Traiter la menace fantôme : le shadow IT
Qu’est-ce que le shadow IT ?
Depuis longtemps dans nombre d’organisations, les services métier ont considéré que les services informatiques n’étaient pas assez disponibles, pas assez rapides ou imposaient trop de contraintes pour répondre à leurs attentes, et ont donc cherché à contourner leur DSI. Dès les années 80, à l’ère de la micro-informatique naissante face aux gros et mini-systèmes, on a ainsi pu voir fleurir des équipes « micro-informatiques » dans des services métier qui développaient leurs propres solutions déconnectées du système central et échappant totalement à la DSI de l’organisation. Il a fallu de nombreuses années avant que les DSI ne s’approprient la micro-informatique pour l’intégrer dans leur stratégie et finalement reprennent le contrôle du SI.
Depuis quelques années, l’avènement des offres SaaS (Software as a Service) et plus généralement du Cloud, offre aujourd’hui infiniment plus de possibilités de se passer de la DSI pour mettre en œuvre des solutions applicatives déconnectées du système d’information de l’organisation. Ces offres de solutions « en ligne » accessibles très simplement au travers d’un navigateur et de l’accès Internet de l’organisation, ne nécessitant souvent aucune installation particulière sur le PC, déclenchent difficilement des signaux d’alerte aux DSI.
Dans la plupart des cas, aucune intervention de la DSI n’est nécessaire, inutile de disposer de droits d’administration sur le poste de travail, pas de flux réseau à ouvrir, pas de règle de sécurité à contourner, l’accès s’assimile à de la navigation web standard en principe autorisée pour les utilisateurs. Sauf à...
Le shadow IT est-il une menace ?
Cette question ne fait pas l’unanimité, et on trouvera dans la presse spécialisée et sur Internet une littérature favorable au shadow IT. Sans aucun doute le shadow IT améliore à très court terme l’efficacité de ses utilisateurs et stimule l’innovation. Il offre souvent un accès plus rapide aux ressources nécessaires, et ce parfois avec des coûts réduits grâce à l’utilisation de services Cloud gratuits ou abordables. On peut imaginer qu’il permet l’amélioration de la communication et de la collaboration grâce à des applications et des plateformes particulièrement intuitives et accessibles, le tout dans une expérience utilisateur positive face à la réduction de l’administration et de la bureaucratie ! Et qu’il s’agisse de l’utilisation d’applications gratuites à l’initiative des utilisateurs ou de solutions SaaS financées par l’organisation mais hors du budget de la DSI, on ne doutera pas de la bonne intention qui a présidé à la décision de mettre en œuvre du shadow IT, et même de tous les avantages qu’auront su tirer de cette utilisation leurs initiateurs.
Pour autant, quelles que soient les raisons qui justifieraient la mise en œuvre de ces solutions...
Prévenir l’émergence du shadow IT
C’est bien la convergence de plusieurs facteurs qui favorise un déploiement de plus en plus important du shadow IT, d’un côté une offre de solutions Cloud en forte croissance et faciles à déployer, de l’autre un besoin fort de répondre sans délai à des attentes fonctionnelles perçues comme vitales, ainsi qu’une pratique de plus en plus répandue de l’informatique personnelle avec des outils gratuits, conviviaux, et riches fonctionnellement.
Mais ce qui prime dans l’apparition et le développement du shadow IT, c’est plus particulièrement la volonté des personnels de travailler plus efficacement avec leurs logiciels préférés qu’ils utilisent à titre personnel, ou encore l’ambition des responsables de doter leurs équipes de solutions qu’ils estiment plus performantes que les ressources informatiques approuvées par l’entreprise. À tel point que lorsqu’une DSI détecte une utilisation de ce type d’outil et qu’elle veut l’interdire, les réclamations virulentes ne manquent pas de remonter en comité de direction, avec leur litanie d’arguments négatifs à l’égard de la DSI, dont l’objectif serait finalement d’empêcher les services...
Détecter et gérer du shadow IT
Il s’agit à la fois d’utiliser des outils techniques à même de contenir ou de détecter la présence de shadow IT dans le SI et de mieux gouverner le fonctionnement des services avec la DSI afin de permettre de détecter des usages du shadow IT.
La détection technique de la présence de shadow IT dans le SI ne nécessite pas nécessairement la mise en place d’outils spécifiques, mais passe plutôt par la configuration d’outils standards de cybersécurité et par une surveillance particulière de signaux, parfois faibles, mais significatifs, d’une présence du shadow IT révélée par ces mêmes outils. Il y a différentes solutions à combiner :
-
Les outils qui portent sur l’usage des terminaux (par exemple EDR - Endpoint Detection and Response) qui collectent et analysent au niveau des terminaux les comportements et peuvent aussi réagir en réponse (bloquer, par exemple, un accès à une ressource).
-
Ceux qui s’adressent plus spécifiquement au réseau et qui peuvent empêcher ou détecter l’accès à des ressources non autorisées dans le Cloud, par exemple firewalls, proxy, NAC (Network Access Control), SASE (Secure Access Service Edge).
-
Les outils qui portent sur l’ensemble...