Shadow IT : les logiciels et équipements installés par les utilisateurs

Le Shadow IT : un phénomène de plus en plus présent

Le Shadow IT en entreprise concerne toutes les ressources informatiques déployées sur l’infrastructure d’une organisation sans autorisation formelle de la Direction du Système d’Information.

Il existe 3 types de shadow IT : les logiciels, les équipements ou encore les prestations externes. Si une de ces ressources est installée par l’équipe métier mais n’a pas informé la DSI et n’a pas été validée par celle-ci, c’est donc du Shadow IT.

Selon le GATNER, il estimait il y a quelques années que 33% des cyberattaques viendraient du Shadow IT : en effet, la DSI n’étant pas informé, ne peut s’assurer de la fiabilité de ces matériels.

Les différentes classifications du Shadow IT en entreprise

On peut classer le Shadow IT en trois catégories : les applications/logiciels, les équipements et les prestations/services externes. 

Concernant les applications, cela peut venir des applications métiers : 

• Drives : de type Dropbox ou Google Drive sont parfois installés à usage personnel sans être autorisés par la DSI
• Applications de jeu : davantage installés sur les ordinateurs portables, ces jeux sont souvent installés pour un usage personnel lors de la pause par exemple. Les utilisateurs de PC ont souvent les droits admins et peuvent donc installer sans problème des jeux. Adibou peut faire planter les mises à jour de l’application métier.
• Addons navigateur : des extensions de navigateur peuvent être installés par les utilisateurs, même s’ils ne sont pas administrateur de la machine. Lors des soldes par exemple, des plugins peuvent être installés pour alerter l’utilisateur des bonnes affaires.
• Applications portables : sont des applications qui fonctionnent sans installation, lancées depuis un simple répertoire sur un support amovible (clé USB). C’est un exécutable autonome qui permet d’utiliser un outil de modification image, messagerie, ou même répertoire. Par exemple, l’utilisation chaque midi d’une appli portable de modification de photos (Gimp) depuis une clé USB, puis les transfert via la messagerie perso avec un thunderbird portable.

En tant d’administrateur de votre parc, acceptez-vous que votre matériel soit utilisé de cette manière (notamment pendant la pause du midi par exemple).

A propos des matériels, voici une liste de ceux étant considérés comme le Shadow IT :

Téléphone portable de type smartphone
Les utilisateurs possèdent nombre d’équipements numériques connectables. Ils utilisent régulièrement le code Wifi de l’entreprise pour son smartphone personnel. Le BYOD (Bring Your Own Device) est une des réponses apportées aux utilisateurs. Chez 70 % de nos clients, les codes wifi sont fournis pour l’ordinateur et détournés pour brancher le téléphone portable et streamer durant les heures de pause (ou pas).

NAS
Un serveur NAS permet de stocker un grand volume de données, et de les partager entre plusieurs utilisateurs. Il peut être acheté comme un simple PC puis branché par l’utilisateur sur le réseau de l’entreprise.

Internet Box
Les utilisateurs peuvent souscrire à leur propres abonnements Internet, et les faire installer sur site.

Les objets connectés
Même souci que pour les téléphones mobiles, et tout autre type d’équipement personnel connecté. En 2018, les armées ont interdit les montres connectées sur certaines bases d’entrainement et durant les missions extérieures puisque celles-ci partagent la position.

Concernant les services, cela peut aussi être considéré comme du Shadow IT. Prenons l’exemple d’un consultant externe, prestataire « utilisateur » sur un site distant a modifié les mots de passe admin des machines, bloquant toute intervention de la DSI. En effet, l’administration du site ou d’une partie du site avait été faite par des informaticiens externes sans que la DSI le sache.

Comment identifier les ressources pouvant faire l’objet de Shadow IT ?

Pour identifier le Shadow IT présent sur votre infrastructure, vous devez analyser votre infrastructure informatique. Pour cela, voici diverses techniques pour identifier ce qui est présent sur votre IT :

• Outils à disposition 
• Scan de réseau
• Inventaire de machines
• Cartographie applicative
• Analyse des tickets d’incidents (section divers)
• Inventaires sur site / observation lors des interventions

Il est aussi intéressant de regarder où sont les bases de données, cela est aussi une source de Shadow IT. Corrium, notre solution d’audit automatisé, peut mettre en évidence toutes les ressources présentant ces failles :

• Le schéma réseau

Il permet d’identifier l’ensemble des équipements présents sur l’infrastructure, savoir quels sont ces ressources et donc contrôler si c’est normal.

• La cartographie applicative

Elle met en évidence toutes les applications installées sur les machines et ainsi vous donne la possibilité de contrôler : est-ce que vous acceptez que quelqu’un ait installé iTunes alors que la politique dans l’entreprise est de n’avoir que des smartphones Samsung.

Quelle attitude adopter face à ces actions ?

Tout d’abord, la formation est un enjeu essentiel. En effet, les collaborateurs n’ont pas toujours le recul nécessaire pour se rendre compte de ce qui se cache derrière des installations d’applications. Ensuite, il faut prendre conscience d’un principe de base : si les utilisateurs développent eux-mêmes des applications, c’est qu’ils en ont besoin. Il est donc essentiel de mieux comprendre ses utilisateurs pour voir quelle méthode adopter : tolérer/laisser innover ou stopper et faire attention à ce que ça n’arrive plus.

Avec le développement de nombreuses applications qui permettent de créer soi-même ses propres applications comme Power Apps de Microsoft par exemple, les utilisateurs seront donc amenés de plus en plus à créer eux-mêmes leurs applications qui répondent à leurs besoins (sans développeur).

Vous l’aurez compris, le Shadow IT en entreprise peut être considéré comme un risque pour l’entreprise et l’infrastructure devant être maîtrisé, le personnel accompagné. Il faut éradiquer les applications personnelles. Par ailleurs, il peut aussi être considéré comme une opportunité pour les applications métiers. En effet, c’est une forme de prototypage de leur besoin. Il serait donc judicieux de rencontrer les utilisateurs et évaluer comment les accompagner dans leurs besoins, voir s’il faut développer quelque chose par exemple.

Il faut donc encadrer les usages pour maintenir la pérennité globale de l’infrastructure. Vous devez accompagner les utilisateurs dans leurs besoins mais aussi les sensibiliser aux risques.