise l’accès à Kaspersky Security for Microsoft Office 365, qui fournit une couche de protection supplémentaire pour Exchange Online, OneDrive, SharePoint Online et Microsoft Teams.

Vous pouvez en savoir plus sur notre solution Kaspersky Endpoint Security Cloud et l’acheter sur notre site officiel.

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.