Shadow IT

Le shadow IT définit l’utilisation d’un matériel informatique (poste de travail, périphérique réseau, téléphonie), d’un logiciel ou d’un service en ligne non approuvé par les équipes informatique de l’entreprise.

Avec l’adoption du cloud computing, il est difficile pour les entreprises de connaître très exactement l’ensemble des logiciels utilisés par leurs salariés, le moindre outil bureautique étant maintenant hébergé dans le cloud.

Malheureusement l’utilisation de ces logiciels non autorisés répond le plus souvent à un réel besoin pour les utilisateurs.

Il n’est donc pas simple pour les équipes informatiques de garantir la sécurité des systèmes d’information sans avoir une vision exhaustive de la surface d’attaques.

Le shadow IT est un phénomène répondant à une frustration de l’utilisateur. Le service informatique n’a pas été capable de fournir le service adéquat, l’utilisateur a donc trouvé une solution par lui-même.

Si vous bloquez l’accès à un logiciel dans le cloud au travers votre pare-feu sans accompagnement préalable, le salarié va le plus souvent trouver une solution pour contourner ce blocage.

Le shadow IT n’est donc pas un phénomène à endiguer mais à encadrer.

Pourquoi le Shadow IT est-il un problème ?

L’utilisation de logiciels non approuvés par les équipes informatiques n’est pas un phénomène nouveau. Selon une étude, 80 % des salariés admettent utiliser une application dans le cloud non approuvé par la DSI de leur entreprise.

Le problème de l’utilisation du shadow IT réside dans le fait que l’utilisateur peut potentiellement partager des données sensibles à son insu. Ces données pourraient être ensuite utilisées par des pirates informatiques à des fins de reconnaissance ou d’intrusion.

Chaque jour, les collaborateurs des entreprises ont des comportements à risque.
En voici quelques exemples :

Partager un mot de passe à un collègue sur un service de messagerie non sécurisé par la DSI comme Facebook Messenger ou WhatsApp;
Publier un fichier en ligne contenant des données informatiques comme une IP, des informations d’authentification (login et mot de passe), l’identifiant d’un serveur ou d’un poste de travail;
Sauvegarder sur son ordinateur personnel des données clients appartenant à l’entreprise;
Héberger un fichier sur une plateforme cloud sans chiffrement préalable.

Sans le savoir, les utilisateurs mettent chaque jour en péril la sécurité informatique de leur entreprise. En publiant à leur insu des données confidentielles, ils permettent aux hackers d’apprendre davantage sur la politique de sécurité de l’entreprise.

Cartographie de l’infrastructure, découverte de l’architecture de sécurité, recherche de vulnérabilités et de failles de sécurité. De nombreux scénarios sont possibles.

Rappelons que selon Gartner, 30% des incidents de sécurité de l’année 2020 pourraient avoir été causés par des données publiées sur des services en ligne non autorisés.

Comment encadrer le Shadow IT ?

Comme nous l’avons vu, le shadow IT n’est pas un épiphénomène que nous pouvons endiguer facilement.

Le shadow IT doit être encadré dans le but d’éviter une prochaine cyberattaque.

Sensibilisez les utilisateurs et les mettre au centre de la politique de sécurité.

Il est important de sensibiliser le collaborateur au risque informatique. En adoptant une hygiène informatique et de bonnes pratiques, le collaborateur réduit le risque de piratage de son entreprise.

En plaçant le collaborateur au centre de la politique de sécurité de l’entreprise, il prend conscience des risques liés à son utilisation quotidienne des outils informatiques.

Détectez les services applicatifs non autorisés.

La détection du Shadow IT peut se faire par l’intermédiaire d’un audit de sécurité informatique ou par le monitoring des flux réseaux.

Grâce à la corrélation des flux d’informations, la solution SEKOIA.IO XDR permet d’accéder à une vision exhaustive des événements de sécurité de l’entreprise.

Fort d’une réactivité accrue, l’équipe SOC peut ainsi identifier le poste de travail en cause sur le parc informatique et ainsi identifier son utilisateur.

Priorisez le risque et offrez une alternative.

En analysant les systèmes et réseaux, rédigez une liste de ces applications interdites.

Après avoir effectué une analyse des risques numériques, définissez si une application doit être interdite ou non.

Gardez à l’esprit que l’utilisateur ne peut se voir couper l’accès à une application du jour au lendemain.

Il doit donc être accompagné vers une liste de solutions alternatives.

Laissez-lui une période de grâce, lui permettant de migrer ces informations de cette application interdite vers la nouvelle application.

Faites évoluer la liste des applications interdites.

Lister les URL et domaines relatifs à un service cloud n’est pas chose aisée.
En utilisant des pattern, faites évoluer les scénarios d’automatisation (playbook) de votre SOAR et désactivez la résolution de ces URL dans votre proxy.

Les utilisateurs verront ainsi un message d’information les avertissant que cette application n’est maintenant plus autorisée au sein de l’entreprise.

Conclusion

Comme nous l’avons vu, la gestion du shadow IT doit se faire au travers d’un ensemble d’étapes. Après avoir détecté puis analysé le risque lié à l’utilisation de ces applications, l’utilisateur est sensibilisé puis accompagné vers une alternative.

Prenez rendez-vous avec un expert et découvrez comment SEKOIA.IO permet de détecter et bloquer les logiciels non autorisés.

Si vous consultez pour la première fois notre site web, sachez que nous sommes un éditeur de logiciels de cybersécurité. Nous fournissons aux équipes cyber et MSSP une plateforme de sécurité opérationnelle clé en main. À travers notre plateforme XDR, notre outil CTI et notre plateforme de Threat Intelligence, nous permettons à nos usagers de neutraliser les menaces informatiques, quelle que soit la surface d’attaque.

Autres termes

APT

APT27

APT29 aka Nobelium, Cozy Bear

Autres termes

SEO poisoning(Search Engine Optimisation poisoning)

Le SEO poisoning est une méthode utilisée par les cyber attaquants pour positionner les sites web malveillants parmi les meilleurs résultats des moteurs de recherche.

APT(Advanced Persistent Threat)

APT (Advanced Persistent Threat) est une menace persistante avancée. C’est une attaque sophistiquée contre une organisation qui peut prendre des mois pour être identifiée et supprimée.

Échangez avec l’équipe

Vous souhaitez en savoir plus sur nos solutions de protection ?
Vous voulez découvrir nos produits de XDR et de CTI ?
Vous avez un projet de cybersécurité dans votre organisation ?
Prenez rendez-vous et rencontrons-nous !

Contactez-nous

Chat with our team !

Would you like to know more about our solutions ?
Do you want to discover our XDR and CTI products ?
Do you have a cyber security project in your organization ?
Make an appointment and meet us !

Contact us

Cookie	Durée	Description
__hssrc	session	Ce cookie est réglé par Hubspot. Selon leur documentation, chaque fois que HubSpot change le cookie de session, ce cookie est également défini pour déterminer si le visiteur a redémarré son navigateur. Si ce cookie n’existe pas lorsque HubSpot gère les cookies, il est considéré comme une nouvelle session.
cookielawinfo-checkbox-advertisement	1 an	Le cookie est défini par le consentement du cookie RGPD pour enregistrer le consentement de l’utilisateur pour les cookies dans la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Ces cookies sont définis par GDPR Cookie Consent WordPress Plugin. Le cookie est utilisé pour mémoriser le consentement de l’utilisateur pour les cookies dans la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Ce cookie est défini par GDPR Cookie Consent plugin. Les cookies sont utilisés pour stocker le consentement de l’utilisateur pour les cookies dans la catégorie "Nécessaire".
cookielawinfo-checkbox-performance	1 an	Ce cookie est défini par GDPR Cookie Consent plugin. Le cookie est utilisé pour stocker le consentement de l’utilisateur pour les cookies dans la catégorie "Performance".

Cookie	Durée	Description
__hssc	30 minutes	Ce cookie est défini par HubSpot. Le but du cookie est de garder une trace des sessions. Ceci est utilisé pour déterminer si HubSpot doit incrémenter le numéro de session et les horodatages dans le cookie __hstc. Il contient le domaine, viewCount (incréments de chaque page dans une session), et l’horodatage de début de session.
bcookie	2 ans	Ce cookie est défini par linkedIn. L’objectif du cookie est d’activer les fonctionnalités LinkedIn sur la page.
lang	session	Ce cookie est utilisé pour stocker les préférences linguistiques d’un utilisateur pour diffuser du contenu dans cette langue stockée la prochaine fois que l’utilisateur visite le site Web.
lidc	1 jour	Ce cookie est défini par LinkedIn et utilisé pour le routage.
pll_language	1 an	Ce cookie est défini par Polylang plugin pour les sites web WordPress. Le cookie stocke le code de langue de la dernière page consultée.

Cookie	Durée	Description
__hstc	1 an et 24 jours	Ce cookie est défini par Hubspot et est utilisé pour le suivi des visiteurs. Il contient le domaine, utk, l’horodatage initial (première visite), l’horodatage dernier (dernière visite), l’horodatage actuel (cette visite) et le numéro de session (incréments pour chaque session suivante).
_ga	2 ans	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour calculer les données des visiteurs, des sessions, des campagnes et pour suivre l’utilisation du site pour le rapport d’analyse du site. Les cookies stockent les informations de manière anonyme et attribuent un numéro généré aléatoirement pour identifier les visiteurs uniques.
_gat_gtag_UA_152945562_1	1 minute	Ce cookie est défini par Google et est utilisé pour distinguer les utilisateurs.
_gcl_au	3 mois	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 jour	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur la façon dont les visiteurs utilisent un site Web et aide à créer un rapport analytique sur la façon dont le site Web se comporte. Les données recueillies, y compris le nombre de visiteurs, la source d’où ils viennent, et les pages visitées sous une forme anonyme.
hubspotutk	1 an et 24 jours	Ce cookie est utilisé par HubSpot pour garder une trace des visiteurs du site. Ce cookie est transmis à Hubspot lors de la soumission des formulaires et utilisé lors de la déduplication des contacts.

Cookie	Durée	Description
bscookie	2 ans	Ce cookie est un cookie d’identification de navigateur défini par les boutons de partage LinkedIn et les balises publicitaires.
Inbound Converter	2 ans	Ce script communique à TechTarget les comptes qui, sur la base d'une recherche IP inversée, ont visité le site Web. Les informations transmises sont les suivantes : URL de la page, horodatage de la visite et l'adresse IP.
test_cookie	15 minutes	Ce cookie est défini par doubleclick.net. L’objectif du cookie est de déterminer si le navigateur de l’utilisateur supporte les cookies.

Cookie	Durée	Description
AnalyticsSyncHistory	1 mois	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement du cookie RGPD pour enregistrer le consentement de l’utilisateur pour les cookies dans la catégorie "Fonctionnel".
cookielawinfo-checkbox-others	1 an	Pas de description.
li_gc	2 ans	Pas de description.
UserMatchHistory	1 mois	Linkedin - Utilisé pour suivre les visiteurs sur plusieurs sites Web, afin de présenter une publicité pertinente en fonction des préférences du visiteur.