Qu’est-ce que le Shadow IT ?

 

Le shadow IT, traduit en français par « informatique fantôme », désigne l’ensemble des applications et logiciels installés et utilisés par un collaborateur dans le cadre de son travail, sans avoir eu préalablement l’approbation de la DSI*.

Ce phénomène provient de la démultiplication des solutions de télécommunication et des services hébergés dans le cloud (SaaS) offrant une plus grande productivité aux collaborateurs. Insatisfaits des outils métiers mis à leur disposition, ils se tournent alors vers d’autres solutions plus innovantes ou plus adaptées à leurs besoins sans pour autant en avertir leur DSI.

 

*DSI : Direction des systèmes informatiques

 
 

Une pratique de plus en plus répandue

 

Apparue au cours de ces dernières années, la pratique du Shadow IT se développe et s’intensifie au sein des entreprises. Selon l’étude du cabinet de conseil Frost et Sullivan, 80% des collaborateurs avouent utiliser une solution informatique sans avoir reçu l’accord de leur DSI. On estime également que 7 applications sur 20 ne sont pas portées à leur connaissance. La société Cisco constate quant à elle que l’utilisation du Shadow IT serait 15 fois supérieurs à celle estimée par les DSI.

 

Des chiffres qui inquiètent les responsables informatiques car, si le shadow IT amène plus d’efficacité pour les collaborateurs, il peut également mettre en danger le système informatique de l’entreprise.

 

Lire aussi : Le phishing : comment s’en protéger ?

 
 

Quels sont les risques du Shadow IT ?

 

Le Shadow IT représente une menace pour les données et le système d’information de votre entreprise. L’absence de visibilité et de contrôle induit par le Shadow IT ne permet pas à la DSI de réaliser les configurations et la maintenance nécessaires à sa sécurisation. Alors, divers risques peuvent en résulter et impacter lourdement l’entreprise :

 
    • Risque de fuite et dispersion des données
    • Risque d’infection par un virus
    • Mauvaise circulation de l’information dû à l’absence d’intégration technique
    • Risque d’intrusion sur le réseau informatique et d’espionnage
    • Problème de conformité avec la réglementation, notamment le RGPD
 

Les conséquences de ces menaces peuvent être de différentes natures : perte ou sanction financière, mauvaise image et réputation, perte de confiance… etc. Il convient donc d’agir au plus vite avant qu’un de ces incidents ne se produise.

 
 

Lire aussi : La perte de données – comment l’éviter ?

 
 

Gardez le contrôle !

 

Pour protéger efficacement le système d’information, la DSI soit impérativement avoir la visibilité et le contrôle sur l’ensemble des solutions matérielles et logicielles de l’entreprise. Pour limiter les risques du Shadow IT sans impacter la productivité de vos collaborateurs, certaines actions et mesures peuvent être mises en place.

 
 

1# Comprendre les usages de vos équipes

 

Le Shadow IT se développe souvent dans une entreprise lorsque les outils mis à la disposition des collaborateurs ne répondent pas totalement aux besoins métiers ou ne sont pas assez intuitifs, et faciles d’utilisation.

 

La première chose à faire est donc d’identifier les besoins réels de vos équipes afin de leur apporter les solutions sécurisées, adaptées à leurs usages. Pour cela, instaurer le dialogue avec vos collaborateurs et échangez dans un climat de confiance pour faire remonter les besoins et insuffisances en matière d’informatique.

 
 

2# Proposer des solutions alternatives

Pour limiter le risque de Shadow IT, il est conseillé de réaliser une veille continue sur les nouvelles technologies numériques pouvant faciliter l’expérience utilisateur de vos équipes. L’objectif étant de proposer un catalogue d’outils testés et approuvés par l’entreprise, répondant à leurs besoins et à leurs usages.

 

Faites également le choix des solutions collaboratives, telles que la communication unifiée par exemple. Elles permettent à la fois de centraliser, moderniser et sécuriser les échanges de vos collaborateurs tout en répondant parfaitement à leurs besoins.

 
 

3# Limiter les autorisations sur les postes de travail

 

Pour bloquer les téléchargements non-autorisés et éviter les désinstallations des logiciels essentiels, deux actions peuvent être réalisées. Dans un premier temps, votre serveur doit être correctement configuré. Les droits administrateurs ne doivent pas être attribués à l’ensemble de vos collaborateurs. Dans un second temps, vous pouvez paramétrer les antivirus professionnels sur les postes de travail de vos équipes.

 
 

4# Sensibiliser vos collaborateurs au danger du Shadow IT

 

En cybersécurité, on dit souvent que la meilleure défense passe d’abord par une prise de conscience. Il est donc essentiel de sensibiliser vos équipes sur les risques du Shadow IT et sur les conséquences de cette pratique sur l’entreprise. Incitez-les à se tourner vers la DSI pour répondre à leurs questions ou leurs besoins numériques.

 
 

Pour aller plus loin : Sensibiliser ses équipes à la cybersécurité, pourquoi est-ce indispensable ?

 

 

5# Encadrer les pratiques et usages numériques

 

Pour informer vos équipes sur les bonnes pratiques numériques à adopter et sur les usages numériques non-autorisés par l’entreprise, il est nécessaire d’établir une charte informatique. Elle devra définir les sanctions disciplinaires éventuellement applicables en cas de manquement. Cette charte doit être rédigée dans des termes clairs, aisément compréhensibles et mise à disposition de vos collaborateurs dès leur entrée en poste.