15/11/2024
IT-Connect » Cours - Tutoriels » Cybersécurité » Qu’est-ce que le Shadow IT ? Définition, risques et solutions

Qu'est-ce que le Shadow IT ?
Cybersécurité

Qu’est-ce que le Shadow IT ? Définition, risques et solutions

Florian BURNEL 1 commentaire

I. Présentation

Dans cet article, nous allons évoquer un phénomène courant dans la majorité des organisations et qui représente un risque réel pouvant exposer une entreprise à une cyberattaque : le Shadow IT.

Nous commencerons par définir ce qu'est le Shadow IT, avant d'évoquer les risques associés pour une organisation. Puis, la dernière partie de l'article s'intéressera à l'analyse de la surface d'attaque externe d'une organisation pour démontrer son importance vis-à-vis du Shadow IT.

II. Qu'est-ce que le Shadow IT ?

Le Shadow IT appelé aussi Rogue IT, que l'on peut traduire en français par "Informatique fantôme" ou "Informatique parallèle", est un terme faisant référence à l'utilisation de logiciels et applications dans le dos du service informatique. Autrement dit, le service informatique n'est pas au courant que certains utilisateurs font usage de tel service ou telle application. Cela signifie que les processus de validation et d'implémentation ont été esquivés, volontairement ou non, par les utilisateurs.

Le Shadow IT fait également référence aux systèmes oubliés ou non référencés : il peut s'agir d'un PoC mené par le service informatique en lui-même, sous la forme d'un environnement de tests. Celui-ci peut rester actif bien au-delà de la phase d'expérimentation et s'il n'est pas correctement isolé de la production, ou pire encore, s'il est exposé sur Internet, peut représenter un risque.

En réalité, le Shadow IT est devenu un phénomène courant en raison de la prolifération des applications et services, dont certains sont très faciles à utiliser et à appréhender pour les utilisateurs. Les services Cloud, proposé en tant que solution SaaS, sont un bon exemple, pour ne pas dire le meilleur exemple.

Cependant, le Shadow IT est associé à un ensemble de risques, notamment en matière de sécurité, de conformité et de gestion de l'information. C'est ce que nous allons évoquer dans la prochaine partie de l'article.

III. Les risques associés au Shadow IT

  • La sécurité

Par définition, les applications déployées sans l'approbation du service informatique ne respecteront pas les normes de sécurité de l'entreprise. Autrement dit, ils ne seront pas correctement configurés, ni même sécurisés, et potentiellement, les données ne seront pas sauvegardées. Au fil du temps, si ces applications ne sont pas suivies, elles peuvent être vulnérables à une ou plusieurs failles de sécurité que les cybercriminels peuvent exploiter. Ceci est d'autant plus vrai et critique s'il s'agit d'un système exposé sur Internet.

  • Les données

Au-delà des risques relatifs à l'absence de contrôle de sécurité (configuration, suivi des mises à jour, etc.), le Shadow IT représente un réel risque pour la gestion des données de l'organisation. En effet, les données peuvent être stockées dans des endroits non sécurisés : absence d'authentification (dépôt public), connexion non chiffrée, mauvaise gestion des permissions, etc. Par ailleurs, l'entreprise peut perdre le contrôle des données concernées et ne plus savoir où elles se situent. Tôt ou tard, ceci peut engendrer une fuite de données si un tiers non autorisé parvient à accéder à ces données.

  • La conformité et le RGPD

Il existe également un lien étroit entre la notion de conformité et le Shadow IT, notamment vis-à-vis du RGPD. Pour rappel, le RGPD (Règlement Général sur la Protection des Données) est une législation de l'Union européenne qui vise à protéger les données personnelles des citoyens de l'UE. Il exige un suivi strict et précis des données personnelles traitées par les entreprises.

Cela signifie que l'organisation doit avoir connaissance de l'endroit où les données sont stockées et qui y a accès. Des principes contraires à la problématique du Shadow IT puisque les données peuvent être stockées sur des systèmes non approuvés ou peut-être même non conforme au RGPD. En cas de violation de données, l'entreprise peut être tenue responsable et être sanctionnée par une amende. L'aspect conformité peut également être associé à la gestion des licences et aux conditions d'utilisation d'un service ou d'une application.

  • En résumé

En résumé, avec le Shadow IT, il n'y a pas que des dommages techniques et cela peut être beaucoup préjudiciable pour l'entreprise. Le Shadow IT peut être à l'origine d'un problème de sécurité (intrusion, fuite de données, etc.) pouvant engendrer une indisponibilité de tout ou partie de l'infrastructure de l'entreprise. Dans ce cas, il y aura un impact financier pour l'organisation et son image de marque sera également entachée.

IV. L'analyse de la surface d'attaque externe

Compte tenu des risques représentés par le Shadow IT, il est crucial pour les entreprises de prendre les dispositions nécessaires pour protéger leurs données. Au-delà de mettre en place des procédures strictes, une organisation peut adopter un outil d'analyse de la surface d'attaque externe (EASM) afin d'obtenir une cartographie précise des assets exposés sur Internet. Ils représentent un risque important et peuvent être utilisés comme vecteur d'attaque initial, au même titre que les e-mails de phishing.

Nous pouvons voir plusieurs avantages à l'utilisation de l'EASM pour lutter contre le Shadow IT :

- Identifications des actifs (assets) non autorisés : l'analyse effectuée par l'outil EASM peut identifier tous les actifs associés à une organisation, qu'ils soient autorisés ou non. Autrement dit, cette analyse sera utile pour découvrir de façon proactive les systèmes, applications et services utilisés sans l'approbation de la direction informatique.

- Suivi continu : le processus de découverte régulier de la solution d'EASM assure une surveillance continue. C'est important pour réduire au maximum le délai entre le moment où l'actif est mis en ligne et le moment où il est détecté. Ainsi, l'organisation, par l'intermédiaire de son équipe technique, peut réagir rapidement pour minimiser les risques.

- Évaluation des risques : chaque actif identifié sera passé en revue et évalué pour déterminer les risques potentiels qui lui sont associés. Ceci permettra d'identifier ses faiblesses, notamment les problèmes de configuration, les vulnérabilités, etc... Comme le ferait un pentester.

En identifiant les vulnérabilités et les risques associés à chaque système et service exposé, l'outil EASM vous aidera à prendre les mesures nécessaires et les bonnes décisions. Dans le cas du Shadow IT, cela peut induire la désactivation du système non autorisé ou la conservation du système sous réserve que sa configuration soit révisée (hardening du système, par exemple).

Précédemment, nous avions présenté la solution EASM Sweepatic de chez Outpost24 :

👉 Sweepatic, une solution pour gérer sa surface d’attaque externe en continu

En plus de l'analyse de la surface d'attaque externe, les organisations peuvent traquer le Shadow IT grâce à :

  • La formation des employés pour les informer des risques associés au Shadow IT, mais aussi, pour leur expliquer les processus de validation internes de l'entreprise. Par exemple, la procédure à respecter pour demander l'accès à une application ou un service. Ceci est valable aussi pour le service informatique en lui-même : aucun passe-droit et ils doivent veiller à la bonne application de ces processus.
  • La gestion des appareils et des autorisations : les outils de gestion des appareils et des applications mobiles peuvent aider à déployer des applications, mais aussi, des politiques pour accorder et refuser certaines actions. Cela peut aussi permettre de contrôler quels appareils et applications ont accès aux données de l'organisation.
  • La surveillance et audit du réseau et des systèmes pour détecter les flux et les événements inhabituels.
  • Le dialogue entre le service informatique et les salariés, ainsi que les responsables de service, joue un rôle important, au-delà des solutions techniques. L'origine du Shadow IT peut être lié à un contentieux entre un salarié et le service informatique.

V. Conclusion

Le Shadow IT doit être pris au sérieux. Ne fermez pas les yeux sur cette informatique déjà dans l'ombre par définition. Cherchez plutôt à mettre en lumière les services, les applications et les systèmes utilisés sans l'approbation de l'équipe IT afin de prendre les bonnes décisions. La formation, la sensibilisation et l'écoute pourront aussi permettre de limiter la tentation des utilisateurs.

Cet article contient une communication commerciale.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

PowerShell – Comment générer un mot de passe aléatoire ?

Thibault Baheux 5
Sécurité Active Directory - Risques mots de passe description des utilisateurs

Sécurité de l’Active Directory : les mots de passe dans la description des objets utilisateur

Mickael Dorigny 1

Etude de cas phishing : Paypal et Microsoft

Mickael Dorigny 4

1 commentaire sur “Qu’est-ce que le Shadow IT ? Définition, risques et solutions

  • C’est la que OCS a sa carte a jouer pour les Station on peut facilement repérer les abus il y a aussi applocker dont tu as fais un article

    Mais c’est bien d’en parler

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.