Qu’est-ce qu’un Shadow IT ?
Le Shadow IT se produit lorsque Les employés contournent la surveillance de la sécurité pour utiliser une technologie non autorisée et non vérifiée. Une étude a révélé que 41 % des employés utilisaient le shadow IT en 2022, un nombre qui devrait grimper à 75 % d’ici 2027.
Plusieurs facteurs conduisent au shadow IT, notamment le manque de transparence dans les processus d’approvisionnement informatique, la nécessité de solutions plus rapides, l’insuffisance des outils informatiques fournis et la disponibilité généralisée des services basés sur le cloud.
Le risques associés au Shadow IT inclure une surface d’attaque élargie, des violations de données, des violations potentielles de la conformité et une augmentation des coûts informatiques, autant d’éléments qui peuvent mettre à rude épreuve la sécurité et les ressources de l’organisation.
Si le Shadow IT peut encourager l’innovation, stimuler la productivité et permettre aux équipes de résoudre rapidement les problèmes, ces Les avantages se font souvent au détriment de la sécurité et de la gouvernance.
Les entreprises peuvent lutter contre le shadow IT En adoptant des outils de détection, en améliorant la visibilité, en favorisant la collaboration entre les équipes, en appliquant des contrôles d’accès stricts et en éduquant les employés sur les risques potentiels.
Qu’est-ce que le Shadow IT ?
Le Shadow IT est l’utilisation non autorisée par un employé de services, d’applications et de ressources informatiques qui ne sont pas contrôlés par le service informatique d’une organisation ou qui ne sont pas visibles par celui-ci. Le Shadow IT peut inclure :
Services cloud IaaS, PaaS et SaaS
Points de terminaison tels que les ordinateurs et les téléphones
Apis
Serveurs et réseaux,
Produits hors tension non approuvés
Plugins Chrome
Applications au niveau de la plate-forme
D’après Gartner, 41 % des employés en 2022 ont installé et utilisé des applications qui échappaient à la visibilité de leur service informatique. Ce chiffre devrait atteindre 75 % d’ici 2027.
Causes du Shadow IT
Le Shadow IT n’émerge pas de nulle part, c’est le produit de la dynamique organisationnelle, des besoins des employés et des tendances technologiques. Voici les principaux facteurs :
Lack of visibility into IT procurement
Imaginez qu’une équipe ait besoin d’un nouvel outil pour améliorer le flux de travail, mais qu’elle ne dispose pas d’un processus clair pour l’approbation du service informatique. Sans transparence, ils peuvent contourner complètement le service informatique, en utilisant une carte de crédit d’entreprise pour acheter un logiciel ou en s’inscrivant à un essai gratuit. Le problème ? Les équipes informatiques ne sont pas conscientes, ce qui permet à ces outils d’introduire des failles de sécurité en opérant en dehors des contrôles de sécurité et de la gouvernance formels.
Désir de solutions plus rapides
Nous sommes tous passés par là : la frustration d’attendre les approbations pendant des semaines, voire des mois. À l’approche des échéances, les employés peuvent contourner complètement l’informatique pour accéder à des outils qui, selon eux, permettront d’accomplir le travail plus rapidement. Cette urgence à « faire en sorte que cela fonctionne » se traduit souvent par l’apparition du Shadow IT.
Insufficient IT-provided solutions
Que se passe-t-il lorsque les outils fournis par l’informatique ne suffisent pas ? Peut-être sont-ils trop maladroits ou manquent-ils de fonctionnalités clés pour un service spécifique'. Lorsque les équipes ne se sentent pas soutenues, elles cherchent souvent ailleurs des solutions qui correspondent mieux à leurs besoins. Cette solution de contournement peut sembler inoffensive au départ, mais peut entraîner des angles morts en matière de sécurité et des problèmes de conformité.
Accès accru aux services basés sur le cloud
L’essor des applications basées sur le cloud comme le SaaS (Software as a Service) a rendu incroyablement facile pour toute personne disposant d’une carte de crédit de déployer des outils sans impliquer le service informatique. L’appel ? Des solutions accessibles et peu coûteuses qui promettent de résoudre les problèmes avec un temps de configuration minimal. Le risque ? Ces outils peuvent ne pas répondre aux normes de sécurité de l’organisation et introduire des vulnérabilités dans l’écosystème.
Pourquoi le Shadow IT est-il devenu une tendance croissante ?
De plus en plus Les employés sont sous pression pour performer dans des environnements à indice d’octane élevé. Il en résulte des tentatives d’auto-optimisation et de rationalisation des projets en exploitant une gamme de services cloud facilement disponibles.
Malheureusement, l’utilisation non autorisée de ces services cloud est très courante. Le la perception que les services informatiques sont léthargiques peut faire en sorte que les employés se sentent frustrés par la paperasserie et les procédures bureaucratiques qui s’interposent entre eux et l’accès aux ressources informatiques critiques. Si l’on ajoute à cela le besoin croissant de développer des solutions rapides et de gérer rapidement les workloads, il n’est pas surprenant que de nombreux employés prennent l’informatique en main.
Avantages du Shadow IT
Le Shadow IT a souvent mauvaise réputation, mais regardons-y un œil objectif. Lorsqu’il est géré (ou qu’il est pris par hasard) avec soin, le Shadow IT peut apporter des avantages inattendus :
Accès plus rapide aux outils : Les équipes peuvent rapidement adopter des solutions adaptées à leurs besoins sans attendre de longs processus d’approbation informatique.
L’innovation par l’expérimentation : Les employés peuvent explorer des outils et des technologies de pointe, introduisant parfois des solutions que l’ensemble de l’organisation n’avait pas envisagées.
Amélioration de la productivité des employés : Lorsque les employés trouvent des outils qui fonctionnent parfaitement pour leurs tâches, cela peut rationaliser les flux de travail et augmenter le rendement.
Des équipes autonomes et autonomes : Le Shadow IT favorise souvent une attitude « get-it-done », permettant aux équipes de résoudre les problèmes de manière indépendante et de respecter des délais critiques.
Cependant, ces avantages s’accompagnent d’une mise en garde importante : les répercussions potentielles du Shadow IT ne sont pas anodines. Des outils non vérifiés peuvent introduire Vulnérabilités de sécurité, les manquements à la conformité et les inefficacités qui finissent par coûter plus cher à long terme.
Concevez des politiques de sécurité spécifiques à l’entreprise :
Quels sont les risques du shadow IT ?
Voici les quatre plus grands risques du Shadow IT :
Risques et vulnérabilités de sécurité : L’utilisation du Shadow IT entraîne un risque accru d’attaques de logiciels malveillants et d’exfiltration de données à partir de matériel, de logiciels et d’applications cloud informatiques non autorisés. Les ressources informatiques non autorisées ne sont pas renforcées par une organisation', ce qui les rend vulnérables aux auteurs de menace dont l’objectif est de voler des renseignements sensibles et des actifs de données de grande valeur.
Surface d’attaque élargie : Le Shadow IT conduit souvent à une prolifération des applications, avec une multiplication des applications non autorisées dans toute l’organisation. Cette prolifération crée des points de terminaison non surveillés et des connexions non sécurisées, Élargissement de la surface d’attaque et donner aux acteurs de la menace plus d’opportunités d’exploiter les vulnérabilités.
Perte ou fuite de données : Le Shadow IT se traduit souvent par Données sensibles stocké ou transmis par des canaux non protégés, ce qui l’expose à des violations ou à des Fuites. Par exemple, une équipe peut utiliser une application gratuite de partage de fichiers pour collaborer, en plaçant sans le savoir des informations exclusives dans un système qui ne dispose pas de garanties de chiffrement ou de conformité.
Préoccupations en matière de conformité et de réglementation : Les implications du Shadow IT en matière de conformité peuvent être tout aussi dommageables que les failles de sécurité. Les entreprises doivent se conformer à des cadres réglementaires spécifiques à la région et à l’industrie, tels que la loi californienne sur la protection de la vie privée des consommateurs (CCPA), le règlement général sur la protection des données (RGPD), la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA), le programme fédéral de gestion des risques et des autorisations (FedRAMP) et la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Les manquements à la conformité peuvent coûter aux entreprises des millions de dollars en amendes et en frais juridiques.
Manque de contrôle et de gouvernance : Les lacunes en matière de contrôle centralisé et de visibilité des environnements et des ressources informatiques peuvent être extrêmement préjudiciables à une organisation. La plupart des employés n’ont pas la perspicacité technique et le point de vue de haut niveau pour bien contrôler et gérer les actifs informatiques non officiels. Comme nous l’avons mentionné précédemment, l’acquisition de Shadow IT peut entraîner des gains à court terme, mais elle peut également ouvrir la voie à des obstacles à la réponse aux incidents et à la remédiation, ainsi qu’à des défis post-mortem en raison de la faiblesse des pistes d’audit.
Augmentation des coûts informatiques et inefficacités : Le Shadow IT a des conséquences majeures en termes de coûts, notamment une collaboration sous-optimale, une mauvaise utilisation des ressources existantes, des dépendances vis-à-vis de fournisseurs non autorisés, des opérations désorganisées et inefficaces, des temps d’arrêt potentiels et la compromission des données.
Exemples de shadow IT
Les entreprises doivent être en mesure d’identifier des cas spécifiques de Shadow IT afin d’atténuer les risques et d’éviter que des événements similaires ne se reproduisent à l’avenir.
Voici quelques exemples importants de Shadow IT à surveiller :
| Example | Description |
|---|---|
| Cloud storage and collaboration tools | Employees may utilize a range of unsanctioned applications from cloud storage and collaboration suites on a short-term or project-to-project basis or for interdepartmental collaboration. Even storage and collaboration tools from trusted providers can be vulnerable if they aren’t under the supervision of the IT department. |
| SaaS | Shadow SaaS is a growing form of shadow IT. There are thousands of free or freemium SaaS solutions that attract employees who want to augment their work without undergoing permissions processes. A simple example of shadow SaaS can be an employee from an accounting department using an unsanctioned SaaS graphic design tool to create a report. |
| Personal devices and applications | The rise in hybrid work-from-home models means that numerous employees access enterprise IT resources on personal devices. Employees working on personal smartphones and computers may tend to use non-approved applications for work, and this can introduce numerous vulnerabilities and risks. |
| External software subscriptions | Employees may subscribe to a service or software for a particular project and then lose track of its status. These dormant, neglected, and hidden software subscriptions are capable of causing significant—and costly—problems for enterprises. |
| Developer tools | Developers often leverage unauthorized programming libraries, frameworks, or open-source software to tackle the pressures and challenges of agile environments. Unauthorized developer tools may have powerful capabilities that empower employees and teams, but their hidden presence can create unforeseen complexities. |
Quelques bonnes pratiques simples pour prévenir le Shadow IT
Le Shadow IT peut être évité grâce à une combinaison de bonnes pratiques à l’échelle de l’organisation, d’outils et de technologies robustes et de stratégies proactives.
Pour éviter le shadow IT, gardez ces conseils à l’esprit :
1. Maximiser la visibilité : Les entreprises doivent mettre en œuvre des mécanismes pour surveiller l’utilisation des ressources cloud, des appareils et des terminaux mobiles, des applications, des systèmes d’exploitation, du code et des packages dans leurs environnements informatiques. La visibilité peut contribuer à renforcer la posture de sécurité, à renforcer les protocoles de conformité, à optimiser les dépenses et à rationaliser les déploiements de workloads.
2. Rendre la détection efficace : La détection automatisée en moins d’une seconde des services cloud existants et nouvellement mis en service peut aider les entreprises à surveiller et à contrôler plus efficacement leur environnement informatique. La possibilité de détecter les activités et d’accéder à des visualisations graphiques et à des mappages de ressources PaaS, de machines virtuelles, de conteneurs, de compartiments publics, de volumes de données et de bases de données peut aider les entreprises à prévenir le Shadow IT et à remédier aux instances existantes.
3. Concevez des politiques de sécurité spécifiques à l’entreprise : Les politiques de sécurité doivent être adaptées à l’organisation'exigences et objectifs uniques. Cette approche peut grandement contribuer à atténuer les risques dans un paysage de menaces en évolution rapide.
4. Mettre en œuvre la gestion des appareils mobiles (MDM) : Des solutions MDM robustes sont essentielles pour lutter contre le shadow IT, sécuriser les terminaux qui prolifèrent et soutenir les modèles de travail hybrides et à distance. Parmi les exemples de fonctionnalités MDM, citons les mécanismes permettant d’empêcher les employés de s’abonner à des applications externes sans comptes de messagerie d’entreprise officiels et les systèmes d’authentification unique (SSO). Les entreprises doivent appliquer des listes bloquées et des listes d’autorisation informatiques sur les appareils de l’entreprise et les appareils BYOD afin de contrôler les applications qui peuvent être introduites.
5. Éliminer le code fantôme : Le code fantôme fait référence au code non autorisé utilisé par les développeurs. Les entreprises doivent s’intégrer SAST (tests de sécurité des applications statiques), les outils DAST (Dynamic Security Testing) et IAST (Interactive Application Security Testing) pour analyser tout le code et les frameworks open source utilisés par les développeurs. Cela peut aider les entreprises à éviter les risques tels que les failles de sécurité, le vol de données et les inefficacités opérationnelles. Il garantit également que seul le code soigneusement vérifié et autorisé est ajouté aux dépôts Git.
6. Tirez parti des contrôles d’accès : L’établissement, l’intégration et la mise en œuvre de contrôles d’accès dans les environnements cloud, les terminaux, les applications et les processus peuvent aider les organisations à déterminer et à contrôler les ressources informatiques autorisées, les endroits où elles peuvent être intégrées et les personnes qui peuvent les mettre en service. Ces contrôles doivent être formalisés, intégrés dans le cadre d’une organisation et rigoureusement respectés.
7. Automatisez les alertes : Des mécanismes automatisés peuvent alerter les services informatiques et de cybersécurité des violations des politiques de sécurité et des activités anormales en temps réel. Les alertes peuvent aider les entreprises à faire face aux premiers signes de Shadow IT et à minimiser les dommages causés par les incidents.
8. Organisez des formations : Les employés ont souvent recours au Shadow IT par commodité, par ignorance ou parce qu’ils estiment que les outils approuvés ne répondent pas à leurs besoins. Des ateliers réguliers sur les risques du shadow IT peuvent dissuader les employés d’utiliser des TI non autorisées. Les sessions de formation contribuent également à créer un environnement où les employés se sentent à l’aise pour répondre à leurs besoins technologiques avec l’informatique.
9. Proposer un catalogue de services IT : C’est une bonne idée de fournir un catalogue de logiciels, d’applications et de services approuvés pour l’utilisation par les employés. Un catalogue à jour peut empêcher les employés de rechercher des solutions en dehors des canaux autorisés.
10. Favoriser la collaboration entre l’IT et les business units : Chaque fois que les équipes informatiques travaillent en étroite collaboration avec d’autres départements, elles comprennent mieux leurs besoins spécifiques et peuvent ensuite fournir des outils et des services appropriés qui répondent à leurs demandes uniques.
11. Effectuer des audits réguliers : L’audit des actifs informatiques permet à votre entreprise d’identifier les logiciels ou les services non autorisés et de s’assurer que toutes les applications et tous les services utilisés au sein de l’organisation sont conformes aux politiques juridiques et de l’entreprise.
12. S’engager à réagir rapidement : Les équipes informatiques doivent avoir un plan en place pour faire face au Shadow IT lorsqu’il'détectés. Les protocoles peuvent inclure la suppression de logiciels ou de services non autorisés et la fourniture d’une solution de rechange appropriée et approuvée.
Découvrez les applications du Shadow IT dans votre environnement
La création d’un inventaire complet des environnements informatiques existants est le meilleur moyen d’obtenir des informations sur votre environnement informatique fantôme potentiel. Dans le passé, l’obtention d’une carte topographique précise des nouveaux services cloud dans un environnement informatique d’entreprise était un processus long et laborieux. Wiz permet de commencer à cartographier un inventaire complet des services cloud en quelques clics.
Demander une démo de Wiz dès maintenant pour commencer à donner à vos équipes de développement et de cloud les moyens de comprendre les risques informatiques. Sécurisez et optimisez un moteur cloud robuste pour votre organisation à des vitesses inégalées.
Shine a Light on Shadow IT
Learn how Wiz offers visibility into what cloud resources, applications, operating systems, and packages exist in your environment in minutes.
Shadow IT FAQ