Qu’est-ce que le Shadow IT ? Votre organisation est-elle concernée par cette pratique ? Est-ce possible de combattre le Shadow IT ? Voici des conseils et des réponses pour que vous puissiez l’éliminer une bonne fois pour toutes.
Le Shadow IT, c’est quoi ?
Le Shadow IT est le fait d’utiliser des services à usage personnel pour un usage professionnel sans que cela soit su et contrôlé par la DSI. Il existe de nombreux exemples de cette pratique :
- Un collaborateur passe par un service comme WeTransfer pour envoyer un document volumineux à un prestataire extérieur
- Une équipe utilise WhatsApp ou Messenger pour échanger plus facilement en déplacement
- Un membre d’un service passe par un compte personnel pour accéder à des sites offrant des fonctionnalités auxquelles il n’a pas accès au sein de son organisation
Avec l’avènement du cloud, les applications se multiplient, laissant aux utilisateurs de plus en plus de choix. La simplification de l’accès à ces outils pousse souvent les collaborateurs à en faire usage dans leur quotidien professionnel. Les directions métier, elles, achètent bien souvent des solutions logicielles sans avoir consulté la DSI. Or, dans ces deux cas, les DSI perdent le contrôle des données échangées, ce qui est fortement risqué pour l’organisation. Le fossé se creuse entre les collaborateurs qui ont des besoins et cherchent des solutions par eux-mêmes, sans consulter l’équipe IT, et les DSI qui ont un budget, une structure et qui n’ont pas forcément conscience de ce qu’il se passe sous leur « toit ». Selon le rapport « Shadow IT France » de Symantec, édité en collaboration avec le Cesin, les DSI estiment qu’entre 30 et 40 applications et services cloud sont utilisés au sein de l’organisation en moyenne, alors que dans la réalité, c’est plus ou moins 1700. Cet écart montre un fonctionnement parallèle au sein des organisations, alors que la sécurité dépend d’un travail en commun.
Que faire contre le Shadow IT ?
Tout d’abord, il faut que le fonctionnement parallèle cesse dans votre structure. Pour ce faire, il existe une solution simple : la communication inter-service. En effet, la DSI doit échanger avec tous les services, pour que tous prennent conscience des risques de sécurité que le Shadow IT entraîne. L’accompagnement est clé pour éliminer cette pratique. En communiquant, en informant les collaborateurs des risques, en les formant, en établissant des règles, il sera plus facile de faire disparaître les « usages de l’ombre ». Ces échanges sont aussi l’occasion pour la DSI de mieux comprendre les besoins des collaborateurs et d’y répondre avec des solutions adaptées. En effet, si le phénomène du Shadow IT vit de beaux jours, c’est bien parce que les usages évoluent. En offrant une réponse aux besoins, vous supprimerez ce fonctionnement parallèle.
Vous pouvez combler ces besoins en proposant des outils conçus pour un usage professionnel. Ceux-ci doivent offrir les mêmes fonctionnalités que les solutions choisies par les collaborateurs. Grâce à des applications comme Microsoft Teams ou OneDrive, les utilisateurs bénéficient d’un vrai confort et vous ne sacrifiez pas la sécurité de votre système d’information. En effet, ces outils garantissent une protection élevée, ce qui vous permet de conserver le contrôle et de diminuer les risques.
En complément, il faut apporter une réponse technologique. Protéger les postes de travail, les échanges, surveiller pour détecter les faiblesses et les problèmes, tout cela contribue à contrer le phénomène. Mais vous pouvez aller plus loin en analysant les outils cloud utilisés par vos collaborateurs. En faisant cela, vous pourrez voir facilement ce qui fait partie du Shadow IT au sein de votre organisation. Il suffit de faire appel à une solution technologique adaptée, comme Cloud App Security par exemple. Ce service de Microsoft est dédié à ce type de surveillance, puisqu’il permet notamment d’augmenter la visibilité sur l’activité cloud et de contrôler le déplacement des données.
Comment supprimer le Shadow IT avec Cloud App Security ?
Cloud App Security peut identifier toutes les applications cloud utilisées dans l’organisation (SaaS, IaaS, PaaS…), et évalue les risques. Le service permet de sécuriser les données sensibles dans le cloud. En outre, il protège contre les cyberattaques, en identifiant les comportements anormaux ou les applications non autorisées par exemple. Vous pouvez également l’utiliser pour évaluer la compatibilité de vos applications cloud, vous assurant ainsi de leur conformité.
Si vous utilisez déjà les solutions Microsoft, sachez que Cloud App Security vous est proposé nativement. Alors, à vous de jouer !
