Les Shadow IT sont des projets informatiques (comme les services de cloud computing) qui sont gérés en dehors et à l’insu du département informatique. À une certaine époque, le shadow IT se limitait à des macros Excel non approuvées et à des boîtes de logiciels achetés par les employés dans des magasins de fournitures de bureau. Il a connu une croissance exponentielle ces dernières années, la société de conseil CEB estimant que 40 % de toutes les dépenses informatiques d’une entreprise sont effectuées en dehors du département informatique. Cette croissance rapide est en partie due à la qualité des applications grand public dans le cloud telles que les applications de partage de fichiers, les médias sociaux et les outils de collaboration, mais elle est également de plus en plus alimentée par les secteurs d’activité qui déploient des applications SaaS de type entreprise. À bien des égards, le Shadow IT contribue à rendre les entreprises plus compétitives et les employés plus productifs.
Le Shadow-IT dans les entreprises
Selon Ralph Loura, DSI de HP, lorsque les employés et les services déploient des applications SaaS, telles qu’Office 365, cela peut également réduire la charge des services d’assistance informatique pour prendre les appels. Toutefois, si le service informatique n’est plus responsable de l’infrastructure physique ni même de la gestion de l’application, il doit toujours assurer la sécurité et la conformité des données de l’entreprise que les employés téléchargent vers les services en ligne. Cela met le service informatique dans la position inconfortable de dire non aux employés qui utilisent des applications en ligne pour faire leur travail, allant jusqu’à bloquer l’accès à une application en ligne en utilisant le pare-feu ou le proxy web de l’entreprise. Cependant, pour chaque application bloquée, il est prouvé que les employés trouvent d’autres services, moins connus et potentiellement plus risqués, à utiliser à la place.
Comme le précise la société Pyxya, le principal sujet de préoccupation aujourd’hui est l’adoption rapide des services basés sur le cloud. La croissance du Shadow IT s’est accélérée avec la consumérisation des technologies de l’information. Les utilisateurs sont devenus à l’aise pour télécharger et utiliser des applications et des services issus du « cloud » pour les aider dans leur travail.
Les courtiers en sécurité de l’accès au cloud (CASB) peuvent les aider en leur fournissant à la fois la visibilité et le contrôle des applications SaaS (Software-as-a-Service).
Quel est le risque lié aux applications informatiques en réseau en mode « shadow » ?
Avec la consumérisation de l’informatique, des centaines de ces applications sont utilisées dans l’entreprise type. Le manque de visibilité sur ces applications représente une lacune en matière de sécurité. Si certaines applications sont inoffensives, d’autres comportent des fonctionnalités telles que le partage et le stockage de fichiers ou la collaboration, qui peuvent présenter de gros risques pour une entreprise et ses données sensibles. Les services informatiques et de sécurité doivent voir quelles applications sont utilisées et quels risques elles présentent.
Quel est le risque lié aux applications informatiques fantômes compatibles avec l’OAuth ?
Les applications basées sur la technologie OAuth sont pratiques car elles utilisent des informations d’identification existantes. Mais elles comportent également des autorisations d’accès aux informations de l’application principale (Office 365 et G Suite, par exemple). Ces autorisations augmentent la surface d’attaque et peuvent être utilisées pour accéder à des données sensibles à partir d’outils de partage de fichiers et de communication. Les applications compatibles OAuth communiquent de nuage à nuage, afin de ne pas toucher le réseau de l’entreprise. Elles constituent un angle mort pour de nombreuses organisations. Les récentes attaques liées à l’architecture ouverte ont mis en évidence la nécessité d’améliorer la visibilité et le contrôle de ces applications connectées.