Sécurité informatique : le shadow IT

"Le "shadow IT" : quand les employés utilisent des outils informatiques non autorisés par l'entreprise, cela peut causer des risques de sécurité et de conformité. Découvrez les défis auxquels sont confrontés les services informatiques et les mesures à prendre pour protéger votre entreprise."

Signalez ce contenu à notre équipe

Sylvain RSSI

Sylvain B P - Officier de Sécurité des Systèmes d'Information / RSSI

Abonné·e de Mediapart

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

Le "shadow IT" est une pratique qui consiste à utiliser des applications ou des services informatiques qui ne sont pas gérés ou approuvés par les services informatiques de l'entreprise. Les employés peuvent utiliser ces outils pour faciliter leur travail, mais cela peut causer des problèmes de sécurité et de conformité pour l'entreprise.

Les risques pour les services informatiques sont nombreux, car ils ont souvent peu de contrôle sur les outils utilisés par les employés. Cela peut entraîner des problèmes de compatibilité et de fiabilité avec les systèmes existants, ainsi que des difficultés pour gérer les mises à jour et les sauvegardes. Les services informatiques peuvent également avoir du mal à suivre les activités des employés et à comprendre comment les outils utilisés par eux impactent les performances de l'entreprise.

Les risques pour la sécurité informatique sont tout aussi importants. Les outils utilisés dans le cadre du "shadow IT" peuvent ne pas respecter les normes de sécurité de l'entreprise, ce qui peut entraîner des fuites de données et des attaques de hackers. Les employés peuvent également être exposés à des logiciels malveillants ou à des escroqueries en utilisant des outils qui ne sont pas sécurisés.

Voici quelques exemples courants de Shadow IT :

Services de stockage en ligne non approuvés : Les employés peuvent utiliser des services de stockage en ligne tels que Dropbox, Google Drive ou OneDrive pour stocker et partager des fichiers sensibles, sans passer par les canaux officiels de l'entreprise. Cela peut poser des problèmes de sécurité, car ces services peuvent ne pas être soumis aux mêmes contrôles et normes de sécurité que ceux mis en place par l'entreprise.
Applications de messagerie instantanée personnelles : Lorsque les employés utilisent des applications de messagerie instantanée personnelles, telles que WhatsApp, Facebook Messenger ou Slack (version gratuite), pour communiquer avec leurs collègues sur des questions professionnelles, cela crée une zone d'ombre dans laquelle les communications peuvent ne pas être sécurisées ou conformes aux politiques de l'entreprise.
Outils de collaboration en ligne non autorisés : Les employés peuvent utiliser des outils de collaboration en ligne, comme Trello, Asana ou Basecamp, pour gérer des projets et des tâches sans l'approbation de l'entreprise. Cela peut entraîner des problèmes de sécurité si ces outils ne sont pas évalués et contrôlés par le département informatique de l'entreprise.
Services de sauvegarde cloud non officiels : Les employés peuvent utiliser des services de sauvegarde cloud personnels pour stocker des données sensibles de l'entreprise, ignorant ainsi les politiques de sauvegarde et de récupération des données de l'entreprise. Cela peut rendre les données vulnérables aux fuites ou aux pertes en cas de problème technique ou de violation de sécurité.
Applications mobiles non autorisées : Les employés peuvent télécharger et utiliser des applications mobiles non autorisées pour accéder aux systèmes de l'entreprise ou aux ressources internes. Cela peut créer des failles de sécurité si ces applications sont malveillantes ou si elles ne respectent pas les protocoles de sécurité requis par l'entreprise.

A noter que le Shadow IT n'est pas nécessairement mal intentionné, mais il peut représenter un risque pour la sécurité de l'entreprise en raison du manque de contrôle et de visibilité. Les organisations doivent mettre en place des politiques claires, sensibiliser leurs employés aux risques du Shadow IT et fournir des alternatives sécurisées pour répondre aux besoins des employés en matière de technologie.

Il est important pour les entreprises de prendre des mesures pour réduire les risques liés au "shadow IT". Cela peut inclure la mise en place de politiques et de procédures pour encadrer l'utilisation des outils en dehors des services informatiques, ainsi que la mise en place de programmes de sensibilisation et de formation pour les employés. Les entreprises peuvent également investir dans des solutions de gestion de l'application pour surveiller et contrôler les outils utilisés par les employés.

Adresse du blog : https://blogs.mediapart.fr/sp-0/blog

Passionné d'informatique, de nouvelle technologie, et de société de l'information, j'édite ce blog qui traite de sujet de sécurité informatique. Le but de ce blog est de s’adresser auprès d’un public varié : direction, utilisateur, informaticien. C’est pour cela qu’il est hébergé sur un site généraliste. La sécurité, c’est une en premier lieu une organisation, et non un rôle purement technique. J'ai commencé ma carrière dans la presse informatique dans les années 90, puis un long passage très intéressant comme informaticien en salle des marchés et banque d'investissement, puis une administration internationale.

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

L’auteur n’a pas autorisé les commentaires sur ce billet

Violences sexistes et sexuelles

Le président du Sénat rattrapé par ses silences

Des courriers consultés par Mediapart montrent que la députée Sandrine Josso questionne depuis septembre 2024 Gérard Larcher sur les mesures à prendre à l’égard du sénateur Joël Guerriau, qui l’a droguée dans l’optique de l’agresser sexuellement. Le président du Sénat n’a jamais répondu.

par Marine Turchi
L’échappée — Vidéo

L’histoire serviable de Patrick Boucheron

Avec « Peste noire », le professeur au Collège de France enquête sur la pandémie qui, au XIVe siècle, tua en cinq années plus de 60 % de la population européenne. Un monument d’histoire totale qui nous parle au présent.

par Edwy Plenel
Gauche(s)

Menaces de suspension chez les Écologistes, après une tribune et des ralliements aux insoumis

La direction des Écologistes passe à la contre-offensive : après quelques départs vers La France insoumise, elle menace de suspendre les signataires d’une tribune hostile aux alliances avec les socialistes aux élections municipales.

par Sarah Benhaïda et Mathieu Dejean
Gauche(s)

La tentation confusionniste de Sophia Chikirou, candidate LFI à Paris

Après avoir investi le controversé Bruno Gaccio dans le VIIe arrondissement, la tête de liste insoumise a récemment accordé une interview à un proche des sphères d’extrême droite et russes. De quoi créer le malaise dans une campagne déjà lestée par ses affaires judiciaires et d’anciens propos polémiques.

par Pauline Graulle et David Perrotin

Billet de blog

Journal d'une précaire, épisode 5 : la solitude

Des mécanismes insidieux se mettent en place quand la pauvreté arrive, comme la distanciation, la honte inconsciente, le regard sur et de la société. Son rapport au monde change et la solitude prend de plus en plus de place.

par Laure-Meriem Rouvier
Billet de blog

En Squat 12# : Les ailes de l'oiseau en papier

Dans ma valise, il y a...

par Ker Batia
Billet de blog

Au coeur de nos entrailles, 5

Me voici donc dans le même service et la même chambre que deux ans auparavant. Mes sentiments sont ambivalents. Les souvenirs corporels m’assaillent. Deux, surtout : la soif intense, de jour, de nuit, et ce corps, plié sur lui-même, incapable de se dresser.

par marie cosnay
Billet de blog

La Java

Élise, tu as été la victime du monde adulte, l’adulte t’a fait grandir trop vite et n’a pas considéré l’être en devenir. Il t’a fait trébucher trop de fois. L’un d’entre eux t’a violée et tu l’as défendu. Puis un autre s’est emparé de toi. De nouveau il t’a abusée et détournée pendant tes années mineures en te faisant croire qu’il te réparait. Témoignage à l’aube des 10 ans de la mort d’Élise

par myrtillehetzel