Shadow IT

Qu'est-ce que le Shadow IT ? Définition

Le Shadow IT fait référence à la situation dans la plupart des organisations où les utilisateurs déploient des applications connectées au nuage ou utilisent des services cloud dans l'environnement de l'entreprise sans que le service informatique en soit informé ou y consente. Certaines utilisations du Shadow IT peuvent être inoffensives, voire utiles. Mais elles créent également de nouveaux risques en matière de cybersécurité.

Conseils de sécurité en matière de Shadow IT : quelques exemples

Pour mieux comprendre qui utilise les applications informatiques parallèles et le risque qu'elles représentent pour votre organisation, vous devez répondre à ces questions :

  • Quelles sont les applications cloud utilisées dans mon organisation ?
  • Quelles sont les tendances en matière d'adoption et d'utilisation du SaaS ? Quelles sont les applications SaaS qui se chevauchent ?
  • Qui utilise quelle application ?
  • Comment le Shadow IT est-il utilisé ? L'utilisation de ces applications est-elle conforme à la politique de l'entreprise ?
  • L'utilisation du Shadow IT par les utilisateurs est-elle risquée en termes de sécurité (vulnérabilités et menaces) et de conformité ?
  • Quelles sont les applications SaaS qui montrent l'activité de téléchargement et de chargement de fichiers ?
  • Quels sont les téléchargements de fichiers dans les applications SaaS qui violent les règles de prévention des pertes de données (DLP) ?
  • Qui télécharge ou télécharge des fichiers en violation des règles DLP ?

Questions et risques liés au Shadow IT

De nombreux travailleurs déploient des applications cloud dans l'environnement de l'entreprise avec les meilleures intentions. Ils ont découvert une application qui fonctionne bien, l'utilisent et la partagent avec leurs collègues. Mais elle n'est pas approuvée par les responsables de la sécurité informatique parce qu'ils n'en ont pas été informés.

Les responsables de la sécurité informatique peuvent penser qu'ils ont 20 ou 30 de ces applications parallèles sur leur réseau, qui pourraient être gérables. Mais lorsqu'ils effectuent une vérification, ils sont choqués de découvrir qu'ils ont 1 300 de ces applications dont ils ignoraient l'existence. Plus il y a d'applications inconnues sur le réseau, plus le risque Shadow IT est grand. Et vous ne pouvez pas sécuriser ce que vous ne connaissez pas.

Les menaces posées par le Shadow IT

Dans le monde d'aujourd'hui, où le "cloud" est roi, il n'a jamais été aussi important de régir l'accès de vos utilisateurs aux applications autorisées et non autorisées (Shadow IT). On estime que l'entreprise moyenne utilise un millier d'applications cloud. Et certaines d'entre elles présentent de graves failles de sécurité dans le cloud qui peuvent potentiellement mettre en danger les organisations et violer les réglementations et les mandats de conformité.

Les utilisateurs qui accordent de larges autorisations OAuth à des applications tierces en sont un exemple. Cela viole par inadvertance les réglementations relatives à la résidence des données, telles que le RGPD. En outre, les attaquants utilisent souvent des modules complémentaires tiers et l'ingénierie sociale pour tromper les gens et leur faire accorder un large accès à vos applications SaaS approuvées, telles qu'Office 365, G Suite et Box, qui contiennent généralement des données sensibles.

Conseils pour la protection contre le Shadow IT

Une solution CASB vous aide à gérer les applications et services informatiques en nuage que vos collaborateurs utilisent en offrant une vue centralisée de votre environnement cloud. Elle vous permet de savoir qui accède à quelles applications et à quelles données cloud, à partir d'où et de quel appareil.

Les CASB cataloguent les services cloud (y compris les applications OAuth de tiers) et évaluent le niveau de risque et la fiabilité globale des services cloud et leur attribuent une note. Les CASB fournissent même des contrôles d'accès automatisés vers et depuis les services cloud en fonction des scores de risque des services cloud et d'autres paramètres, tels que la catégorie d'application et les autorisations de données.