Si vous êtes d’une manière ou d’une autre responsable des exigences informatiques d’une entreprise, vous avez probablement entendu parler de l’informatique de l’ombre. C’est un surnom pour un phénomène qui peut défier les entreprises de toutes tailles et qui est un cousin de la prolifération des applications(nouvelle fenêtre). Sauf que, là où la prolifération des applications voit les entreprises utiliser trop d’applications, l’informatique de l’ombre voit les employés prendre la gestion des applications en main.
Cet article vous aidera à comprendre ce qu’est l’informatique de l’ombre, comment la reconnaître et ce que vous pouvez faire pour limiter les menaces potentielles pour votre entreprise.
Qu’est-ce que l’informatique de l’ombre?
L’informatique de l’ombre se réfère aux applications que les employés installent et aux services auxquels ils s’inscrivent sur leurs appareils de travail, et aux appareils non professionnels à partir desquels ils se connectent sans l’autorisation de leur équipe informatique. C’est essentiellement tout ce qu’un employé pourrait utiliser pour travailler ou gérer des données professionnelles que votre équipe informatique n’a pas installé ou configuré à des fins professionnelles.
Ces dernières années, l’informatique de l’ombre est devenue plus répandue. Elle a atteint de nouveaux niveaux pendant la pandémie, lorsque nous avons été forcés de travailler depuis chez nous et que les frontières entre vie personnelle et professionnelle se sont estompées. Les travailleurs se sont habitués à gérer leurs journées depuis chez eux, et ils ont trouvé de nouvelles façons de travailler qui avaient du sens pour eux.
Les produits Software as a Service (SaaS) sont également abondants, incroyablement faciles à télécharger et à utiliser, et peuvent être en mesure de soutenir les travailleurs dans les domaines professionnels où ils se sentent frustrés. Le problème avec cela est qu’il crée des vulnérabilités et un manque de supervision. L’informatique de l’ombre est un phénomène que les équipes informatiques doivent gérer depuis longtemps, et il est peu probable qu’il disparaisse. Elle apparaît dans les entreprises de toutes tailles et de tous les secteurs.
Les travailleurs se tournent vers l’informatique de l’ombre lorsqu’ils sont frustrés par les outils qu’ils utilisent et recherchent d’autres solutions. Si le logiciel qu’ils utilisent est inefficace ou ne répond pas à leurs besoins, de nombreux employés essaieront de résoudre le problème eux-mêmes. Cela peut ne pas sembler être le cas, mais cela peut être une bonne chose : c’est un signe que vos employés veulent bien faire leur travail et essaient d’adapter leurs outils de travail en conséquence.
Cependant, chaque fois qu’une nouvelle application ou un nouveau service est introduit dans votre environnement de travail, cela peut compliquer les processus de travail et créer de nouveaux risques de cybersécurité(nouvelle fenêtre). Ensemble, les équipes IT et les équipes de sécurité sont responsables de la gestion des accès et des identités ainsi que de la cybersécurité globale de votre entreprise, mais les applications et services non sanctionnés retirent ce contrôle de leurs mains.
Exemples de shadow IT
Le shadow IT apparaît dans tous les départements et peut prendre de nombreuses formes différentes. Examinons quelques-uns des exemples les plus courants de shadow IT.
Outils de messagerie et e-mails
La messagerie instantanée est parfaite pour prendre des décisions rapides et partager des informations, permettant aux travailleurs de communiquer facilement entre eux en dehors de la formalité des e-mails. Peu importe la taille de votre entreprise, vous utilisez une forme quelconque de messagerie instantanée.
Cependant, si vous n’utilisez pas de messagerie instantanée ou si le service que vous utilisez n’est pas convivial, les travailleurs pourraient utiliser des services externes. Des applications comme WhatsApp sont populaires car elles sont simples et peuvent être utilisées gratuitement — mais elles ne conviennent pas pour le travail(nouvelle fenêtre). L’archivage et la sauvegarde des enregistrements ne sont pas toujours pris en charge, et ils peuvent ne pas être fiables pour les informations sensibles à des fins légales.
Un autre exemple populaire est celui des travailleurs envoyant des e-mails de manière interchangeable à partir de leurs comptes professionnels et personnels. Si vous voyez un lien partagé à partir de l’adresse e-mail personnelle de quelqu’un ou recevez un message de travail sur une plateforme que vous n’utilisez pas à des fins professionnelles, c’est le shadow IT qui se manifeste. Le risque créé par le partage d’informations d’affaires en dehors des applications gérées peut être énorme. Même se connecter simplement à votre adresse e-mail personnelle sur votre appareil de travail pourrait entraîner une fuite de données(nouvelle fenêtre).
Gestionnaires de mots de passe
Dans leur vie professionnelle et personnelle, de plus en plus de personnes(nouvelle fenêtre) utilisent des gestionnaires de mots de passe. Ce sont des outils efficaces pour protéger les données privées et permettent à vos travailleurs de se connecter facilement aux outils qu’ils utilisent tous les jours.
Un gestionnaire de mots de passe est une porte d’entrée pour de nombreuses informations sensibles, qui peuvent inclure des données financières et personnelles. Cela rend essentiel pour vos équipes informatiques et de sécurité d’avoir une supervision totale. Que ce soit un coffre-fort de mots de passe partagé plein de comptes d’entreprise ou un compte personnel, votre gestionnaire de mots de passe est rempli d’informations tentantes pour les pirates.
Si les travailleurs stockent les informations de connexion aux comptes professionnels dans des gestionnaires de mots de passe qui n’ont pas été approuvés et ne sont pas gérés par leur équipe informatique, cela crée des vulnérabilités. Non seulement les informations de connexion personnelles d’un travailleur sont potentiellement accessibles aux pirates, mais les informations de connexion professionnelles le seront également. De nombreux gestionnaires de mots de passe ont été affectés par des piratages ces dernières années, ce qui rend essentiel de trouver une solution unique et efficace pour chaque travailleur.
Drive
Tous les travailleurs sont responsables du partage et du stockage de nombreuses formes de données en utilisant le stockage cloud. Cela peut être des données juridiques, des données financières ou des données personnelles. Une entreprise fonctionne bien lorsque tous les travailleurs peuvent accéder aux informations dont ils ont besoin et les partager en toute sécurité — mais le shadow IT peut rendre cela difficile.
Le shadow IT peut s’immiscer si les travailleurs stockent des documents ou les transfèrent à des clients externes en utilisant leurs drives personnels. Dropbox est une solution de drive populaire pour les usages personnels et professionnels. Si vos travailleurs utilisent leurs drives personnels à des fins professionnelles, des silos de données seront créés, empêchant les informations de circuler librement et en toute sécurité dans votre entreprise.
Non seulement vos données deviennent peu sûres si elles sont stockées dans plusieurs drives personnels, mais elles deviennent également non réglementées. Votre équipe de sécurité ne peut pas protéger les données qu’elle ne gère pas ou ne connaît pas.
Comprendre les risques du shadow IT
Comme nous l’avons mentionné ci-dessus, le shadow IT crée des vulnérabilités, y compris des fuites de données et des silos de données. Chaque jour, les travailleurs prennent des décisions concernant les outils qu’ils utilisent et que vos équipes informatiques et de sécurité doivent connaître.
Lorsqu’un travailleur coche une case ou signe un accord pour un nouvel outil ou un produit SaaS, il n’a probablement pas vérifié les conditions d’utilisation ou qui peut accéder aux données. Ils ne sauront pas s’ils enfreignent la politique informatique de l’entreprise ou quel type de risque de données ils ont pu créer par inadvertance.
Une application ou un service dont l’équipe financière n’est pas informée ne peut pas être comptabilisée comme un coût pour l’entreprise. Lorsque les employés agissent hors du champ de vision de l’équipe financière, les dépenses informatiques et les ressources ne sont plus exactes, et vos audits seront impactés.
Considérez les applications et les services utilisés par votre entreprise comme un écosystème. Un écosystème doit être équilibré et il peut être menacé par des changements soudains et des envahisseurs. Il est également de la responsabilité de chacun de le maintenir, même s’ils ne sont pas experts. Sans l’adhésion de tous, l’écosystème de votre entreprise sera menacé d’effondrement, ce qui, dans ce contexte, pourrait être une attaque ou une fuite.
Ainsi, protéger l’écosystème de votre entreprise présente un défi unique en matière de sécurité informatique. Comment aborder et résoudre un problème lorsque vous ne connaissez pas son étendue ?
Comment limiter l’impact de l’informatique fantôme
Tout d’abord, acceptez que l’informatique fantôme ne disparaîtra jamais. Aucune équipe informatique ne pourra plus jamais avoir une supervision complète de chaque application fonctionnant dans leur système, et c’est acceptable. Vous pouvez atténuer le risque lié à l’informatique fantôme en adoptant une approche à double facette : éducation et fourniture d’outils excellents pour maintenir la sécurité des employés.
Il est crucial de former vos employés sur vos meilleures pratiques, vos politiques informatiques et la cybersécurité globale. La conversation sur les outils de travail doit également être bilatérale. Vous devez informer vos employés sur les risques introduits par l’informatique fantôme et leur faire savoir que vous êtes toujours ouvert aux suggestions pour de meilleures méthodes de travail. Laissez-les vous parler de leurs besoins et aidez-les à configurer leurs outils pour qu’ils soient aussi efficaces et sécurisés que possible.
La cybersécurité est l’affaire de tous, mais vous n’avez pas besoin d’être un expert en technologie pour avoir de bonnes pratiques. La cybersécurité n’a pas non plus besoin de compliquer votre vie — elle peut vous faciliter le travail si vous avez la bonne approche et les bons outils. Les outils dont vous avez besoin pour garantir la sécurité sont des gestionnaires de mots de passe, des outils de gestion de documents, du stockage en ligne sécurisé, des calendriers et des e-mails.
Une fois que vous engagez des discussions sur les besoins des travailleurs, vous pouvez commencer à construire un meilleur environnement de travail pour eux. Avoir un environnement qui offre une sécurité intégrée, un partage simple et sécurisé et de nombreux outils permettant de faciliter la navigation des travailleurs dans leur vie professionnelle quotidienne est essentiel.
Réduire l’informatique fantôme dans votre entreprise
De nombreuses entreprises offrent des outils de gestion des données, de communication et de planification de base, mais tous les outils professionnels ne mettent pas autant l’accent sur la sécurité. C’est pourquoi choisir le bon fournisseur est essentiel.
La vie est plus facile lorsque les outils que vous utilisez intègrent la sécurité — Proton a été fondé par des scientifiques qui se sont rencontrés au CERN comme une alternative axée sur la confidentialité aux applications de collecte de données des géants de la tech. Le chiffrement de bout en bout est intégré à nos services pour minimiser la collecte de vos données. Les informations de votre entreprise ne sont pas accessibles à Proton, donc dans l’éventualité peu probable où Proton serait touchée par une fuite de données, vos informations ne seraient pas affectées. Toutes nos applications sont open source pour que tout le monde puisse les vérifier et sont auditées de manière indépendante par des experts en cybersécurité tiers(nouvelle fenêtre).
L’environnement Proton comprend un gestionnaire de mots de passe, un drive, un calendrier, un VPN et un e-mail. Un compte Proton donne aux travailleurs les outils dont ils ont besoin pour utiliser Internet en toute sécurité, communiquer de manière sécurisée et préserver leur vie privée en ligne. Il protège également les informations de votre entreprise contre les fuites de données, vous aide à partager les identifiants et mots de passe en toute sécurité, et vous permet de travailler en collaboration à partir de la même source de vérité.
Avec un compte Proton, vous pouvez accéder à :
- Proton Pass : Un gestionnaire de mots de passe chiffré de bout en bout avec protection intégrée. Il comprend la génération sécurisée de mots de passe, des alias d’adresse e-mail hide-my-email, la prise en charge des clés d’accès (passkey), un authentificateur A2F intégré et des notes chiffrées intégrées.
- Proton Drive : Un espace de stockage chiffré avec Docs inclus. Dispose d’un coffre-fort personnalisable, de la protection par mot de passe pour les liens de partage de fichier, et de la collaboration en temps réel.
- Proton Mail : Le plus grand e-mail sécurisé et chiffré au monde. Inclut le changement de fournisseur de messagerie électronique d’un seul clic, la protection contre les spams (messages indésirables) et le phishing (hameçonnage), pas de publicités ni de collecte de données, et une protection avancée contre le suivi.
- Proton Calendar : Une application de calendrier chiffrée qui se connecte à votre compte Proton Mail. Il comprend une planification facile axée sur la confidentialité et des invitations chiffrées de bout en bout.
- Proton VPN(nouvelle fenêtre) : Un service VPN sécurisé et rapide. Il comprend la prise en charge multiplateforme, le blocage des publicités, jusqu’à 10 appareils par utilisateur, et des connexions haute vitesse.
Plus de 50 000 entreprises utilisent Proton pour rester en sécurité en ligne et atténuer les vulnérabilités causées par le shadow IT. Offrez à vos employés les meilleures solutions les plus faciles à utiliser pour leurs journées de travail.