Shadow IT

Le shadow IT définit l’utilisation d’un matériel informatique (poste de travail, périphérique réseau, téléphonie), d’un logiciel ou d’un service en ligne non approuvé par les équipes informatique de l’entreprise.

Avec l’adoption du cloud computing, il est difficile pour les entreprises de connaître très exactement l’ensemble des logiciels utilisés par leurs salariés, le moindre outil bureautique étant maintenant hébergé dans le cloud.

Malheureusement l’utilisation de ces logiciels non autorisés répond le plus souvent à un réel besoin pour les utilisateurs.

Il n’est donc pas simple pour les équipes informatiques de garantir la sécurité des systèmes d’information sans avoir une vision exhaustive de la surface d’attaques.

Le shadow IT est un phénomène répondant à une frustration de l’utilisateur. Le service informatique n’a pas été capable de fournir le service adéquat, l’utilisateur a donc trouvé une solution par lui-même.

Si vous bloquez l’accès à un logiciel dans le cloud au travers votre pare-feu sans accompagnement préalable, le salarié va le plus souvent trouver une solution pour contourner ce blocage.

Le shadow IT n’est donc pas un phénomène à endiguer mais à encadrer.

Pourquoi le Shadow IT est-il un problème ?

L’utilisation de logiciels non approuvés par les équipes informatiques n’est pas un phénomène nouveau. Selon une étude, 80 % des salariés admettent utiliser une application dans le cloud non approuvé par la DSI de leur entreprise.

Le problème de l’utilisation du shadow IT réside dans le fait que l’utilisateur peut potentiellement partager des données sensibles à son insu. Ces données pourraient être ensuite utilisées par des pirates informatiques à des fins de reconnaissance ou d’intrusion.

Chaque jour, les collaborateurs des entreprises ont des comportements à risque.
En voici quelques exemples :

  • Partager un mot de passe à un collègue sur un service de messagerie non sécurisé par la DSI comme Facebook Messenger ou WhatsApp;
  • Publier un fichier en ligne contenant des données informatiques comme une IP, des informations d’authentification (login et mot de passe), l’identifiant d’un serveur ou d’un poste de travail;
  • Sauvegarder sur son ordinateur personnel des données clients appartenant à l’entreprise;
  • Héberger un fichier sur une plateforme cloud sans chiffrement préalable.

Sans le savoir, les utilisateurs mettent chaque jour en péril la sécurité informatique de leur entreprise. En publiant à leur insu des données confidentielles, ils permettent aux hackers d’apprendre davantage sur la politique de sécurité de l’entreprise.

Cartographie de l’infrastructure, découverte de l’architecture de sécurité, recherche de vulnérabilités et de failles de sécurité. De nombreux scénarios sont possibles.

Rappelons que selon Gartner, 30% des incidents de sécurité de l’année 2020 pourraient avoir été causés par des données publiées sur des services en ligne non autorisés.

Comment encadrer le Shadow IT ?

Comme nous l’avons vu, le shadow IT n’est pas un épiphénomène que nous pouvons endiguer facilement.

Le shadow IT doit être encadré dans le but d’éviter une prochaine cyberattaque.

Sensibilisez les utilisateurs et les mettre au centre de la politique de sécurité.

Il est important de sensibiliser le collaborateur au risque informatique. En adoptant une hygiène informatique et de bonnes pratiques, le collaborateur réduit le risque de piratage de son entreprise.

En plaçant le collaborateur au centre de la politique de sécurité de l’entreprise, il prend conscience des risques liés à son utilisation quotidienne des outils informatiques.

Détectez les services applicatifs non autorisés.

La détection du Shadow IT peut se faire par l’intermédiaire d’un audit de sécurité informatique ou par le monitoring des flux réseaux.

Grâce à la corrélation des flux d’informations, la solution SEKOIA.IO XDR permet d’accéder à une vision exhaustive des événements de sécurité de l’entreprise.

Fort d’une réactivité accrue, l’équipe SOC peut ainsi identifier le poste de travail en cause sur le parc informatique et ainsi identifier son utilisateur.

Priorisez le risque et offrez une alternative.

En analysant les systèmes et réseaux, rédigez une liste de ces applications interdites.

Après avoir effectué une analyse des risques numériques, définissez si une application doit être interdite ou non.

Gardez à l’esprit que l’utilisateur ne peut se voir couper l’accès à une application du jour au lendemain.

Il doit donc être accompagné vers une liste de solutions alternatives.

Laissez-lui une période de grâce, lui permettant de migrer ces informations de cette application interdite vers la nouvelle application.

Faites évoluer la liste des applications interdites.

Lister les URL et domaines relatifs à un service cloud n’est pas chose aisée.
En utilisant des pattern, faites évoluer les scénarios d’automatisation (playbook) de votre SOAR et désactivez la résolution de ces URL dans votre proxy.

Les utilisateurs verront ainsi un message d’information les avertissant que cette application n’est maintenant plus autorisée au sein de l’entreprise.

Conclusion

Comme nous l’avons vu, la gestion du shadow IT doit se faire au travers d’un ensemble d’étapes. Après avoir détecté puis analysé le risque lié à l’utilisation de ces applications, l’utilisateur est sensibilisé puis accompagné vers une alternative.

Prenez rendez-vous avec un expert et découvrez comment SEKOIA.IO permet de détecter puis de bloquer les logiciels non autorisés.