Le Shadow IT, ou informatique de l’ombre, désigne tous les outils informatiques utilisés dans les entreprises hors du contrôle de la Direction des Systèmes d’informations. Il y a quelques années lorsque le Wifi n’était pas aussi répandu, cela se traduisait par l’installation de points d’accès sauvages sur le réseau par des collaborateurs qui désiraient restés connectés partout dans l’entreprise. Ces collaborateurs n’étant pas nécessairement des champions de la sécurité informatique, on se retrouvait avec des trous de sécurité béants un peu partout dans les réseaux.
Ce phénomène, porté par le cloud et par l’avènement des technologies personnelles (smartphone à moins de 500 DH), c’est énormément développé. Aujourd’hui, le Shadow IT dans les entreprises ressemble à cela :
- Un directeur Marketing qui partage ses présentations avec ses collègues ou partenaires en utilisant des services de Cloud comme Dropbox, Wetransfer ou Prezi, avec des comptes personnels.
- Un commercial qui utilise son compte personnel Skype pour faire des visio-conférences avec ses clients.
- Un technicien qui a besoin d’accéder à ses emails en déplacement, et qui se connecte depuis son propre smartphone, sans aucune autorisation.
Pourquoi le Shadow IT ?
Une étude réalisée par RSA (division sécurité d’EMC) montre que 35 % des salariés estiment devoir contourner les procédures de l’entreprise ou des mesures de sécurité afin de travailler plus efficacement. 63 % d’entre eux envoient des documents internes à leur adresse électronique personnelle afin de poursuivre à la maison le travail qu’ils ont commencé au bureau. Les employés ne cherchent pas délibérément à contourner les process de l’entreprise mais ils ont besoin de solutions simples, efficaces et rapides pour mieux effectuer leur travail.
Les risques pour l’entreprise
Le Shadow IT génère des risques énormes pour l’entreprise :
- Perte de temps : les employés non professionnels de l’informatique passent beaucoup de temps à mettre en place et à gérer des systèmes informatiques, alors que ce n’est pas leurs métiers
- Perte de données : des données importantes pour l’entreprise stockés dans ces espaces de non droit peuvent être perdues à la suite de problèmes de sauvegarde ou simplement suite au départ d’un collaborateur
- Mais le principal risque est sans doute la sécurité, car les outils grand public souvent utilisés ne suivent pas les règles de sécurité de l’entreprise et ne prennent pas en compte ses contraintes réglementaires et juridiques (confidentialité, fuite de données, propriété des données etc.). Combien de documents confidentiels sont en ce moment en accès public sur des sites comme Prezi ou Dropbox ? Pour le savoir, il suffit de lancer cette recherche Google.
La solution
Pour reprendre le contrôle, la DSI se doit de considérer cette “consumérisation” de l’informatique comme une opportunité. L’enjeu est de proposer des solutions simples à adopter pour permettre aux collaborateurs d’exercer leur métier sans barrières, tout en garantissant des niveaux de sécurité élevés et une vraie gouvernance du SI.
Pour reprendre les exemples cités plus haut :
- Le service marketing qui utilisait des comptes personnels Dropbox pourra utiliser le service de stockage professionnel Google Drive pour partager et collaborer en temps réel en équipe ou avec ses partenaires.
- Le commercial qui utilisait Skype va pouvoir basculer vers le service entreprise de visio-conférence Google Hangout.
- Pour l’employé qui utilisait son téléphone personnel pour lire ses mails, le Mobile Device Management inclus dans G Suite permettra de valider l’appareil et de lui imposer des règles de sécurité : utilisation d’un mot de passe, cryptage de l’appareil, effacement à distance en cas de perte ou de vol, …
La DSI pourra suivre en temps réel l’utilisation de ces services, bloquer certains types de partage ou recevoir des alertes en cas de violation des règles de sécurité.