Shadow IT fait référence à toute technologie, qu’il s’agisse d’une application, d’un service dans le cloud ou d’un appareil, utilisée et gérée par un membre de l’entreprise à l’insu du service informatique. Bien que ce phénomène ne date pas d’hier, il s’est intensifié ces dernières années. Selon
G2, les experts estiment que 40 % des dépenses informatiques en entreprise ne passent plus par le service informatique. Voici tout ce qu’il faut savoir à propos des avantages et des risques liés aux technologies non autorisées, et sur comment s’accommoder de Shadow IT plutôt que de la combattre.
Les risques importants liés à Shadow IT
Shadow IT peut sembler plutôt inoffensive de premier abord, mais elle présente de sérieux inconvénients, à commencer par les risques qu’elle fait peser sur la sécurité. Comme tous les informaticiens vous le diront, les entreprises doivent presque toujours trouver un équilibre entre sécurité et commodité. Vous ne pouvez pas renforcer l’une sans affaiblir l’autre. Et comme les professionnels de l’informatique ne sont pas impliqués dans la configuration ou l’administration de Shadow IT, cela signifie qu’aucune personne responsable ou experte en cybersécurité ne s’occupe du volet sécurité de cette équation.
Les employés qui contournent le SI et installent des technologies parallèles sont généralement motivés par la commodité et la productivité. Ils ont une idée précise de la manière dont la technologie les aidera à être plus productifs ou à collaborer plus efficacement entre collègues, mais ils ne mesurent ou ne comprennent souvent pas les risques qu’elle pourrait faire courir à l’entreprise. Ce qui dans une certaine mesure est bien compréhensible. La plupart des employés savent utiliser les technologies grand public à des fins personnelles, mais ils n’ont généralement pas de connaissances informatiques formelles, et leur fonction n’implique généralement pas de prises de décisions de haut niveau en matière de gestion des risques à l’échelle de l’entreprise. Le problème, c’est que personne n’est chargé de ce rôle de supervision pourtant essentiel.
C’est pourquoi Shadow IT présente davantage de risques en matière de cybersécurité ou de conformité réglementaire que les technologies évaluées et validées par l’équipe informatique. Comme le souligne G2, le principal danger réside dans les fuites de données, qui peuvent coûter des millions d’euros et ruiner la réputation d’une entreprise en un rien de temps. Soixante-dix-neuf pour cent des employés déclarent que le plus grand risque lié à l’introduction de nouvelles technologies sans l’aval du SI porte sur la sécurité de l’entreprise. Si l’entreprise est sur un secteur très réglementé, les amendes et les conséquences peuvent être encore plus lourdes. Les entreprises qui abritent une part importante de Shadow IT peuvent également se retrouver à investir plusieurs fois dans des services similaires sans même s’en apercevoir, et elles peuvent ainsi passer à côté d’occasions d’intégrer diverses technologies pour son plus grand bénéfice.
Les surprenants avantages de Shadow IT
L’idée que des outils parallèles ronronnent tranquillement sur votre réseau sans la moindre supervision du SI peut sembler inquiétante, mais Shadow IT peut également être bénédiction. Au fond, la présence de Shadow IT est une information. Elle indique à l’équipe informatique que l’organisation compte des férus de technologie qui ont démontré le besoin de recourir à des fonctionnalités pour obtenir les avantages associés. Avec un peu de communication et de collaboration, l’équipe informatique peut potentiellement aider ces employés à atteindre leurs objectifs tout en obtenant une meilleure compréhension de la manière dont les employés utilisent ces technologies, pour que tout le monde y gagne.
Certains vétérans de l’informatique se crispent à l’idée que des utilisateurs individuels puissent installer des applications ou des appareils sans autorisation, et à juste titre. Shadow IT peut faire des ravages dans l’entreprise, par exemple en relâchant accidentellement un logiciel malveillant qui mettrait le réseau à genoux et provoquerait un afflux soudain d’appels paniqués au service d’assistance. Mais ces professionnels de l’informatique doivent bien admettre que le train a déjà quitté la gare. Les politiques BYOD (Bring Your Own Device) sont plébiscitées dans de nombreuses entreprises, et le basculement soudain vers le télétravail durant la pandémie n’a fait que brouiller la frontière entre technologies personnelles et professionnelles. En outre, les services informatiques disposent de bien meilleurs outils qu’autrefois pour gérer les technologies personnelles des utilisateurs.
La pression sur les responsables informatiques n’a jamais été aussi forte pour qu’ils accélèrent la transition informatique à grande échelle. Ils n’y parviendront qu’en obtenant une compréhension précise et à jour des technologies utilisées par leurs collègues pour accomplir leurs tâches. Shadow IT, une fois qu’elle a été détectée, peut les aider à identifier les champions de ces technologies en interne, et en collaborant avec eux, ils pourront élaborer des stratégies innovantes compatibles avec la croissance de l’entreprise.
Comment tirer parti de Shadow IT
Comme le dit le vieil adage, on ne peut pas gérer ce que l’on ne voit pas, et Shadow IT est par définition difficile à percevoir, et encore plus difficile à contrôler. Le problème est encore plus épineux pour une organisation
dont le personnel télétravaille. Mais vous pouvez apprendre à en tirer parti et ce faisant, parvenir à un meilleur équilibre entre sécurité et confort, pour toutes les personnes concernées.
Tout d’abord, vous devez obtenir une visibilité sur toutes les technologies et pratiques qui présentent un risque important en matière de sécurité. Par exemple, une solution centralisée de gestion des identités et des accès (IAM) peut aider votre équipe informatique à mieux gérer les accès à toutes les applications et à tous les appareils, qu’ils soient utilisés par les employés qui travaillent sur place dans les bureaux ou de chez eux.
Vous pouvez aller encore plus loin en déployant l’authentification unique (SSO), qui non seulement confère un contrôle plus granulaire au SI, mais est aussi plus commode pour les employés. Un gestionnaire de mots de passe d’entreprise offre à vos employés un moyen plus sûr de stocker leurs mots de passe, tout en donnant au SI des outils plus performants pour gérer la sécurité des mots de passe dans toute l’entreprise, y compris sur les appareils et applications parallèles.
Pour une Shadow IT plus éclairée
Bien que Shadow IT soit à première vue une menace, et qu’il s’agit d’un phénomène que toute entreprise doit prendre au sérieux, elle peut être domptée en la mettant sous les projecteurs. En utilisant des outils intelligents pour obtenir une visibilité sur la manière dont les employés utilisent les technologies dans votre entreprise, et en collaborant avec des ardents défenseurs de technologies pour comprendre pourquoi ils utilisent certaines applications ou certains appareils et à quelles fins, le SI peut transformer les risques de Shadow IT en atouts. Avec une approche réfléchie de Shadow IT, votre entreprise sera en bien meilleure posture pour maximiser les avantages de ces technologies tout en minimisant les risques.
Découvrez comment la
gestion des mots de passe sans effort de LastPass améliore l’hygiène et la sécurité des mots de passe.