La transformation numérique a révolutionné la façon de travailler et les outils utilisés par les salariés au quotidien. Plateformes collaboratives, messageries instantanées, solutions de partage et de stockage de fichiers, gestionnaires de tâches, etc., l’usage des services cloud s’est progressivement répandu au sein des organisations de toutes tailles et de tous secteurs.
Cependant, si ces outils numériques sont indispensables pour faciliter la collaboration et la communication entre les équipes dispersées et les salariés en télétravail, il convient d’être vigilant. En effet, si leur utilisation n’est pas correctement encadrée, l’entreprise s’expose à des dangers tels que les risques cyber. C’est ce que l’on appelle le shadow IT.
Découvrez ce qu’est le shadow IT et quelles mesures mettre en œuvre pour en limiter les risques au sein de votre entreprise.
Qu’est-ce que le shadow IT ?
Normalement, l’ensemble des logiciels et applications installés au sein de votre organisation est géré par la direction des systèmes d’information (DSI). Cette dernière a mis en place une réglementation, des procédures et des standards que les outils sélectionnés doivent respecter pour pouvoir être utilisés par les salariés.
Le shadow IT (ou « l’informatique de l’ombre » en français) désigne l’installation et l’utilisation de matériel informatique, d’applications et/ou de logiciels par les collaborateurs sans l’approbation de la DSI. Ainsi, ces outils numériques n’ont pas été testés, contrôlés, approuvés et sécurisés en amont, et leur utilisation constitue une menace qui peut mettre en danger les données de l’entreprise.
La démocratisation du cloud computing et la facilité d’accès aux différentes applications numériques poussent souvent les collaborateurs impatients à chercher des solutions par eux-mêmes. Ainsi, pour éviter une démarche parfois longue et complexe auprès de la DSI, ils préfèrent installer et utiliser des logiciels qui n’ont pas été officiellement validés par le service informatique.
Cette pratique constitue une réelle problématique et un véritable défi pour les DSI qui ne se rendent pas forcément compte de l’ampleur du phénomène. En 2017, dans le rapport « Shadow IT France » de Symantec, réalisé en collaboration avec le Cesin, les DSI estimaient qu’environ 30 à 40 applications et services cloud étaient utilisés en moyenne au sein des entreprises, alors qu’en réalité, ce chiffre s’élève en moyenne à 1700. Ce qui montre un important décalage entre ce que pensent les DSI et la réalité.
Voici quelques exemples de shadow IT :
- un salarié utilise son compte personnel Dropbox pour partager des fichiers avec ses collègues ;
- une équipe collabore simultanément sur un document via Google Docs et utilise Whatsapp et Skype pour échanger ;
- un collaborateur en télétravail utilise son ordinateur personnel pour travailler à la maison et transfère ses fichiers via sa clé USB personnelle.
Les conséquences du shadow IT
L’un des risques principaux du shadow IT, c’est bien évidemment la cybercriminalité. Selon le Baromètre de la cybersécurité des entreprises réalisé par le Cesin en janvier 2021, le shadow IT est la principale cause des incidents de sécurité pour 44 % des entreprises.
Voici quelques-uns des risques que le shadow IT fait peser sur l’entreprise.
- Des risques en matière de sécurité informatique : un outil informatique qui n’a pas été vérifié et validé par la DSI peut constituer une faille de sécurité en créant une porte dérobée par laquelle les cybercriminels peuvent s’infiltrer pour voler ou corrompre les données de l’entreprise.
- Des problèmes de conformité : les logiciels et applications qui ne sont pas vérifiées en amont peuvent ne pas être conformes aux standards et à la réglementation mis en œuvre par le service informatique. Par exemple, ils peuvent ne pas respecter le RGPD ou la souveraineté des données.
- Une absence d’intégration : ces outils installés de façon individuelle peuvent ne pas s’intégrer avec les outils déjà en place, ce qui nuit à une bonne circulation des informations entre les services et au sein de l’entreprise en général, et peut également créer des conflits entre les différentes applications.
- Des coûts cachés : si ce n’est pas la DSI qui installe et configure l’outil, ce sont les salariés eux-mêmes qui le font. Or, ces derniers ne sont pas rémunérés pour faire le travail de la DSI, mais pour faire leur travail qui n’avance pas pendant ce temps-là. Il est aussi possible que deux services achètent le même logiciel sans le savoir, alors que la DSI aurait pu l’acheter une seule fois pour toute l’entreprise.
Comment limiter le shadow IT dans votre entreprise
Vous pourrez difficilement éradiquer complètement le shadow IT de votre entreprise, mais vous pouvez le limiter. Voici comment faire.
Eduquer votre personnel
Généralement, les salariés qui téléchargent et installent eux-mêmes des applications sans passer par le service informatique le font, d’une part parce que c’est plus rapide, et d’autre part parce que la solution sélectionnée leur permet d’être plus efficaces dans la réalisation de leurs tâches. Dans la majorité des cas, ils ne se rendent pas compte des risques qu’ils font courir à l’entreprise.
D’où l’importance de sensibiliser vos salariés aux risques cyber, et plus particulièrement au shadow IT. Organisez des conférences et/ou des formations sur le sujet et mettez à leur disposition des ressources pour qu’ils puissent s’informer (listes des outils approuvés et ceux non autorisés, procédure à suivre pour obtenir l’autorisation d’utiliser un logiciel en particulier, etc.).
Impliquer vos salariés
Si vos collaborateurs installent leurs propres solutions numériques, c’est peut-être parce qu’ils ne sont pas satisfaits de celles proposées par la DSI. Une bonne idée pour lutter contre le shadow IT serait de les consulter dans le choix des logiciels et applications à adopter. Après tout, ce sont eux qui vont les utiliser au quotidien pour réaliser leurs tâches et communiquer avec les membres de leur équipe.
Par exemple, présélectionnez plusieurs logiciels répondant aux normes de sécurité que vous avez définies, puis faites-les tester à vos collaborateurs. Ensuite, demandez-leur de vous donner leur feedback. Le logiciel ayant obtenu le plus de retours positifs est alors adopté.
Vous pouvez également permettre à votre personnel de proposer des outils à intégrer à l’entreprise. Pour cela, instaurez une procédure permettant au salarié d’expliquer pourquoi il a besoin de cet outil et quels seront les bénéfices pour l’ensemble de l’entreprise. Vous pouvez même créer un groupe de discussion spécialement dédié à ce sujet sur votre réseau social d’entreprise.
Si une proposition de logiciel est rejetée, n’oubliez pas d’expliquer pourquoi et de proposer des alternatives plus sécurisées.
Communiquer
Il est essentiel que la DSI communique aussi souvent que possible avec les différents services afin de connaître leurs besoins et leurs exigences en matière d’outils numériques car les usages évoluent très rapidement. Ainsi, le service informatique peut régulièrement proposer des solutions adaptées, et éliminer progressivement le shadow IT.
En résumé, pour réduire le shadow It, soyez à l’écoute de vos salariés et définissez des règles et des procédures claires concernant l’installation et l’usage des outils numériques au sein de votre entreprise.
